Как стать пентестером?

В 1941 году был разработан первый в мире программно-управляемый компьютер Z3. С момента его создания началось развитие ЭВМ и информационных технологий. В процессе распространения и популяризации ЭВМ, развития сетевых решений, а также плотного слияния IT и крупного бизнеса, начали появляться те, кто хотел получить прибыль или информацию обманным и мошенническим путем — хакеры.

Первое упоминание о хакерах появилось в мировой истории в 1969 году. Со временем культура «хакерства» лишь набирала обороты, информационная безопасность стала ежедневной и повсеместной потребностью, а ущерб, наносимый компаниям несанкционированным доступом или утечкой данных, приобретал все более разрушительные масштабы.

ВВС США были одними из первых, кто осознал важность информационной безопасности, проведя уникальную на тот момент проверку безопасности операционной системы Multics (одна из ранних операционных систем).

Это событие стало отправной точкой для появления «белых хакеров» или, как их еще называют, «этичных хакеров».

Белые хакеры

Белый хакер — специалист, изучающий компьютерную безопасность и тестирующий компьютерные системы на предмет уязвимостей и лазеек для мошенников.

В отличие от чёрных шляп (то есть тех, что занимаются незаконными действиями ради получения личной выгоды), белые хакеры ищут уязвимости на добровольной основе или за плату, их цель — помочь разработчикам сделать продукт более защищенным, а не навредить.

В современном мире белые хакеры стали очень востребованы на рынке труда, что привело к появлению отдельной специализации, в рамках которой имитируется атака с целью выявления уязвимостей. Специалисты, занимающиеся этим, называются пентестерами.

Пентест — от английского penetration test, то есть тестирование на проникновение.

Пентест — это обширный анализ системы на наличие в ней брешей в безопасности, которые могут помочь злоумышленникам получить доступ к конфиденциальным и важным данным. В процессе пентестинга имитируется атака на систему компании, попытка подорвать ее безопасность, но настоящего вреда компании, конечно, не наносится.

Как проходит пентест?

Проведение пентеста это долгий и кропотливый процесс. В зависимости от тестируемой среды специалисту необходимо проводить множество проверок. Задача пентестера в любой среде — сделать приложения или инфраструктуру более безопасными. Они обычно используют наступательные методы и инструменты безопасности для обнаружения уязвимостей и дыр в защите. Если после этого их закрыть, то системы будут защищены от реальных хакерских атак. В настоящее время существует большое количество методологий по проведению тестирования, каждая из которых довольно подробно описывает процесс тестирования на проникновение в зависимости от имеющейся технологии. Они существенно облегчают задачу специалистам.

К примеру, для проведения пентеста веб-приложений используется методология OWASP.

Open Web Application Security Project (OWASP) — это стандарт подтверждения безопасности приложений.

Сообщество OWASP объединяет организации, в том числе учебные, корпорации и частные лица со всей планеты, работая над выпуском образовательного материала, такого как статьи или пособия, а также предоставляет документацию и технологии, которые может использовать каждый.

Еще одним примером используемых вспомогательных средств является стандарт для проведения пентеста сетевых протоколов — NIST SP800-115. NIST переводится и расшифровывается как национальный институт стандартов и технологий, это аналог отечественного ГосСтандарта. В свою очередь, NIST SP800-115 — это документ от NIST, содержащий рекомендации по разработке и проведению процессов и процедур оценки информационной безопасности для поиска уязвимостей в сети или системе.

Также существует всеобъемлющая методология по пентесту, описывающая абсолютно все нюансы и шаги по проведению данного процесса, начиная от общения с заказчиком и заканчивая составлением отчета, она называется PTES (Penetration Testing Execution Standard). Этот стандарт проведения тестирования на проникновение состоит из семи основных разделов, которые достойны отдельного рассмотрения.

В чем заключается работа пентестера?

Работу пентестера, несмотря на большое количество вспомогательных средств, нельзя автоматизировать полностью. Автоматизированные инструменты никогда не смогут заменить работу пентестера. Автоматизированные инструменты — это хорошая поддержка, но они никогда не смогут заменить человека. В некоторых случаях они обладают слишком низким интеллектом или, например, не могут справиться с семантическими требованиями в формах. Инструменты часто терпят неудачу, когда нужно ввести адрес электронной почты или дату рождения.

Услуги, которые предоставляют пентестеры:

  • Обнаружение уязвимостей с помощью методов и стратегий, используемых настоящими хакерами;

  • Классификация рисков, связанных с уязвимостями;
  • Планирование контрмер (рекомендации по приоритетным мерам);
  • Подробный итоговый отчет со всеми результатами тестирования.

Что необходимо знать пентестеру?

Пентестер — относительно молодая и невероятно увлекательная профессия, требующая глубокого познания внутренней работы информационных систем. Если программисту необходимо знать лишь язык, на котором он пишет, и, возможно, фреймворки, то перечень компетенций пентестера куда шире.

Пентестеры в основном используют те же инструменты и методы, что и криминальные хакеры. Поэтому они могут законно делать то, за что в противном случае вас посадят в тюрьму. Кроме того, существует множество полезных инструментов и фреймворков, специально предназначенных для пентестеров, таких как Kali Linux™, Metasploit™, OWASP Top Ten, MITRE ATT&CK® и метод OSSTMM.

Некоторые из навыков пентестера:

  • Понимание принципа работы веб-приложений. Понимание принципа атак OWASP TOP 10;
  • Понимание принципа работы OC семейства UNIX и Windows;
  • Знание принципа работы AD, в частности Kerberos;
  • Информированность о работе сетевых протоколов и атак на сеть;
  • Познания в криптографии;
  • Уверенные базовые знания в области ИТ и систем безопасности. Наличие степени в области компьютерных наук здесь полезно, но не является обязательным требованием;
  • Любопытство, готовность учиться и мотивация к более глубокому изучению: ИТ быстро развиваются, поэтому важно постоянно учиться;
  • Терпение: иногда требуется больше времени, чтобы найти слабое место;
  • Структурированное мышление и усердие: пентестеры должны работать тщательно;
  • Умение работать в команде: тесты на проникновение всегда проводятся в команде;
  • Безупречная репутация: в конце концов, пентестеры проникают в ИТ-системы, их работа основана на доверии.

Это далеко не все навыки, которые понадобятся будущему специалисту по безопасности, однако они станут хорошим шагом в профессию.

Начальные шаги в обучении

На данный момент обучиться на пентестера можно на множестве онлайн-площадок, в основном зарубежных.

Offensive Security Experienced – наиболее популярная платформа, где специалисты по информационной безопасности со всего мира получают обучение и сертификаты.

Одной из самых популярных платформ является Offensive Security Experienced — огромный веб-ресурс, где обучаются и сертифицируются специалисты в области информационной безопасности со всего мира. У него имеется система сертификации, что довольно ценится в сфере ИБ, поэтому получить его хотят многие. Самый популярный курс в сфере пентеста — PEN 300 и соответствующая ему сертификация OSEP, стоят они около 1600 долларов. Длительность прохождения обучения 3 месяца, за время обучения вам предоставят большой объем обучающих материалов и лаборатории для закрепления практических навыков. После вас ждет сдача экзамена, на его прохождение дается 24 часа, а затем еще 24 часа на написание отчета, все время вашей работы за вами будет наблюдать специалист OFSEC.

Еще одна из популярных образовательных площадок — PortSwigger Academy. PortSwigger изначально был разработчиком самого популярного на данный момент продукта для проведения веб-пентеста — Burp Suite. Их официальная сертификация для профессионалов в области веб-безопасности называется Burp Suite Certified Practitioner. Достижение такого статуса, как этот сертификат, требует глубоких знаний об уязвимостях веб-безопасности, понимание логики их использования и навыков работы с Burp Suite.

Обучение в компании бесплатно, материалы доступны всем желающим в открытом доступе, а вот за прохождение сертификации придется заплатить 99$ и приобрести подписку на Burp Suite Professional.

Из русскоязычных площадок самыми популярными являются GeekBrains и Skill Box. Они похожи друг на друга и подойдут даже новичкам. Обучение состоит из видео-уроков, а вот лабораторий для практики нет.

Для более опытных специалистов, имеющих базовые знания, есть образовательные курсы от PENTESTIT и Codeby. Данные платформы являются профильными и смогут дать более глубокие и фундаментальные знания для проведения пентестов.

И все же перед обучением на перечисленных выше площадках рекомендуется получить полноценное образование в каком-либо высшем учебном заведении по специальности «Информационная безопасность» или же «Компьютерная безопасность». Обучение на данных специальностях не даст вам навыков для полноценного проведения пентеста, однако создаст прочную базу для дальнейшего развития навыков.

Мотивация к обучению

Путь пентестера довольно долог и тернист, но для развития в данной специальности на данный момент доступно множество способов, этот путь однозначно стоит затраченного времени и сил.

Пентестеры работают либо в качестве внешних или внутренних экспертов в специализированных компаниях по обеспечению безопасности, либо в отделах безопасности крупных компаний. Они используются как в традиционных офисных ИТ, так и в промышленных условиях. В офисных ИТ-аудитах специалисты по тестированию на проникновение проверяют, например, системы и приложения, в то время как в промышленности они проверяют операционные технологии, то есть аппаратное и программное обеспечение, используемое для управления машинами и системами. Профессия пентестера очень востребована и услуги пентестеров на рынке труда довольно хорошо оплачиваются. При этом спрос на этих специалистов только растет. Многие компании находятся в «кадровом голодании», стараясь привлечь к себе работников всеми возможными средствами.

Для затравки стоит привести небольшую статистику. Средняя зарплата пентестера начинается от 130 тысяч рублей, что является отличным показателем для рынка.

Если вам интересна эта тема, то потратьте свое время на обучение. Это не только даст вам увлекательное занятие, в котором всегда будет место самосовершенствованию, но и станет надежной и высокооплачиваемой работой.

Почему я выбрал профессию пентестера

Многие люди, выбирая карьеру в IT-сфере, задаются вопросом, какую именно профессию выбрать. Но что если я скажу, что есть такая работа, которая объединяет в себе интерес к технологиям, необычайный аналитический склад ума и даже некоторую жажду приключений? Эта работа называется пентестером, и я решил стать одним из них.
Всем привет! Сегодня хочу…

0
Комментарии
-3 комментариев
Раскрывать всегда