Pentester an der Spitze der Cybersicherheit

Auf dem Gebiet der Informationssicherheit gibt es einen wichtigen und außerordentlich faszinierenden Beruf für einen Pentester, dh einen Spezialisten für das Eindringen in Computersysteme.

Um als Pentester zu arbeiten, müssen Sie über gute technische Fähigkeiten verfügen, sich mit Social Engineering auskennen und eine selbstbewusste Person sein. Schließlich besteht die Aufgabe oft darin, einige sehr erfahrene Leute zu überlisten, die IT-Schutz für das Unternehmen bieten, und auch die Tricks anderer Leute, die diesen Schutz umgehen wollen. Die Hauptsache hier ist, es nicht zu übertreiben. Andernfalls kann eine sehr unangenehme Situation auftreten.

Cloud4Y bereitete ein kleines Bildungsprogramm über die Arbeit des Pentesters, die erforderlichen Fähigkeiten und Zertifikate vor.
Die Nachfrage nach Pentestern wächst von Tag zu Tag (sie werden manchmal als "ethische" oder "weiße" Hacker bezeichnet, weil sie häufig versuchen, in geschützte Systeme einzudringen, um Schwachstellen zu beseitigen, die andere Hacker zum persönlichen Vorteil nutzen können). CybersecurityVentures.com schätzt, dass der Schaden durch Cyberkriminalität bis 2021 weltweit 6 Billionen US-Dollar erreichen wird und Hacker Organisationen wie Target, Facebook, Equifax und sogar Regierungsbehörden wie die NSA und das Department of Homeland Security angreifen werden.

Penetrationstester erforderlich

Es steht so viel auf dem Spiel, und das für solche Schlüsselpositionen im Bereich der Informationssicherheit erforderliche Ausbildungsniveau ist so hoch, dass es für Arbeitgeber äußerst schwierig ist, qualifizierte Fachkräfte zu finden, um eine wachsende Anzahl von Arbeitsplätzen zu besetzen. Es gibt erschreckend wenige Cybersicherheitsfachleute.

Dies ist einer der Schlüsselfaktoren, die zu den hohen Gehältern professioneller Cybersicherheit beitragen. Beispielsweise zeigt die Website CyberSeek.org, die Daten zu Angebot und Nachfrage auf dem Arbeitsmarkt für Cybersicherheit bereitstellt, das Durchschnittsgehalt von Pentestern. Sie ist $ 102.000 .

Was soll ein Pentester tun, welchen Wert hat er? Der Hauptzweck des Testens besteht darin, Sicherheitslücken in Systemen und Richtlinien zu identifizieren. Um diese Aufgaben zu erfüllen, sind viele Fähigkeiten erforderlich:

• Codierungsfähigkeiten, die erforderlich sind, um in ein System einzudringen;
• Umfassende Kenntnisse der Computersicherheit, einschließlich Forensik, Systemanalyse und vielem mehr;
• Verstehen, wie Hacker den Faktor Mensch nutzen, um unbefugten Zugriff auf sichere Systeme zu erhalten;
• Ein klares Verständnis darüber, wie Verstöße gegen die Computersicherheit einem Unternehmen schaden können, einschließlich finanzieller und verwaltungstechnischer Auswirkungen;
• Außergewöhnliche Fähigkeiten zur Problemlösung;
• Kommunikationsfähigkeiten zur Verwendung des menschlichen Faktors in Tests;
• Fähigkeiten, Ihre Gedanken klar und konsequent auszudrücken, um Ihre Ergebnisse zu dokumentieren und zu teilen.

Penetrationstests werden normalerweise unter Berücksichtigung der Merkmale einer bestimmten Organisation und der Branche, in der sie tätig ist, durchgeführt. Einige Branchen wie das Gesundheitswesen und das Bankwesen verwenden Pentester, um die Sicherheitsstandards der Branche zu erfüllen.

Um potenzielle blinde Flecken zu identifizieren, die von den Entwicklern des Systems, der Anwendung oder einer Software verloren gegangen sind, sind in der Regel Drittanbieter beteiligt. Ihre Mitarbeiter, die sehr „ethischen“ Hacker, haben Erfahrung in der Entwicklung, eine gute Ausbildung und eine Reihe von Zertifikaten, die für die Cybersicherheit erforderlich sind. Einige Pentester sind tatsächlich ehemalige Hacker. Sie setzen jedoch Talente und Fähigkeiten ein, um Organisationen beim Schutz ihrer Systeme zu unterstützen.

Was macht ein Pentester?

Ein Pentester muss nicht nur über die oben genannten Fähigkeiten verfügen, sondern auch in der Lage sein, „wie ein Feind zu denken“, um mit allen Methoden und Strategien umgehen zu können, die Hacker einsetzen und neue Bedrohungen antizipieren können.

Wenn Sie ein Penetrationstester werden, umfasst Ihre Arbeit wahrscheinlich das Planen und Ausführen von Tests, das Dokumentieren Ihrer Methoden, das Erstellen detaillierter Berichte über Ihre Ergebnisse und möglicherweise die Teilnahme an der Entwicklung von Fixes und der Verbesserung von Sicherheitsprotokollen.

Im Allgemeinen können die folgenden Arbeitsverantwortlichkeiten erwähnt werden:

• Durchführung von Penetrationstests in Computersystemen, Netzwerken und Anwendungen
• Erstellen neuer Testmethoden zum Identifizieren von Schwachstellen
• Durchführen einer physischen Sicherheitsbewertung von Systemen, Servern und anderen Netzwerkgeräten, um Bereiche zu identifizieren, die physischen Schutz erfordern
• Identifizieren Sie Methoden und Einstiegspunkte, mit denen Angreifer Schwachstellen oder Schwachstellen ausnutzen können
• Auffinden von Schwachstellen in gängiger Software, Webanwendungen und proprietären Systemen
• Recherchieren, bewerten, dokumentieren und diskutieren Sie die Ergebnisse mit IT-Teams und dem Management
• Anzeigen und Feedback zu Korrekturen im Informationssicherheitssystem
• Aktualisierung und Verbesserung bestehender Sicherheitsdienste, einschließlich Hardware, Software, Richtlinien und Verfahren
• Identifizieren Sie Bereiche, in denen Verbesserungen der Benutzersicherheit und des Sensibilisierungstrainings erforderlich sind
• Achten Sie beim Testen auf Unternehmensinteressen (Minimierung von Ausfallzeiten und Verlust der Mitarbeiterproduktivität)
• Bleiben Sie über die neuesten Malware- und Sicherheitsbedrohungen auf dem Laufenden

Pentester Karriere

Seien Sie darauf vorbereitet, dass Ihre Arbeit nicht nur Freude bringt. Aufregung, nervöse Anspannung, Müdigkeit - dies sind normale Phänomene beim Testen. Aber Operationen wie das Hacken eines CIA-Computers aus dem Film Mission Impossible werden Sie wahrscheinlich nicht bedrohen. Und wenn sie drohen, was dann? Also noch interessanter.

Unser Rat an alle, die eine Pentester-Karriere aufbauen möchten, ist sehr einfach. Beginnen Sie als Programmierer oder Systemadministrator zu arbeiten, um das notwendige Wissen über die Funktionsweise von Systemen zu erlangen, und dann werden Fehler fast instinktiv alltäglich. Praktische Erfahrungen auf diesem Gebiet sind einfach unersetzlich.

Es ist auch wichtig zu verstehen, dass Penetrationstests ein Prozess sind, der einen Anfang, eine Mitte und ein Ende hat. Der Anfang ist die Bewertung des Systems, die Mitte ist der unterhaltsame Teil, der das System tatsächlich hackt, und das Ende ist die Dokumentation und Übermittlung der Ergebnisse an den Kunden. Wenn Sie keine Phase abschließen können, können Sie kaum sagen, dass Sie ein guter Pentester sind.

Meistens besteht die Aufgabe des Pentesters darin, das System aus der Ferne zu studieren, wenn lange Stunden an der Tastatur verbracht werden. Die Arbeit kann jedoch auch Fahrten zu Arbeitsplätzen und Kundeneinrichtungen umfassen.

Es gibt viele Job-Penetrationstester auf LinkedIn in einer Vielzahl von Unternehmen:


Es gibt also Nachfrage, ebenso die Aussichten. Darüber hinaus führt eine hohe Nachfrage zu einer raschen Erhöhung des Gehalts des Chief Security Officer. Im Bereich der Cybersicherheit gibt es andere Fachgebiete, die mit Penetrationstests viel gemeinsam haben. Er ist Informationssicherheitsanalyst, Sicherheitsspezialist, Analyst, Prüfer, Ingenieur, Architekt und Administrator. Viele Unternehmen fügen den oben genannten Namen den Begriff „Cyber“ hinzu, um die entsprechende Spezialisierung zu kennzeichnen.

Penetrationstester oder Schwachstellenprüfer

Unabhängig davon möchten wir eine weitere im Wesentlichen enge Arbeit herausgreifen: die Arbeit eines Schwachstellenbewerters. Was ist der Unterschied? Kurz gesagt, hier:

Die Schwachstellenbewertung soll eine Liste von Schwachstellen nach Priorität erstellen und ist in der Regel für Kunden gedacht, die bereits verstehen, dass sie aus Sicherheitsgründen nicht dort sind, wo sie sein möchten. Der Kunde weiß bereits, dass er Probleme hat, und er braucht nur Hilfe bei der Festlegung ihrer Prioritäten. Das Ergebnis der Bewertung ist eine Prioritätsliste der erkannten Schwachstellen (und häufig Möglichkeiten, diese zu beseitigen).

Penetrationstests dienen dazu, ein bestimmtes Ziel zu erreichen und die Aktivitäten eines Angreifers zu simulieren. Sie werden von Kunden angefordert, die bereits das gewünschte Sicherheitsniveau erreicht haben. Ein typisches Ziel kann sein, auf den Inhalt einer wertvollen Kundendatenbank im internen Netzwerk zuzugreifen oder einen Datensatz im Personalmanagementsystem zu ändern. Das Ergebnis eines Penetrationstests ist ein Bericht darüber, wie die Sicherheit gefährdet wurde, um ein vereinbartes Ziel zu erreichen (und häufig Möglichkeiten zur Beseitigung von Sicherheitslücken).

Es lohnt sich auch, an die Bug Bounty- Programme zu erinnern, die ebenfalls Penetrationstestmethoden verwenden. In solchen Programmen bieten Unternehmen „weißen“ Hackern, die Schwachstellen oder Fehler in den firmeneigenen Systemen identifizieren, Geldprämien an.

Einer der Unterschiede besteht darin, dass beim Testen auf Penetration normalerweise eine begrenzte Anzahl von Spezialisten nach bestimmten Schwachstellen sucht, während Bug Bounty-Programme eine beliebige Anzahl von Spezialisten zur Teilnahme an der Suche nach unsicheren Schwachstellen einladen. Darüber hinaus erhalten Pentester in der Regel Stunden- oder Jahreslöhne, während Bug Bounty-Mitglieder an einem Umlageverfahren arbeiten, das eine Barvergütung bietet, die der Schwere des festgestellten Fehlers entspricht.

Wie werde ich zertifizierter Pentester?

Obwohl praktische Erfahrung in Penetrationstests der wichtigste Faktor ist, schauen viele Arbeitgeber oft: Haben Kandidaten Branchenzertifikate im Bereich „weißes“ Hacken, Pentesting, IT-Sicherheit usw. Und manchmal wählen sie diejenigen aus, die diese Zertifikate haben.

Sie können solche Dokumente auch erhalten. Wir haben sogar eine Liste vorbereitet, wohin wir gehen sollen:

• Zertifizierter ethischer Hacker CEH
• Zertifizierter Penetrationstester CPT
• Zertifizierter Expert Penetration Tester CEPT
• GIAC Certified Penetration Tester GPEN
• Lizenzierter Penetrationstester LPT
• Zertifizierter Sicherheitsspezialist ( Offensive Security Certified Professional OSCP )
• Zertifizierter Penetrationstester für Mobil- und Webanwendungen CMWAPT
• CompTIA PenTest +

Was sonst noch nützlich ist, lesen Sie im Cloud4Y- Blog

→ Der Weg der künstlichen Intelligenz von einer fantastischen Idee zur wissenschaftlichen Industrie
→ 4 Möglichkeiten zum Speichern von Backups in der Cloud
→ Top in GNU / Linux konfigurieren
→ Der Sommer ist fast vorbei. Es sind fast keine Daten durchgesickert
→ IoT, Nebel und Wolken: Über Technologie sprechen?

Abonnieren Sie unseren Telegrammkanal , um keinen weiteren Artikel zu verpassen! Wir schreiben nicht mehr als zweimal pro Woche und nur geschäftlich.