Как стать пентерестом: знания, умения, профессионализм

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.743
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4

Не секрет, что в сфере кибербезопасности наблюдается нехватка профессионалов. Процент безработицы среди пентестеров (специалистов, которые знают как взломать систему и определить ее уязвимости) равняется нулю. А от $80000 до $145000 в год — при условии, что специалист работает в удаленном режиме на западную компанию. Теперь давайте поговорим о том, как стать пентестером.


Что такое пентест?

Пентестинг, или испытание системы на проникновение (иначе говоря, белый хакинг) — отрасль новая, но невероятно перспективная. Как с финансовой точки зрения, так и в плане спроса. Ведь сегодня любой бренд, который работает с информацией, знает как важно защищать персональные данные и финансовые сведения. И нанимает профессионалов, способных взглянуть на систему глазами хакеров. А после дать ответ, как укрепить систему защиты в дополнение к различным файерволлам, DNS-серверам, виртуальным приватным сетям и .
По сути, пентест — это имитация кибератаки с позиции потенциального онлайн-преступника. Пентестеры, или «белые» хакеры ищут эксплойты в сетях, программном обеспечении, на вебсайтах, а также в аппаратном обеспечении организации. Как правило, пентест состоит из :
  • сбор информации о бренде и системе;
  • так называемая «военная разведка» — попытка выявить скрытые данные или компрометирующую информацию, которые враг сможет раздобыть о вашем бизнесе в сети;
  • сканирование платформы;
  • оценка уязвимостей;
  • попытка проникнуть в систему через недостаточно укрепленные позиции — проще говоря, эксплойт;
  • финальный анализ и отчет.

Зачем нужен пентест?

На последней стадии фирма, проводившая пентест, получает ответы на жизненно важные вопросы:
  1. Каковы реальные риски для бизнеса? Как может пострадать репутация бренда или клиентские данные, если информация «просочится» через уязвимости?
  2. Достаточно ли крепка система IT-защиты? Какие меры уже предприняты, чтобы противостоять хакерам и коварным инсайдерам? Готова ли компания предотвратить случайные инциденты утечки информации?
  3. Если хакер получит контроль над системой, что именно станет ему известно?
  4. Есть ли у компании план восстановления после хакерского взлома? Каким будет ответ бренда, например, на попытку киберпреступников шантажировать компанию в обмен на ценную информацию?

Из первых уст

О специфике работы специалистов в области кибербезопасности и пентестинга мне рассказал . В данный момент эксперт занимается консультированием в сфере информационной безопасности в ведущем банке Катара. На счету у моего собеседника — работа в международной компании, оказывающей услуги по аудиту и консалтингу Deloitte. А в арсенале — такие навыки, как защита приватной информации, проведение аудитов контрольных активностей в IT-компаниях, предоставляющих сервисы (SOC 2), умение осуществлять менеджмент посредством веб-приложений, а также оценка уязвимостей и поиск решений для защиты от утечки данных.
Матин Мохаммад пришел в сектор кибербезопасности из управленческой сферы:
— На заре карьеры я выполнял совершенно другие обязанности, но мне посчастливилось сотрудничать с командой специалистов из отдела кибербезопасности. Так я изучил множество интереснейших вещей — например, как управлять данными и защищать информацию в организации. Интерес к кибербезопасности и пентесту стимулировался тем, что посредством аудитов можно было узнать факты о системе, которые отражают реальное положение дел в вопросах защиты.
Перейдя работать в Deloitte, занялся консультированием.
— Мои обязанности сводились к решению запросов представителей разных фирм. Мне было нужно брать на себя ежедневные задачи клиентов в сфере информационной безопасности. Я очень ценил корпоративную культуру, которая присутствовала в нашей организации, и ту изумительную гибкость в работе Deloitte. Что касается сложностей, иногда нам приходилось работать с запросами от 20 фирм, входящих в организацию, которые занимаются поддержкой одного клиента. Нам приходилось работать в состоянии суеты и жестких дедлайнов. Но, опять же, благодаря прекрасной команде, мне нравилось работать даже в условиях давления.
Разобраться в сфере кибербезопасности специалисту помогли не только коллеги, но и сообщество профессионалов.
— Я регулярно слежу за новостями в данной области на платформе LinkedIn, прохожу тренинги. Также любой новичок в сфере кибербезопасности может присоединиться к сообществам — ISACA (Ассоциация аудита и контроля информационных систем), ISC (свободная лицензия для ПО, созданная Internet Systems Consortium), форум CSIAC (информационно-аналитического центра по кибербезопасности и информационным системам).
В настоящее время Матин Мохаммад работает в банке, где сфера сенситивных данных особенно актуальна. Ведь большинство кибератак происходит именно в той области, где сосредоточены финансовые сбережения.
— В основном, мы занимаемся защитой информации на различных уровнях и проверяет, насколько активности соответствуют протоколам безопасности, таким как , а также защищаем SWIFT-переводы и регулируем состояние локальных институций. Периодически мы сталкиваемся с проблемами в сфере персональных данных. Но, осуществляя оценку угроз, мы справляемся с трудностями по мере возникновения. Самое главное — определить болевую точку в системе и проделать анализ уязвимостей. Основываясь на этом, мы приходим к решению, которое способно защитить бизнес. После этого соотносим текущие меры безопасности с их актуальностью и действенностью, подбираем , чтобы укрепить слабое место.
Сейчас сфера информационной безопасности сталкивается с огромным количеством угроз. Эксперт знает об этом не понаслышке.
— Угрозы отличаются в зависимости от сектора, в котором работают. Но большинство киберпреступлений связаны с программами-вымогателями, онлайн-шантажом и фишингом. Эти явления распространены во всех развитых странах! Чтобы защитить конечного пользователя от хакерских угроз, необходимо проводить кампании по популяризации темы кибербезопасности. Что касается делового сегмента, благодаря качественным программам по оценке рисков организациям удается сохранить ресурсы и побороть киберугрозы. Меньше сосредотачиваться на сложных технических решениях, больше внимания уделять человеческому фактору.
Матин Мохаммад уверяет, что самое сложное в работе эксперта в сфере кибербезопасности — собственно, определить уязвимость в системе.
— Это своего рода вызов — приоритезировать риски и провести своевременную ремедиацию. Также бывает непросто разобраться с результатами сканирования уязвимостей. Например, инструмент может по ошибке отметить то, что выглядит подозрительно, как уязвимость, хотя в действительности таковой не является. Еще одна проблема, с которой мы сталкиваемся — невозможность контролировать данные, производимые из множества ресурсов. Хотя изначально действовал общий закон защиты информации — GDPR (General Data Protection Law), впоследствии каждая страна приняла собственные акты. В связи с тем, что штрафы за несоблюдение защитных мер и утечку персональных данных высоки, практически все организации, вне зависимости от размера, принялись внедрять свою политику безопасности. Однако конечный пользователь часто не знает свои права, а ведь защита данных должна начинаться именно с пользователя.
Несомненно, есть меры в сфере защиты данных, которые необходимо принимать как на индивидуальном, так и на государственном уровне.
— Наш долг — создавать как можно больше обучающих материалов о защите данных для пользователей. Сейчас органы власти во многих странах вводят законы, призванные регулировать процесс ограничения сбора данных. Кроме того, люди, которые работают с данными, обязаны управлять информацией на протяжении всего ее жизненного цикла. Наконец, крайне важно определять факты утечки данных и сообщать об этом.
Автор: Анастасия Шкуро
 
Интересно а если такой человек протестил систему чьей то корпорации, ему выдали зарплату, а после ломанули данные , как оценивать его работу?!)
 
Сверху Снизу