Как стать пентестером: Часть 1 – начало пути к профессионалу в отрасли

Руководитель отдела хакеров в ИБ-компании Intigriti Инти Де Секелер сказал, что пентестер несет ответственность за выявление потенциальных уязвимостей в системах. Де Секелер также отметил, что этичные хакеры и пентестеры – разные специалисты, вопреки всеобщему мнению.

По его словам, этичные хакеры уделяют больше внимания выявлению реальных текущих проблем кибербезопасности, чем отчётам об уязвимостях. А пентестеры могут также давать советы относительно будущих потенциальных уязвимостей в системах.

Что делает пентестер?

Процесс тестирования на проникновение включает в себя работу с клиентами для определения их требований и создания соответствующих тестов с использованием как ручных методов, так и автоматизированных инструментов. Тестирование уязвимостей безопасности может проводиться на месте или удаленно.

Каждый шаг документируется, отчеты и рекомендации предоставляются клиенту, а в конце процесса любые изменения проверяются. Также могут быть даны рекомендации по проблемам безопасности, которые потенциально могут возникнуть в будущем, исходя из текущих конфигураций и архитектуры.

Пентестеры могут работать как внутри компании или госучреждении, контролируя приложения, сетевые устройства и облачные инфраструктуры, так и в охранной фирме, где они работают по клиентским контрактам, или на внештатной основе.

Насколько востребована профессия пентестера?

По данным Бюро статистики труда США (BLS), в период с 2021 по 2031 год ожидается рост на 35% числа специалистов по информационной безопасности, включая тестировщиков на проникновение. Это намного быстрее, чем в среднем по всем профессиям в США.

Этому росту способствуют все более строгие юридические требования, требующие от компаний доказывать, что их продукты тестируются на наличие уязвимостей в системе безопасности.

По словам Де Секелера, несмотря на то, что все больше школ и университетов предлагают обучение этичному хакингу, сейчас по-прежнему не хватает ИБ-специалистов, в том числе пентестеров. В целом пентест как профессия с годами стал более популярным, но спрос на пентестеров растет еще быстрее, особенно в определенных нишевых областях, таких как тестирование приложений, IoT (Internet of Things, интернет вещей), SCADA или блокчейн.

Как стать пентестером?

Что касается формальных квалификаций, большинство пентестеров имеют степень в какой-либо дисциплине в области IT-технологий или кибербезопасности.

Пентестеры часто начинают с сетевого администрирования, сетевой инженерии или программирования веб-приложений, прежде чем пройти специализированное обучение этичному хакингу.

Существует несколько программ сертификации, многие из которых могут быть получены путем самообучения дома.

• Infosec Institute;
• The International Council of E-Commerce Consultants;
• Global Information Assurance Certification;
• CompTIA;
• Offensive Security;
• (ISC)².

Кроме того, отмечает Де Секелер, в крупных консалтинговых компаниях умение писать правильные и понятные отчеты иногда важнее, чем глубокое изучение уязвимостей. Если вы хотите работать в качестве консультанта, вам следует пройти курс технического делового письма, отчетности и анализа.

Также важно иметь хорошие навыки тайм-менеджмента, уметь работать в команде и обладать определенным объемом знаний бизнес-процессов, чтобы понимать и сообщать о последствиях любых обнаруженных уязвимостей.

Что касается независимых пентестеров, им необходимо обладать навыками продаж и бухгалтерского учета, чтобы привлекать новых клиентов.

Альтернативные подходы к пентесту

В этой деятельности имеют значения навыки тестирования на проникновение. В этом случае можно стать специалистом без академической квалификации.

Соревнования по захвату флага (Capture The Flag, CTF), в которых команды или отдельные лица взламывают преднамеренно уязвимые системы, чтобы «захватить» файл или код, позволят отточить навыки и завести полезные контакты для хакеров. Существует несколько площадок CTF, например, Hack the Box, Hack.me, Hack This Site и WebGoat.

Кроме того, существуют программы вознаграждения за обнаружение ошибок (Bug Bounty), в ходе которых компании платят крупные выплаты любому (не только пентестеру), кто найдет и сообщит об уязвимостях в коде организации. На сайтах Bugcrowd и HackerOne есть списки доступных вознаграждений.

Директор SpiderLabs Эд Уильямс рекомендует улучшить свой профиль, показав свои знания и стремление к успеху в профессии. Для этого он советует придерживаться следующим правилам:

• вести тематический блог;
• понять, как всё работает;
• постоянно практиковаться;
• писать код для автоматизации задач;
• публиковать код на GitHub.

Многие тестировщики на проникновение находят работу, обращаясь к компаниям напрямую по спецификациям, что может быть особенно эффективной стратегией в небольших организациях.

Виды занятости

В крупных организациях может быть своя команда ИБ-специалистов, а проекты сосредоточены исключительно на собственных системах компании.

Небольшие компании могут обращаться к другим ИБ-фирмам, где наемные пентестеры работают над множеством проектов.

Ещё один вариант – стать фрилансером. Собрать собственный набор навыков и методологий, чтобы в дальнейшем заработать себе хорошую репутацию.

Сколько зарабатывает пентестер?

По данным Payscale, в США зарплата пентестера начинается с $58 000, а средняя годовая зарплата составляет $88 500. Бонусы могут добавить еще около $20 000.

По данным Indeed, в Великобритании начальная зарплата пентестера – около $36 000, при этом средняя базовая зарплата составляет около $67 000.

Ставки внештатных сотрудников сильно различаются в зависимости от опыта и сложности работы, но, как правило, составляют несколько сотен долларов в день. Специалист в конечном итоге может получить более высокую и прибыльную должность, например, директор по информационной безопасности (CISO).

Какие плюсы в работе пентестера?

Пентест включает в себя решение многих проблем и может предложить фрилансерам большую гибкость.

Эд Уильямс, директор SpiderLabs считает, что быть пентестером — лучшая работа в мире. «Вас активно поощряют взламывать вещи и помогать организациям улучшать свою безопасность» — что в этом может не нравиться? Он также сказал, что пентестинг позволил ему даже попутешествовать по миру.

Какие минусы в работе пентестера?

Иногда некоторые компании не заинтересованы в оценке безопасности и устранении уязвимостей в своих системах.

Дэйв Миллер, глава команды ИБ-специалистов компании Cyllective отметил, что большое количество компаний все еще нуждаются в надлежащем тестировании безопасности. Фирмы заказывают тест на проникновение для проверки соответствия, потому что клиент или регулирующий орган попросили их сделать это.

Эд Уильямс заявил, что работа пентестера, с другой стороны, может быть очень напряженная со всеми вытекающими стрессами. Киберпространство постоянно меняется, и идти в ногу с ним – сложная задача, которая требует очень много времени. Довольно часто люди выгорают, просто работая слишком много, и в конечном итоге они бросают пентест, что печально сказывается для профессии и отрасли.

Заключение

В этой статье мы разобрали основные детали работы, с которыми может столкнуться начинающий ИБ-специалист. Мы также рассмотрели варианты сертификации для пентестера, а также площадки для практики своих способностей. Более того, хороший специалист получает достойную заработную плату, интересные задачи, много полезных контактов и повышенное доверие коллег.