Новый онлайн-интенсив от HackerU позволит вам за 3 дня погрузиться в увлекательный мир пентестов

Международная высшая школа IT и кибербезопасности запускает интенсивный курс “Pentesting: Level 0” для желающих разобраться с основами тестирования на проникновение. В течение трех дней слушатели будут играть на атакующей стороне под руководством опытного профессионала, который реализовал в этой области более 200 проектов.

Востребованность специалистов по оценке практической защищенности информационных систем постоянно растет в условиях, когда утечки конфиденциальных данных и вызванные взломщиками отказы могут полностью парализовать работу компании. Привлечение внешних подрядчиков для проведения экспертных тестов на проникновение (от англ. pentest или penetration test) давно стало нормой в корпоративном мире.

Кто такие пентестеры?

Специалисты по тестам на проникновение имитируют реальные атаки злоумышленников на ИТ-инфраструктуру заказчика и действия внутренних инсайдеров, но без необратимых последствий. В ход идут все хакерские методики: эксплуатация уязвимостей, использование специального оборудования и ПО для взлома, фишинговые рассылки и социальная инженерия. Сотрудники компании обычно не знают о проводящейся проверке, поэтому такая работа не менее увлекательна, чем настоящий взлом: при этом она законна и хорошо оплачивается. В России начинающий пентестер получает от 80 000 рублей, а оклады опытных профессионалов начинаются от 250 000 рублей в месяц.

Как работают пентестеры?

Для имитации действий злоумышленников используются определенные сценарии (модели знаний), а работы состоят из нескольких этапов в соответствии с требованиями и рекомендациями международных руководств и стандартов: PCI DSS (Payment Card Industry Data Security Standard), Open Source Security Testing Methodology Manual (OSSTMM) или OWASP Testing Guide. Каждый тест разбивается на стадии, притом сначала проводится сетевая разведка, а уже потом идентификация уязвимостей.

Их эксплуатация и возможные последствия для ИТ-инфраструктуры оговариваются с компанией-заказчиком заранее. Работы не должны приводить к порче данных или серьезным сбоям в целевых системах, поэтому в случае высокого риска они немедленно приостанавливаются до получения от заказчика формального разрешения продолжить. После каждого теста проводится зачистка, когда заказчику передают инструкции по устранению последствий стороннего вмешательства в информационные системы.

Что получает заказчик?

Итогом пентеста становится развернутый аналитический отчет с конкретными рекомендациями по закрытию уязвимостей и уменьшению рисков информационной безопасности, разработанный с учетом тенденций отрасли и актуальных угроз.

Где можно научиться пентесту?

Чтобы стать профессионалом в области тестов на проникновение, придется потратить немало времени сил и денег. Курсы по обучению этой профессии стоят достаточно дорого, поэтому если вы только пытаетесь определить направление карьеры в области информационной безопасности, лучше пройти интенсив от HackerU. Для начала учебы слушателям не потребуются глубокие познания в области взлома: курс рассчитан на начинающих специалистов в сфере ИБ, системных администраторов, разработчиков ПО и грамотных пользователей.

За 15 часов слушатели получат практический опыт проведения анализа и тестирования защищенности программ, операционных систем и веб-приложений, а также опыт имитации атак на корпоративные инфраструктуры. Этот интенсив рассматривается авторами, как предварительный этап полного курса «Специалист по тестированию на проникновение». Даже если слушатели не собираются связывать дальнейшую карьеру с этим направлением, знание приемов нападения будет полезным для специалистов из любой смежной области, включая программистов и сисадминов.

Как проходит интенсив HackerU?

Занятия проводит Егор Богомолов, Head of Security at HackerU Russia и эксперт по вопросам защиты мобильных и веб-приложений, защищенности корпоративных сетей и анализа кода. Он провел более двухсот успешных проектов для таких компаний, как "Информзащита", "BI.Zone" и "Валарм", побеждал во множестве CTF-турниров, а также участвует в программах BugBounty от Yandex и HackerOne.

Обучение проходит в онлайн-режиме на русском языке, а чтобы принять в нем участие, нужен только компьютер и широкополосный доступ в интернет. Получить более подробную информацию и записаться на интенсив “Pentesting: Level 0” можно на сайте HackerU.