Как стать пентестером?

В 1941 году был разработан первый в мире программно-управляемый компьютер Z3. С момента его создания началось развитие ЭВМ и информационных технологий. В процессе распространения и популяризации ЭВМ, развития сетевых решений, а также плотного слияния IT и крупного бизнеса, начали появляться те, кто хотел получить прибыль или информацию обманным и мошенническим путем — хакеры.

Первое упоминание о хакерах появилось в мировой истории в 1969 году. Со временем культура «хакерства» лишь набирала обороты, информационная безопасность стала ежедневной и повсеместной потребностью, а ущерб, наносимый компаниям несанкционированным доступом или утечкой данных, приобретал все более разрушительные масштабы.

Это событие стало отправной точкой для появления «белых хакеров» или, как их еще называют, «этичных хакеров».

В отличие от чёрных шляп (то есть тех, что занимаются незаконными действиями ради получения личной выгоды), белые хакеры ищут уязвимости на добровольной основе или за плату, их цель — помочь разработчикам сделать продукт более защищенным, а не навредить.

В современном мире белые хакеры стали очень востребованы на рынке труда, что привело к появлению отдельной специализации, в рамках которой имитируется атака с целью выявления уязвимостей. Специалисты, занимающиеся этим, называются пентестерами.

Пентест — это обширный анализ системы на наличие в ней брешей в безопасности, которые могут помочь злоумышленникам получить доступ к конфиденциальным и важным данным. В процессе пентестинга имитируется атака на систему компании, попытка подорвать ее безопасность, но настоящего вреда компании, конечно, не наносится.

Проведение пентеста это долгий и кропотливый процесс. В зависимости от тестируемой среды специалисту необходимо проводить множество проверок. Задача пентестера в любой среде — сделать приложения или инфраструктуру более безопасными. Они обычно используют наступательные методы и инструменты безопасности для обнаружения уязвимостей и дыр в защите. Если после этого их закрыть, то системы будут защищены от реальных хакерских атак. В настоящее время существует большое количество методологий по проведению тестирования, каждая из которых довольно подробно описывает процесс тестирования на проникновение в зависимости от имеющейся технологии. Они существенно облегчают задачу специалистам.

К примеру, для проведения пентеста веб-приложений используется методология OWASP.

Сообщество OWASP объединяет организации, в том числе учебные, корпорации и частные лица со всей планеты, работая над выпуском образовательного материала, такого как статьи или пособия, а также предоставляет документацию и технологии, которые может использовать каждый.

Еще одним примером используемых вспомогательных средств является стандарт для проведения пентеста сетевых протоколов — NIST SP800-115. NIST переводится и расшифровывается как национальный институт стандартов и технологий, это аналог отечественного ГосСтандарта. В свою очередь, NIST SP800-115 — это документ от NIST, содержащий рекомендации по разработке и проведению процессов и процедур оценки информационной безопасности для поиска уязвимостей в сети или системе.

Также существует всеобъемлющая методология по пентесту, описывающая абсолютно все нюансы и шаги по проведению данного процесса, начиная от общения с заказчиком и заканчивая составлением отчета, она называется PTES (Penetration Testing Execution Standard). Этот стандарт проведения тестирования на проникновение состоит из семи основных разделов, которые достойны отдельного рассмотрения.

Работу пентестера, несмотря на большое количество вспомогательных средств, нельзя автоматизировать полностью. Автоматизированные инструменты никогда не смогут заменить работу пентестера. Автоматизированные инструменты — это хорошая поддержка, но они никогда не смогут заменить человека. В некоторых случаях они обладают слишком низким интеллектом или, например, не могут справиться с семантическими требованиями в формах. Инструменты часто терпят неудачу, когда нужно ввести адрес электронной почты или дату рождения.

Услуги, которые предоставляют пентестеры:

Пентестер — относительно молодая и невероятно увлекательная профессия, требующая глубокого познания внутренней работы информационных систем. Если программисту необходимо знать лишь язык, на котором он пишет, и, возможно, фреймворки, то перечень компетенций пентестера куда шире.

Пентестеры в основном используют те же инструменты и методы, что и криминальные хакеры. Поэтому они могут законно делать то, за что в противном случае вас посадят в тюрьму. Кроме того, существует множество полезных инструментов и фреймворков, специально предназначенных для пентестеров, таких как Kali Linux™, Metasploit™, OWASP Top Ten, MITRE ATT&CK® и метод OSSTMM.

Некоторые из навыков пентестера:

Это далеко не все навыки, которые понадобятся будущему специалисту по безопасности, однако они станут хорошим шагом в профессию.

На данный момент обучиться на пентестера можно на множестве онлайн-площадок, в основном зарубежных.

Одной из самых популярных платформ является Offensive Security Experienced — огромный веб-ресурс, где обучаются и сертифицируются специалисты в области информационной безопасности со всего мира. У него имеется система сертификации, что довольно ценится в сфере ИБ, поэтому получить его хотят многие. Самый популярный курс в сфере пентеста — PEN 300 и соответствующая ему сертификация OSEP, стоят они около 1600 долларов. Длительность прохождения обучения 3 месяца, за время обучения вам предоставят большой объем обучающих материалов и лаборатории для закрепления практических навыков. После вас ждет сдача экзамена, на его прохождение дается 24 часа, а затем еще 24 часа на написание отчета, все время вашей работы за вами будет наблюдать специалист OFSEC.

Еще одна из популярных образовательных площадок — PortSwigger Academy. PortSwigger изначально был разработчиком самого популярного на данный момент продукта для проведения веб-пентеста — Burp Suite. Их официальная сертификация для профессионалов в области веб-безопасности называется Burp Suite Certified Practitioner. Достижение такого статуса, как этот сертификат, требует глубоких знаний об уязвимостях веб-безопасности, понимание логики их использования и навыков работы с Burp Suite.

Обучение в компании бесплатно, материалы доступны всем желающим в открытом доступе, а вот за прохождение сертификации придется заплатить 99$ и приобрести подписку на Burp Suite Professional.

Из русскоязычных площадок самыми популярными являются GeekBrains и Skill Box. Они похожи друг на друга и подойдут даже новичкам. Обучение состоит из видео-уроков, а вот лабораторий для практики нет.

Для более опытных специалистов, имеющих базовые знания, есть образовательные курсы от PENTESTIT и Codeby. Данные платформы являются профильными и смогут дать более глубокие и фундаментальные знания для проведения пентестов.

И все же перед обучением на перечисленных выше площадках рекомендуется получить полноценное образование в каком-либо высшем учебном заведении по специальности «Информационная безопасность» или же «Компьютерная безопасность». Обучение на данных специальностях не даст вам навыков для полноценного проведения пентеста, однако создаст прочную базу для дальнейшего развития навыков.

Путь пентестера довольно долог и тернист, но для развития в данной специальности на данный момент доступно множество способов, этот путь однозначно стоит затраченного времени и сил.

Пентестеры работают либо в качестве внешних или внутренних экспертов в специализированных компаниях по обеспечению безопасности, либо в отделах безопасности крупных компаний. Они используются как в традиционных офисных ИТ, так и в промышленных условиях. В офисных ИТ-аудитах специалисты по тестированию на проникновение проверяют, например, системы и приложения, в то время как в промышленности они проверяют операционные технологии, то есть аппаратное и программное обеспечение, используемое для управления машинами и системами. Профессия пентестера очень востребована и услуги пентестеров на рынке труда довольно хорошо оплачиваются. При этом спрос на этих специалистов только растет. Многие компании находятся в «кадровом голодании», стараясь привлечь к себе работников всеми возможными средствами.

Для затравки стоит привести небольшую статистику. Средняя зарплата пентестера начинается от 130 тысяч рублей, что является отличным показателем для рынка.

Если вам интересна эта тема, то потратьте свое время на обучение. Это не только даст вам увлекательное занятие, в котором всегда будет место самосовершенствованию, но и станет надежной и высокооплачиваемой работой.