Geekly articles weekly

Peretas Mommy di Pekerjaan Resmi: Apa yang Dilakukan Pentester



"Pentester" - kata ini sebenarnya bukan bahasa Rusia, dipinjam. Apa yang terlintas dalam pikiran orang bukan dari TI, saya takut membayangkan. Oleh karena itu, kami sendiri "di Rusia" dengan bangga menyebut "spesialis pengujian penetrasi". Apa lagi "penetrasi" dan mengapa harus diuji? Dalam artikel ini saya akan mencoba membuka tabir kerahasiaan untuk yang belum tahu.

Ada perusahaan besar di mana "paman" bekerja. Mereka dikerjakan oleh programmer yang menulis kode dan terkadang membuat kesalahan. Penyebab kesalahan adalah hal biasa: karena kebodohan, karena kemalasan atau karena ketidaktahuan teknologi, dan paling sering karena membakar kentut tenggat waktu yang tidak memungkinkan kita untuk memikirkan logika aplikasi dan menutup kode dengan tes.

Dalam produk perangkat lunak, kesalahan apa pun adalah kerentanan potensial. Kerentanan sudah merupakan risiko potensial. Dan risikonya agak buruk, dan Anda bisa kehilangan uang (secara umum, Anda bisa kehilangan banyak hal: data pelanggan, kekayaan intelektual, reputasi, tetapi semua ini dihitung dalam uang).

Dan apa yang Anda pikirkan? Paman Besar memutuskan untuk tidak terburu-buru programmer, membawa mereka ke kursus pengembangan yang aman, memberi waktu untuk menyempurnakan kode dan memberi mereka pijatan kaki? Tentu saja tidak. Paman Besar memutuskan untuk menerima risiko ini (mengurangi, mentransfer, mengasuransikan, dan banyak kata kunci lainnya). Secara umum, program berputar - lavekha kacau. Peretas mencuri sedikit, dan semuanya berjalan dalam aliran standar, tetapi untuk saat ini.

Seiring waktu, jumlah data mulai tumbuh secara signifikan, kesombongan peretas tumbuh lebih cepat. Kerusakan dari peretasan mulai melebihi batas yang dapat diterima. Juga, pengguna mulai menyadari nilai dari data pribadi "sangat penting" mereka, dan kemudian "orang-orang" melaju dari politik dan mulai berputar (penyadapan pejabat tinggi, gangguan pembangkit listrik tenaga nuklir Iran, penipuan pemilu, kebebasan berbicara, hak privasi, hak untuk dilupakan) dan akhirnya "senjata cyber"!).

Semua orang segera mengerti bahwa keamanan informasi bukan untuk Anda "Khuhra-Mukhra".
Di sini orang-orang yang paling dihormati mengatakan bahwa tentu saja mereka akan memenjarakan peretas jahat (yang akan mereka raih), tetapi semua orang perlu bertanggung jawab atas kegiatan mereka dan mengambil langkah-langkah keamanan informasi yang diperlukan. Mereka mengeluarkan instruksi, memukul dengan palu dan melarikan diri.

Poin penting bagi pembaca: "bisnis," tentu saja, dapat mengatakan bahwa privasi Anda sangat penting baginya, data tidak akan diteruskan kepada siapa pun dan setiap bit informasi akan dijaga oleh orang yang terlatih khusus, tetapi pada kenyataannya hal ini tidak menjadi masalah bagi siapa pun. Motivator utama untuk memastikan keamanan informasi adalah "nenek", atau lebih tepatnya:

  • persyaratan peraturan (jika tidak denda berat);
  • mencegah peretas mencuri banyak (dapat menyebabkan kebangkrutan);
  • menjaga reputasi (sehingga pengguna yang mudah tertipu lebih jauh membawa uang perusahaan).

Secara umum, pada awalnya tidak ada yang peduli, mereka mengembangkan kertas pintar, membeli peralatan bersertifikat, menyewa spesialis bersertifikat (atau lebih tepatnya, membeli kertas untuk keadaan biasa-biasa saja), dan semuanya tampak aman pada pandangan pertama. Tetapi karena semua orang mengerti, selembar kertas dalam kehidupan nyata tidak turun.

Sekali lagi, "paman pintar" berkumpul dan memutuskan: untuk mempertahankan diri dari penyerang, Anda harus berpikir seperti seorang penyerang. Tidak harus sendiri, Anda dapat memformalkan proses ini, merekrut orang-orang yang terlatih "dalam jaket", dan membiarkan mereka meretas diri Anda sendiri, dan hasilnya akan berupa selembar kertas baru, tetapi sudah menjadi "laporan teknis"!

Jadi, "pentester" dengan cara sederhana adalah seseorang yang meniru pekerjaan penyerang nyata, dengan demikian menguji organisasi untuk kemungkinan penetrasi (kompromi) dan mendapatkan akses ke aset informasi (informasi rahasia).

Bagaimana cara menguji? Dari mana? Di mana untuk menembus? Informasi apa yang didapat? Apa batasannya? - semua ini adalah rincian yang disepakati sebelumnya.

Dari luar, tampaknya pekerjaan itu mudah dan berbayar tinggi, ditambah pasar tidak jenuh dengan spesialis, oleh karena itu, tren terbentuk bahwa banyak siswa ingin menjadi "peretas keren" duduk di rumah di sofa dan menekan beberapa kunci, meretas raksasa TI. Tapi apakah itu sesederhana itu?

Pengalaman hidup


Pentester bukan hanya penguji, lebih baik tidak pergi ke sini dari bangku sekolah tanpa memiliki pengalaman bekerja sebagai karyawan perusahaan biasa atau perusahaan vendor .

Anda harus melalui sekolah kehidupan, contoh:

  • jelaskan kepada akuntan bahwa printer tidak berfungsi karena kabel tidak terhubung ke komputer;
  • jelaskan kepada direktur keuangan di perusahaan bahwa menulis kata sandi pada stiker di komputer sangat buruk;
  • menginstal perangkat lunak dengan persyaratan minimum 4Gb di komputer dengan 256MB RAM;
  • mengatur grid perusahaan pada router rumah sehingga semuanya terbang;
  • tunggu beberapa bulan untuk menyetujui mendapatkan akses ke sistem informasi yang sederhana;
  • mengembangkan kebijakan keamanan informasi dalam beberapa hari dengan mengunduh "ikan" dari Internet;
  • minta Tuhan untuk menyusun program dan, tanpa mengubah apa pun dalam kode, dapatkan kesuksesan;
  • untuk membuat pekerjaan 2 kali lebih cepat dari yang direncanakan, dan bukannya hadiah, dapatkan lebih banyak pekerjaan;
  • dll.

Jika tidak, seluruh laporan Anda tanpa memahami praktik nyata dan kepribadian pelanggan akan tetap menjadi selembar kertas yang indah, dan rekomendasinya tidak akan pernah terpenuhi.

Biasanya tidak sulit untuk menemukan satu "lubang" di perusahaan multi-seribu, tetapi tanpa pengalaman hidup, akan sulit untuk sepenuhnya menganalisis dan memecahkan sistem lain tanpa pemahaman:

  • Bagaimana itu dibangun? (secara kualitatif, atau di bawah zat)
  • Kenapa begitu? (kemalasan, anggaran, kondisi, staf)
  • Apa yang bisa dilewatkan oleh pengembang / arsitek / networker?
  • Mengapa tidak ada yang bertanggung jawab untuk meretas sistem? (dan itu terjadi)
  • Mengapa tidak ada yang mau memperbaiki kerentanan Anda yang sangat penting? (dan itu terjadi)
  • Mengapa kerentanan kritis tidak dapat diperbaiki dalam beberapa jam? (mungkin orang baru saja mengakhiri hari kerja dan tidak ada yang membayar untuk diproses)
  • Seberapa mudah untuk memperbaiki kerentanan yang ditemukan? (mungkin ada dukungan untuk outsourcing yang kedaluwarsa)
  • Dll

Persyaratan Pentester


Persyaratan untuk spesialis seperti itu, tentu saja, berbeda dari persyaratan untuk astronot, tidak perlu secara fisik tangguh, Anda biasanya tidak bisa bangun dari sofa untuk waktu yang lama, tetapi ada beberapa nuansa Anda sendiri.

Berikut adalah contoh tanggung jawab pekerjaan:

  • Tes Penetrasi (Pentest):
    • pengujian penetrasi eksternal dan internal;
    • analisis keamanan aplikasi web;
    • analisis keamanan jaringan nirkabel;
    • pengujian penetrasi menggunakan metode rekayasa sosioteknik;
  • Tes penetrasi sebagai bagian dari standar PCI DSS.
  • Pengembangan laporan dan rekomendasi tentang tes yang dilakukan.
  • Pengembangan sendiri dan pengembangan kompetensi departemen di bidang keamanan informasi.

Persyaratan sampel:

  • Kehadiran pendidikan teknis yang lebih tinggi di bidang keamanan informasi.
  • Pengetahuan mengelola * nix dan sistem Windows, server web.
  • Pengetahuan tentang protokol jaringan (TCP / IP), teknologi keamanan (802.1x), serta kerentanan utama protokol jaringan (arp-spoofing, ntlm-relay).
  • Pengetahuan tentang pekerjaan protokol web dan teknologi (http, https, sabun, ajax, json, sisanya ...), serta kerentanan web utama (OWASP Top 10).
  • Pengetahuan tentang pasar produk keamanan informasi (produsen, pemasok, pesaing, tren pengembangan, karakteristik permintaan, kebutuhan, dan harapan pelanggan).
  • Memahami teknologi keamanan informasi (WAF, VPN, VLAN, IPS / IDS, DLP, DPI, dll.).
  • Pengalaman dengan program nmap, sqlmap, dirb, wireshark, burp suite, Metasploit, Responder, Bloodhound.
  • Pengalaman dengan OS Kali Linux.
  • Pengetahuan tentang OWASP, metodologi PCI-DSS.
  • Pengalaman pengembangan dalam Python, PHP, Ruby, bash, Powershell, Java, C, Assembly.
  • Memahami dasar-dasar rekayasa terbalik.
  • Pengetahuan bahasa Inggris tidak lebih rendah dari tingkat Menengah.
  • Pengetahuan bahasa Mandarin (tunggu sebentar).

Plus:

  • Pengalaman dalam rekayasa terbalik dan analisis malware.
  • Pengalaman dalam mengeksploitasi kerentanan biner.
  • Ketersediaan sertifikat profesional CEH, OSCP, OSCE, dll.
  • Partisipasi dalam kompetisi profesional (CTF, hackathon, olimpiade).
  • Partisipasi dalam program Bug Bounty.
  • Memiliki CVE Anda.
  • Pidato di konferensi profesional.

Dari diriku sendiri:

Dalam hal ini, hanya sedikit orang yang tertarik dengan teknik genius-sosiofob, biasanya orang yang keluar diperlukan di sini, yang dapat:

  • jelaskan kepada pelanggan apa yang benar-benar dia inginkan dan bagaimana tampilannya;
  • menyajikan dengan benar dan melindungi tindakan dan rekomendasi mereka dalam bentuk tertulis dan verbal;
  • jika berhasil, buat "efek wow";
  • dalam hal kegagalan, buatlah "efek wow" (minus dari pentest adalah keuntungan dari keamanan informasi);
  • tahan terhadap stres (panas, terutama dengan pekerjaan tersembunyi);
  • menyelesaikan tugas tepat waktu bahkan dengan lintas proyek.
  • berada dalam tren (oh, ya, berada dalam tren adalah "beban" semua profesional TI):
    • [Anda tidak bisa mengambilnya dan tidak memikirkan pekerjaan setelah bekerja].
    • Perlu terus berkembang.
    • Baca chat room di telegram, baca blog asing, baca berita, lacak Twitter, baca Habr, tonton laporan.
    • Pelajari alat-alat baru, lacak perubahan di repositori.
    • Hadiri konferensi, bicaralah sendiri, tulis artikel .
    • Latih karyawan baru.
    • Untuk disertifikasi.
  • Jangan terbakar.

Filosofi Pentest


Tidak perlu berpikir bahwa pentest akan menunjukkan semua masalah, bahwa hasilnya akan menjadi penilaian objektif keamanan informasi Anda di perusahaan (produk).

Pentest hanya memperlihatkan hasil apa yang dapat dicapai oleh tim spesialis khusus dalam kondisi tertentu (waktu, tempat, model penyerang, kompetensi, tindakan yang diizinkan, pembatasan legislatif, prioritas, fase bulan ) dapat dicapai dengan meniru pekerjaan penyerang.

Ingat: pentester bukanlah pengganggu nyata yang dapat menggabungkan pencurian, peretasan, pemerasan, penyuapan karyawan, pemalsuan dokumen, pengaruhnya dan faktor manusia universal lainnya, semuanya terkoordinasi di sini 100 kali, beban dikontrol, dan semuanya diketahui.

Pentest juga keberuntungan. Hari ini Anda berhasil mengekstrak kata sandi administrator dari RAM dan naik ke administrator domain untuk seluruh jaringan perusahaan, dan besok belum ada di sana, dan hanya akses yang tidak terjangkau (sederhana) yang akan masuk ke laporan pada server kuno yang tidak ada yang menarik.

Perbedaan dari tujuan dekat


Selain "Pentester", ada juga "Redtimers", "Baghunters", "Peneliti", "Auditor", hanya pakar keamanan informasi - semua ini bisa satu orang, atau mungkin ada orang yang berbeda, hanya sebagian tumpang tindih dalam hal kompetensi. Tetapi cobalah untuk "mengunyah" istilah-istilah ini sedikit:

"Auditor"


Spesialis ini dilengkapi dengan semua dokumen, diagram jaringan, konfigurasi perangkat, berdasarkan kesimpulan dan rekomendasi yang dibuat untuk organisasi sesuai dengan standar dan pengalaman terbaik auditor. Karena keterbukaan informasi, ini memberikan cakupan terbesar untuk semua proses IS dan pandangan holistik dari seluruh infrastruktur.

Auditor jarang secara independen memeriksa setiap pengaturan dalam organisasi, biasanya informasi itu diberikan kepadanya oleh pelanggan sendiri, terkadang ketinggalan jaman atau salah.

Penting untuk menggabungkan upaya auditor dan pentester untuk memeriksa kedua lembar kertas dengan proses bisnis dan penerapannya dalam praktik.

"Peneliti"


Pentester dalam bentuknya yang paling murni bukanlah seorang peneliti, ia sama sekali tidak punya waktu untuk ini. Menurut peneliti, yang saya maksud adalah spesialis yang dapat meningkatkan pendirian, menyebarkan perangkat lunak tertentu dan memeriksanya hanya naik turun selama beberapa minggu, atau bahkan berbulan-bulan.

Sekarang bayangkan, Anda menyewa seorang spesialis untuk menguji infrastruktur perusahaan Anda, dan dia menghabiskan seluruh waktu untuk duduk dan meneliti perangkat lunak "kirim Valentine" yang terinstal di komputer salah satu karyawan. Bahkan jika berhasil, Anda tidak terlalu tertarik dengan hasil karyanya.

Redimer


Redtim adalah filosofi pengujian yang sama sekali berbeda. Cocok untuk perusahaan dengan IS matang, yang telah melakukan audit dan pentest, ditambah semua kekurangannya telah dieliminasi.

Di sini, ini paling dekat dengan penyerang nyata, dan layanan IS organisasi dan layanan sekutu ( SOC ...) sudah dalam verifikasi.

Perbedaan dari Pentest:

  • Hanya sedikit orang yang tahu tentang pekerjaan itu, sisanya akan merespons serangan secara real time.
  • Pekerjaan dilakukan secara terselubung - Anda dapat menyerang dari host cloud di malam hari.
  • Tidak perlu melakukan cakupan pengujian - Anda dapat mengikuti jalur dengan resistensi paling sedikit dan menemukan kata sandi di github.com.
  • Kisaran eksposur yang lebih luas - 0day dapat diterapkan, diperbaiki dalam sistem.
  • Pekerjaan ini dilakukan untuk jangka waktu yang lama (beberapa bulan, satu tahun), tidak memerlukan tergesa-gesa - di sinilah Anda mampu untuk meneliti infrastruktur pelanggan pada tegakan yang ditinggikan untuk meminimalkan penggunaan peralatan pelindung.

Baghunter


Membandingkan baghunter dengan pentester tidak benar - rasanya seperti hangat dengan lembut, yang satu tidak mengganggu yang lain. Tetapi untuk pemisahan, saya dapat mengatakan bahwa pentester lebih merupakan posisi, pekerjaan melibatkan sejumlah tugas formal berdasarkan perjanjian dengan pelanggan sesuai dengan metodologi yang dinyatakan dan dengan pembentukan rekomendasi.

Cukup bagi baghunter untuk menemukan lubang pada siapa pun (biasanya dari daftar di situs) dan mengirim bukti kesalahan (prasyarat, langkah-langkah).

Sekali lagi, tidak ada perjanjian awal, tidak ada persetujuan - Saya baru saja menemukan kerentanan dan mengirimkannya kepada pelanggan melalui situs (situs www.hackerone.com dapat berfungsi sebagai contoh situs). Anda bahkan dapat melihat bagaimana Petya melakukannya di organisasi "A" dan mengulanginya di sana di organisasi "B". Persaingan di sini tinggi, dan "buah tergantung rendah" semakin sedikit. Lebih baik untuk menganggapnya sebagai bentuk penghasilan tambahan untuk pentester.

Spesifisitas pentest dari perusahaan integrator


Bagian ini mungkin tampak beriklan, tetapi Anda tidak akan lepas dari fakta.

Setiap pentest unik dengan caranya sendiri (meskipun tekniknya dapat distereotipkan). Banyak faktor yang membuatnya unik, tetapi terutama orang-orang, tim spesialis, yang gayanya tentu saja dipengaruhi oleh perusahaan tempat mereka bekerja.

Jadi, misalnya, hanya Pentent itu sendiri yang penting untuk satu perusahaan, hasilnya, mereka menghasilkan uang hanya untuk ini. Perusahaan kedua ingin membuat kesalahan khusus selama pentest untuk menjual solusi proteksinya. Yang ketiga lebih fokus pada proses bisnis yang terganggu untuk mengangkat seluruh lapisan masalah dan mengusulkan langkah-langkah untuk menyelesaikannya.

Bekerja di perusahaan integrator , saya akan berbicara tentang fitur pentest kami untuk pelanggan eksternal. Kekhususannya adalah:

  • Kami tidak tertarik melakukan pentest demi pentest dan merentangkannya selama beberapa bulan.
  • Pekerjaan dilakukan dalam waktu sesingkat mungkin, dan hasilnya ditujukan untuk mengidentifikasi gambaran nyata dari keamanan informasi pelanggan.
  • Penting untuk menyoroti proses bisnis yang bermasalah dari keamanan informasi dengan menguji poin infrastruktur utama. Jadi, jika sistem operasi yang ketinggalan jaman terdeteksi pada 20 dari 20 komputer, lalu apa gunanya menunjukkan 200 lainnya? Cakupan penuh seringkali tidak diperlukan, dan siapa yang bisa menjaminnya sama sekali?
  • Menurut hasil pentest, perusahaan dapat segera menawarkan untuk melakukan audit, membangun proses bisnis, mengusulkan langkah-langkah perlindungan, mengimplementasikannya, menemani dan memantau. Di Rusia, tidak banyak perusahaan dapat membanggakan serangkaian peluang seperti itu. Ini nyaman ketika seluruh paket layanan dapat disediakan oleh satu perusahaan dengan pengalaman luas dalam proyek-proyek tersebut.

Dari sudut pandang karyawan, perusahaan integrator adalah banyak proyek dari semua jenis pekerjaan dengan pelanggan kecil dan sangat besar secara nasional. Ini adalah kehadiran perjalanan bisnis baik di Rusia maupun di luar negeri. Dan tentu saja, bekerja berdampingan dalam tim dengan auditor, implementasi, teknisi pemeliharaan, vendor, dll.

Hari kerja


Bayangkan Anda sudah bekerja sebagai pentester. Akan seperti apa hari-hari kerja Anda?

Dari Senin hingga Jumat, Anda melakukan "pentest eksternal" dari Pelanggan1 bersama dengan seorang kolega. Pekerjaan dilakukan berdasarkan pengalaman pribadi dan metode internasional, dengan mempertimbangkan spesifikasi pelanggan. Anda meluncurkan pemindai, menyusun peta, memeriksa daftar periksa, berkorespondensi dengan kolega tentang kerentanan yang ditemukan.

Pada saat yang sama, tim lain mulai menelepon karyawan pelanggan, menyamar sebagai layanan keamanan, mengirimkan surat-surat hebat dengan lampiran jahat, seseorang bahkan pergi untuk melempar flash drive dan memasang poster di wilayah pelanggan.

Ini bukan kompetisi, kerentanan menarik tidak selalu ditemukan di sini, orang tidak selalu melaporkan kata sandi melalui telepon dan langkah-langkah keamanan tidak selalu mengatur "bocor", jadi hanya daftar pekerjaan yang dilakukan yang dapat masuk ke laporan, tetapi Anda tidak khawatir, karena setiap pentest mengajarkan sesuatu kepada Anda sesuatu yang baru dan menunjukkan faktor manusia yang menarik.

Beberapa kali setelah pelanggan mengaburkan data input, kemudahan servis dari layanan menurun, dan pekerjaan ditunda. Setelah penyesuaian pembatasan, mereka melanjutkan. Semuanya normal. Tulis laporan.

Kemudian Anda ditugaskan ke "pentest internal" dari Customer2 dengan perjalanan bisnis ke kota N, salah satu kolega Anda dapat menguji aplikasi seluler. Setelah tiba, Anda akan diantar ke kantor yang terpisah, menyediakan tempat kerja. Anda dengan tenang menghubungkan kabel jaringan ke laptop dan melakukan "pentest internal", sesuai dengan perjanjian yang dinyatakan. Mungkin Anda menangkap pengontrol domain 3 jam setelah dimulainya kerja melalui ms17-010 dan mengumpulkan vektor lain sisa hari. Mungkin Anda telah berusaha sepanjang minggu untuk "bermain" dengan "delegasi otoritas Kerberos" pada sepasang akun yang diterima. Karyawan IB pasti akan mendatangi Anda dan bertanya apa yang telah mereka temukan. Sudah setelah 15 menit Anda mengharapkan pertanyaan: β€œBaiklah? Apakah Anda berhasil memecahkan sesuatu? ", Meskipun nmap bahkan tidak" menghangat ". Bagaimanapun, Anda biasanya memiliki sesuatu untuk mengejutkan penjaga keamanan, dan bahkan dengan akun dari printer, Anda dapat mengambil cadangan server Exchange. Laporan lebih lanjut, cerita tentang "perjalanan hebat" ke kolega, kejutan dari pelanggan, banyak rekomendasi dan bahkan lebih banyak klarifikasi, tetapi pada akhirnya perusahaan benar-benar mulai memahami bahwa keamanan adalah proses, bukan ukuran satu kali, dan Anda akan senang dengan pekerjaan yang dilakukan.

Kemudian Anda ditugaskan ke tim merah, Anda mengemudi dengan seorang rekan di mobil, parkir di sebelah bank. Luncurkan serangan pada Wi-Fi menggunakan laptop dan antena khusus. Anda bukan GRU, Anda tidak memiliki kerak, Anda benar-benar dapat "mengambil topi" dari penjaga yang tidak dapat diprediksi, sehingga antena disembunyikan dan Anda memiliki legenda yang Anda harapkan teman.

Tapi sekarang jabat tangan wifi Wi-Fi perusahaan diterima, dan kolega Anda di kantor telah membatalkan ikatannya dan pergi melalui Internet ke kotak surat manajer puncak. Itu sukses. Pengumpulan lebih lanjut informasi, laporan, presentasi.

Selanjutnya pada hari kerja Anda menulis skrip untuk mengoptimalkan bagian dari pekerjaan Anda. Baca berita dan uji teknik baru di stan. Secara paralel, pelanggan lama mengirimi Anda pertanyaan tentang pekerjaan sebulan yang lalu.

Beberapa jam pada hari Sabtu (biaya pemrosesan dibayar), pengujian beban direncanakan pada pelanggan, Anda meninggalkan situs 10 menit setelah memulai, dan coba tebak? Tulis laporan tentang hasilnya.

Segera akan ada pentest ASU TP yang menarik dan perjalanan ke konferensi IS dengan mengorbankan perusahaan. Anda menjatuhkan air mata kebahagiaan dan menyisipkan tanda kutip di formulir web baru.

Kesimpulannya


Topik pentest bukanlah hal baru, mereka menulis banyak tentangnya dan dengan cara yang berbeda (Anda dapat membacanya di sini dan di sini ),
disiplin ilmu yang tepat muncul di universitas, kompetisi diselenggarakan, berbagai konferensi diadakan, tetapi "kelaparan" kepegawaian meningkat setiap tahun. Selain itu, semakin matangnya keamanan informasi di banyak perusahaan, semakin banyak alat perlindungan informasi muncul, dan kompetensi yang tinggi dan serbaguna diperlukan dari para spesialis. Ini akan berguna bagi setiap spesialis IT (belum lagi spesialis keamanan informasi) untuk berpartisipasi dalam pentest nyata setidaknya sekali.

Dan terlepas dari awal otomatisasi (contoh di sini ), tidak mungkin sesuatu akan menggantikan orang yang kompeten dalam sepuluh tahun ke depan.

Source: https://habr.com/ru/post/id459712/

More articles:


All Articles