Pentesters a la vanguardia de la ciberseguridad

En el campo de la seguridad de la información, existe una profesión importante y extraordinariamente fascinante para un Pentester, es decir, un especialista en sistemas informáticos penetrantes.

Para trabajar como pentester, debes tener buenas habilidades técnicas, conocer la ingeniería social y ser una persona segura. Después de todo, la tarea a menudo consiste en burlar a algunos tipos muy experimentados que brindan protección de TI para la empresa, y también brindan los trucos de otras personas que desean evadir esta protección. Lo principal aquí es no exagerar. De lo contrario, puede ocurrir una situación muy desagradable .

Cloud4Y preparó un pequeño programa educativo sobre el trabajo del pentester, las habilidades y certificados necesarios.
La demanda de pentesters crece cada día (a veces se los llama piratas informáticos "éticos" o "blancos", porque a menudo intentan penetrar en sistemas protegidos para eliminar vulnerabilidades que otros piratas informáticos pueden usar para beneficio personal). CybersecurityVentures.com estima que para 2021, el daño de los delitos cibernéticos en todo el mundo alcanzará los $ 6 billones, y los piratas informáticos atacarán a organizaciones como Target, Facebook, Equifax e incluso agencias gubernamentales como la NSA y el Departamento de Seguridad Nacional.

Probador de penetración requerido

Hay tanto en juego, y el nivel de capacitación requerido para tales puestos clave en el campo de la seguridad de la información es tan alto que es extremadamente difícil para los empleadores encontrar especialistas calificados para ocupar un número creciente de puestos de trabajo. Hay terriblemente pocos profesionales de ciberseguridad.

Este es uno de los factores clave que contribuyen a los altos salarios de la ciberseguridad profesional. Por ejemplo, el sitio web CyberSeek.org, que proporciona datos sobre la oferta y la demanda en el mercado laboral para la seguridad cibernética, muestra el salario promedio de los pentesters. Ella tiene $ 102,000 .

¿Qué debe hacer un pentester, cuál es su valor? El objetivo principal de las pruebas es identificar vulnerabilidades de seguridad tanto en los sistemas como en las políticas. Para tener éxito en estas tareas, se requieren muchas habilidades:

• Habilidades de codificación necesarias para entrar en cualquier sistema;
• Conocimiento integral de la seguridad informática, incluidos análisis forenses, análisis de sistemas y mucho más;
• Comprender cómo los hackers usan el factor humano para obtener acceso no autorizado a sistemas seguros;
• Una comprensión clara de cómo las infracciones de seguridad informática pueden dañar un negocio, incluidas las implicaciones financieras y administrativas;
• Habilidades excepcionales para resolver problemas;
• Habilidades de comunicación para usar el factor humano en las pruebas;
• Habilidades para expresar sus pensamientos de manera clara y consistente para documentar y compartir sus hallazgos.

Las pruebas de penetración generalmente se llevan a cabo teniendo en cuenta las características de una organización en particular y la industria en la que opera. Algunas industrias, como la atención médica y la banca, utilizan pentesters para cumplir con los estándares de seguridad de la industria.

Para identificar posibles puntos ciegos perdidos por los desarrolladores del sistema, la aplicación o cualquier software, generalmente participan organizaciones de terceros. Sus empleados, los piratas informáticos muy "éticos", tienen experiencia en el desarrollo, tienen una buena educación y una serie de certificados requeridos por la seguridad cibernética. Algunos pentesters son en realidad ex hackers. Pero usan el talento y las habilidades para ayudar a las organizaciones a proteger sus sistemas.

¿Qué hace un pentester?

Además de poseer las habilidades que mencionamos anteriormente, un pentester debe ser capaz de "pensar como un enemigo" para lidiar con la gama completa de métodos y estrategias que los piratas informáticos pueden usar y anticipar nuevas amenazas.

Si se convierte en un probador de penetración, su trabajo probablemente incluirá la planificación y ejecución de pruebas, documentar sus metodologías, crear informes detallados sobre sus resultados y posiblemente participar en el desarrollo de soluciones y la mejora de los protocolos de seguridad.

En general, se pueden mencionar las siguientes responsabilidades laborales:

• Realización de pruebas de penetración en sistemas informáticos, redes y aplicaciones.
• Crear nuevos métodos de prueba para identificar vulnerabilidades
• Realizar una evaluación de seguridad física de sistemas, servidores y otros dispositivos de red para identificar áreas que requieren protección física
• Identificar métodos y puntos de entrada que los atacantes pueden usar para explotar vulnerabilidades o debilidades.
• Encontrar debilidades en software común, aplicaciones web y sistemas propietarios
• Investigue, evalúe, documente y discuta los resultados con los equipos y la gerencia de TI
• Ver y proporcionar comentarios sobre las correcciones en el sistema de seguridad de la información.
• Actualización y mejora de los servicios de seguridad existentes, incluidos hardware, software, políticas y procedimientos.
• Identifique las áreas donde se necesitan mejoras en la seguridad del usuario y la capacitación de sensibilización.
• Esté atento a los intereses corporativos durante las pruebas (minimizando el tiempo de inactividad y la pérdida de productividad de los empleados)
• Manténgase actualizado con las últimas amenazas de malware y seguridad

Carrera de Pentester

Esté preparado para el hecho de que su trabajo traerá no solo alegría. Emoción, tensión nerviosa, fatiga: estos son fenómenos normales durante las pruebas. Pero es poco probable que operaciones como piratear una computadora de la CIA de la película Mission Impossible lo amenacen. Y si amenazan, ¿entonces qué? Así que aún más interesante.

Nuestro consejo para cualquiera que quiera construir una carrera de pentester es muy simple. Comience a trabajar como programador o administrador del sistema para obtener el conocimiento necesario sobre cómo funcionan los sistemas, y luego encontrar fallas en ellos se convertirá en algo común, casi instintivo. La experiencia práctica en este campo es simplemente insustituible.

También es importante comprender que las pruebas de penetración son un proceso que tiene un principio, un medio y un final. El principio es la evaluación del sistema, el medio es la parte divertida, realmente piratea el sistema, y ​​el final es la documentación y la transmisión de los resultados al cliente. Si no puede completar ninguna etapa, difícilmente puede decir que será un buen pentester.

La mayoría de las veces, el trabajo de Pentester es estudiar el sistema de forma remota cuando se pasan largas horas en el teclado. Pero el trabajo puede incluir viajes a lugares de trabajo e instalaciones para clientes.

Hay muchos probadores de penetración laboral en LinkedIn en una amplia variedad de empresas:


Así que hay demanda, también lo son las perspectivas. Además, la alta demanda conduce a un rápido aumento en el salario del jefe de seguridad. En el campo de la ciberseguridad, hay otras especialidades que tienen mucho en común con las pruebas de penetración. Es analista de seguridad de la información, especialista en seguridad, analista, auditor, ingeniero, arquitecto y administrador. Muchas compañías agregan el término "cibernético" a los nombres anteriores para denotar la especialización correspondiente.

Probador de penetración o evaluador de vulnerabilidad

Por separado, queremos destacar otro trabajo esencialmente cercano: el trabajo de un evaluador de vulnerabilidades. Cual es la diferencia En resumen, aquí:

La evaluación de vulnerabilidad tiene como objetivo compilar una lista de vulnerabilidades por prioridad y, por regla general, está destinada a clientes que ya entienden que no están donde quieren estar, desde un punto de vista de seguridad. El cliente ya sabe que tiene problemas y solo necesita ayuda para determinar sus prioridades. El resultado de la evaluación es una lista de prioridades de vulnerabilidades detectadas (y a menudo formas de eliminarlas).

Las pruebas de penetración están diseñadas para lograr un objetivo específico, simulando las actividades de un atacante, y lo solicitan los clientes que ya están en el nivel de seguridad deseado. Un objetivo típico puede ser acceder a los contenidos de una valiosa base de datos de clientes en la red interna o modificar un registro en el sistema de gestión de personal. El resultado de una prueba de penetración es un informe sobre cómo se comprometió la seguridad para lograr un objetivo acordado (y, a menudo, formas de eliminar vulnerabilidades).

También vale la pena recordar los programas Bug Bounty , que también utilizan métodos de prueba de penetración. En dichos programas, las compañías ofrecen recompensas en efectivo a los piratas informáticos "blancos" que identifican vulnerabilidades o errores en los propios sistemas de la compañía.

Una de las diferencias es que cuando se realiza una prueba de penetración, generalmente un número limitado de especialistas busca vulnerabilidades específicas, mientras que los programas Bug Bounty invitan a cualquier número de especialistas a participar para buscar vulnerabilidades inciertas. Además, a los pentesters generalmente se les paga un salario por hora o anual, mientras que los miembros de Bug Bounty trabajan en un modelo de pago por uso que ofrece una compensación en efectivo acorde con la gravedad del error encontrado.

Cómo convertirse en un Pentester certificado

Aunque la experiencia práctica en las pruebas de penetración es el factor más importante, muchos empleadores a menudo buscan: ¿los candidatos tienen certificados de la industria en el campo de la piratería "blanca", el pentesting, la seguridad informática, etc. Y a veces eligen a aquellos que tienen estos certificados.

También puede obtener dichos documentos. Incluso preparamos una lista de dónde ir:

• Hacker Ético Certificado CEH
• Probador de penetración certificado CPT
• Probador de penetración experto certificado CEPT
• Probador de penetración certificado por GIAC GPEN
• Probador de penetración con licencia LPT
• Especialista en seguridad certificado (OSCP profesional certificado en seguridad ofensiva )
• Probador de penetración de aplicaciones web y móvil certificado CMWAPT
• CompTIA PenTest +

¿Qué más es útil para leer en el blog de Cloud4Y?

→ El camino de la inteligencia artificial de una idea fantástica a la industria científica.
→ 4 formas de ahorrar en copias de seguridad en la nube
→ Configurar top en GNU / Linux
→ El verano casi ha terminado. Casi no se filtraron datos
→ IoT, niebla y nubes: ¿hablar de tecnología?

¡Suscríbete a nuestro canal de Telegram para no perderte otro artículo! No escribimos más de dos veces por semana y solo por negocios.