21.05.2023 | Как стать пентестером: Часть 1 – начало пути к профессионалу в отрасли |
Руководитель отдела хакеров в ИБ-компании Intigriti Инти Де Секелер сказал, что пентестер несет ответственность за выявление потенциальных уязвимостей в системах. Де Секелер также отметил, что этичные хакеры и пентестеры – разные специалисты, вопреки всеобщему мнению. По его словам, этичные хакеры уделяют больше внимания выявлению реальных текущих проблем кибербезопасности, чем отчётам об уязвимостях. А пентестеры могут также давать советы относительно будущих потенциальных уязвимостей в системах. Что делает пентестер?Процесс тестирования на проникновение включает в себя работу с клиентами для определения их требований и создания соответствующих тестов с использованием как ручных методов, так и автоматизированных инструментов. Тестирование уязвимостей безопасности может проводиться на месте или удаленно. Каждый шаг документируется, отчеты и рекомендации предоставляются клиенту, а в конце процесса любые изменения проверяются. Также могут быть даны рекомендации по проблемам безопасности, которые потенциально могут возникнуть в будущем, исходя из текущих конфигураций и архитектуры. Пентестеры могут работать как внутри компании или госучреждении, контролируя приложения, сетевые устройства и облачные инфраструктуры, так и в охранной фирме, где они работают по клиентским контрактам, или на внештатной основе. Насколько востребована профессия пентестера?По данным Бюро статистики труда США (BLS), в период с 2021 по 2031 год ожидается рост на 35% числа специалистов по информационной безопасности, включая тестировщиков на проникновение. Это намного быстрее, чем в среднем по всем профессиям в США. Этому росту способствуют все более строгие юридические требования, требующие от компаний доказывать, что их продукты тестируются на наличие уязвимостей в системе безопасности. По словам Де Секелера, несмотря на то, что все больше школ и университетов предлагают обучение этичному хакингу, сейчас по-прежнему не хватает ИБ-специалистов, в том числе пентестеров. В целом пентест как профессия с годами стал более популярным, но спрос на пентестеров растет еще быстрее, особенно в определенных нишевых областях, таких как тестирование приложений, IoT (Internet of Things, интернет вещей), SCADA или блокчейн. Как стать пентестером?Что касается формальных квалификаций, большинство пентестеров имеют степень в какой-либо дисциплине в области IT-технологий или кибербезопасности. Пентестеры часто начинают с сетевого администрирования, сетевой инженерии или программирования веб-приложений, прежде чем пройти специализированное обучение этичному хакингу. Существует несколько программ сертификации, многие из которых могут быть получены путем самообучения дома.
Кроме того, отмечает Де Секелер, в крупных консалтинговых компаниях умение писать правильные и понятные отчеты иногда важнее, чем глубокое изучение уязвимостей. Если вы хотите работать в качестве консультанта, вам следует пройти курс технического делового письма, отчетности и анализа. Также важно иметь хорошие навыки тайм-менеджмента, уметь работать в команде и обладать определенным объемом знаний бизнес-процессов, чтобы понимать и сообщать о последствиях любых обнаруженных уязвимостей. Что касается независимых пентестеров, им необходимо обладать навыками продаж и бухгалтерского учета, чтобы привлекать новых клиентов. Альтернативные подходы к пентестуВ этой деятельности имеют значения навыки тестирования на проникновение. В этом случае можно стать специалистом без академической квалификации. Соревнования по захвату флага (Capture The Flag, CTF), в которых команды или отдельные лица взламывают преднамеренно уязвимые системы, чтобы «захватить» файл или код, позволят отточить навыки и завести полезные контакты для хакеров. Существует несколько площадок CTF, например, Hack the Box, Hack.me, Hack This Site и WebGoat. Кроме того, существуют программы вознаграждения за обнаружение ошибок (Bug Bounty), в ходе которых компании платят крупные выплаты любому (не только пентестеру), кто найдет и сообщит об уязвимостях в коде организации. На сайтах Bugcrowd и HackerOne есть списки доступных вознаграждений. Директор SpiderLabs Эд Уильямс рекомендует улучшить свой профиль, показав свои знания и стремление к успеху в профессии. Для этого он советует придерживаться следующим правилам:
Многие тестировщики на проникновение находят работу, обращаясь к компаниям напрямую по спецификациям, что может быть особенно эффективной стратегией в небольших организациях. Виды занятостиВ крупных организациях может быть своя команда ИБ-специалистов, а проекты сосредоточены исключительно на собственных системах компании. Небольшие компании могут обращаться к другим ИБ-фирмам, где наемные пентестеры работают над множеством проектов. Ещё один вариант – стать фрилансером. Собрать собственный набор навыков и методологий, чтобы в дальнейшем заработать себе хорошую репутацию. Сколько зарабатывает пентестер?По данным Payscale, в США зарплата пентестера начинается с $58 000, а средняя годовая зарплата составляет $88 500. Бонусы могут добавить еще около $20 000. По данным Indeed, в Великобритании начальная зарплата пентестера – около $36 000, при этом средняя базовая зарплата составляет около $67 000. Ставки внештатных сотрудников сильно различаются в зависимости от опыта и сложности работы, но, как правило, составляют несколько сотен долларов в день. Специалист в конечном итоге может получить более высокую и прибыльную должность, например, директор по информационной безопасности (CISO). Какие плюсы в работе пентестера?Пентест включает в себя решение многих проблем и может предложить фрилансерам большую гибкость. Эд Уильямс, директор SpiderLabs считает, что быть пентестером — лучшая работа в мире. «Вас активно поощряют взламывать вещи и помогать организациям улучшать свою безопасность» — что в этом может не нравиться? Он также сказал, что пентестинг позволил ему даже попутешествовать по миру. Какие минусы в работе пентестера?Иногда некоторые компании не заинтересованы в оценке безопасности и устранении уязвимостей в своих системах. Дэйв Миллер, глава команды ИБ-специалистов компании Cyllective отметил, что большое количество компаний все еще нуждаются в надлежащем тестировании безопасности. Фирмы заказывают тест на проникновение для проверки соответствия, потому что клиент или регулирующий орган попросили их сделать это. Эд Уильямс заявил, что работа пентестера, с другой стороны, может быть очень напряженная со всеми вытекающими стрессами. Киберпространство постоянно меняется, и идти в ногу с ним – сложная задача, которая требует очень много времени. Довольно часто люди выгорают, просто работая слишком много, и в конечном итоге они бросают пентест, что печально сказывается для профессии и отрасли. ЗаключениеВ этой статье мы разобрали основные детали работы, с которыми может столкнуться начинающий ИБ-специалист. Мы также рассмотрели варианты сертификации для пентестера, а также площадки для практики своих способностей. Более того, хороший специалист получает достойную заработную плату, интересные задачи, много полезных контактов и повышенное доверие коллег. |
Проверить безопасность сайта