Di bidang keamanan informasi, ada profesi yang penting dan sangat menarik untuk Pentester, yaitu spesialis dalam menembus sistem komputer.
Untuk bekerja sebagai pentester, Anda harus memiliki keterampilan teknis yang baik, tahu teknik sosial, dan menjadi orang yang percaya diri. Lagi pula, tugas itu sering kali terdiri dari mengakali beberapa orang yang sangat berpengalaman yang memberikan perlindungan TI untuk perusahaan, dan juga menyediakan trik-trik orang lain yang ingin menghindari perlindungan ini. Hal utama di sini adalah jangan berlebihan. Kalau tidak, situasi yang sangat tidak menyenangkan dapat terjadi.
Cloud4Y menyiapkan program pendidikan kecil tentang pekerjaan pentester, keterampilan dan sertifikat yang diperlukan. Permintaan untuk pentester terus meningkat setiap hari (mereka kadang-kadang disebut peretas "etis" atau "putih", karena mereka sering mencoba menembus sistem yang dilindungi untuk menghilangkan kerentanan yang dapat digunakan peretas lain untuk keuntungan pribadi). CybersecurityVentures.com memperkirakan bahwa pada tahun 2021, kerusakan dari kejahatan dunia maya di seluruh dunia akan mencapai $ 6 triliun, dan peretas akan menyerang organisasi seperti Target, Facebook, Equifax, dan bahkan lembaga pemerintah seperti NSA dan Departemen Keamanan Dalam Negeri.
Diperlukan tester penetrasi
Begitu banyak yang dipertaruhkan, dan tingkat pelatihan yang diperlukan untuk posisi-posisi kunci di bidang keamanan informasi begitu tinggi sehingga sangat sulit bagi pengusaha untuk menemukan spesialis yang memenuhi syarat untuk mengisi semakin banyak pekerjaan. Ada beberapa profesional keamanan siber yang menakutkan.
Ini adalah salah satu faktor kunci yang berkontribusi terhadap tingginya gaji cybersecurity profesional. Misalnya, situs web CyberSeek.org, yang menyediakan data tentang penawaran dan permintaan di pasar kerja untuk keamanan siber, menunjukkan gaji rata-rata pentester. Dia adalah
$ 102.000 .
Apa yang harus dilakukan oleh pentester, apa nilainya? Tujuan utama pengujian adalah untuk mengidentifikasi kerentanan keamanan baik dalam sistem maupun kebijakan. Untuk berhasil dalam tugas-tugas ini, banyak keterampilan yang diperlukan:
- Keterampilan pengkodean diperlukan untuk masuk ke sistem apa pun;
- Pengetahuan yang komprehensif tentang keamanan komputer, termasuk forensik, analisis sistem dan banyak lagi;
- Memahami bagaimana peretas menggunakan faktor manusia untuk mendapatkan akses tidak sah ke sistem yang aman;
- Pemahaman yang jelas tentang bagaimana pelanggaran keamanan komputer dapat membahayakan bisnis, termasuk implikasi keuangan dan manajerial;
- Keterampilan pemecahan masalah yang luar biasa;
- Keterampilan komunikasi untuk menggunakan faktor manusia dalam tes;
- Keterampilan untuk secara jelas dan konsisten mengungkapkan pemikiran Anda untuk mendokumentasikan dan membagikan temuan Anda.
Pengujian penetrasi biasanya dilakukan dengan mempertimbangkan karakteristik organisasi tertentu dan industri di mana ia beroperasi. Beberapa industri, seperti kesehatan dan perbankan, menggunakan pentester untuk memenuhi standar keselamatan industri.
Untuk mengidentifikasi titik-titik buta potensial yang hilang oleh pengembang sistem, aplikasi atau perangkat lunak apa pun, organisasi pihak ketiga biasanya terlibat. Karyawan mereka, peretas yang sangat "etis", memiliki pengalaman dalam pengembangan, memiliki pendidikan yang baik dan sejumlah sertifikat yang diperlukan oleh cybersecurity. Beberapa pentester sebenarnya adalah mantan peretas. Tetapi mereka menggunakan bakat dan keterampilan untuk membantu organisasi melindungi sistem mereka.
Apa yang dilakukan dengan pentester?
Selain memiliki keterampilan yang kami sebutkan di atas, pentester harus dapat "berpikir seperti musuh" untuk menangani berbagai metode dan strategi yang dapat digunakan peretas dan mengantisipasi ancaman baru.
Jika Anda menjadi penguji penetrasi, pekerjaan Anda kemungkinan besar akan mencakup perencanaan dan pelaksanaan tes, mendokumentasikan metodologi Anda, membuat laporan rinci tentang hasil Anda, dan mungkin berpartisipasi dalam mengembangkan perbaikan dan meningkatkan protokol keamanan.
Secara umum, tanggung jawab pekerjaan berikut dapat disebutkan:
- Melakukan tes penetrasi dalam sistem komputer, jaringan dan aplikasi
- Membuat metode pengujian baru untuk mengidentifikasi kerentanan
- Melakukan penilaian keamanan fisik terhadap sistem, server, dan perangkat jaringan lainnya untuk mengidentifikasi area yang memerlukan perlindungan fisik
- Identifikasi metode dan titik masuk yang dapat digunakan penyerang untuk mengeksploitasi kelemahan atau kelemahan
- Menemukan kelemahan dalam perangkat lunak umum, aplikasi web, dan sistem berpemilik
- Meneliti, mengevaluasi, mendokumentasikan dan mendiskusikan hasil dengan tim dan manajemen TI
- Lihat dan berikan umpan balik tentang koreksi dalam sistem keamanan informasi
- Memperbarui dan meningkatkan layanan keamanan yang ada, termasuk perangkat keras, perangkat lunak, kebijakan, dan prosedur
- Identifikasi area-area di mana peningkatan keselamatan pengguna dan pelatihan penyadaran dibutuhkan
- Perhatikan minat perusahaan selama pengujian (meminimalkan downtime dan hilangnya produktivitas karyawan)
- Ikuti perkembangan terbaru dari ancaman malware dan keamanan
Karier Pentester
Bersiaplah untuk kenyataan bahwa pekerjaan Anda tidak hanya akan membawa sukacita. Kegembiraan, ketegangan saraf, kelelahan - ini adalah fenomena normal saat pengujian. Tetapi operasi seperti meretas komputer CIA dari film Mission Impossible tidak mungkin mengancam Anda. Dan jika mereka mengancam, lalu apa? Jadi lebih menarik.
Saran kami kepada siapa pun yang ingin membangun karier pentester sangat sederhana. Mulai bekerja sebagai programmer atau administrator sistem untuk mendapatkan pengetahuan yang diperlukan tentang bagaimana sistem bekerja, dan kemudian menemukan kekurangan di dalamnya akan menjadi hal yang biasa, hampir naluriah. Pengalaman praktis dalam bidang ini tidak tergantikan.
Penting juga untuk memahami bahwa pengujian penetrasi adalah proses yang memiliki awal, tengah, dan akhir. Awal adalah evaluasi sistem, tengah adalah bagian yang menyenangkan, sebenarnya peretasan sistem, dan akhirnya adalah dokumentasi dan transmisi hasil kepada klien. Jika Anda tidak dapat menyelesaikan tahap apa pun, maka Anda hampir tidak dapat mengatakan bahwa Anda akan menjadi pentester yang baik.
Sebagian besar waktu, tugas Pentester adalah mempelajari sistem dari jarak jauh ketika berjam-jam dihabiskan di keyboard. Tetapi pekerjaan mungkin termasuk perjalanan ke tempat kerja dan fasilitas pelanggan.
Ada banyak penguji penetrasi kerja di LinkedIn di berbagai perusahaan:
daftar panjang- Bank of America
- Pelindung biru silang biru
- Booz allen hamilton
- JP Morgan Chase
- Packard Hewlett
- Amazon
- Verizon
- Ibm
- Dell
- Modal satu
- Sistem BAE
- Sony
- Allstate
- eBay
- Deloitte
- Kesetiaan
- ADP
- E * Perdagangan
- Blok H&R
- Target
- Tenaga penjualan
- Google
- Microsoft
- Apple
- Uber
- Airbnb
- Raytheon
Jadi ada permintaan, begitu juga prospek. Selain itu, permintaan tinggi menyebabkan peningkatan cepat dalam gaji kepala petugas keamanan. Di bidang cybersecurity, ada spesialisasi lain yang memiliki banyak kesamaan dengan pengujian penetrasi. Dia adalah analis keamanan informasi, spesialis keamanan, analis, auditor, insinyur, arsitek, dan administrator. Banyak perusahaan menambahkan istilah "dunia maya" ke nama-nama di atas untuk menunjukkan spesialisasi yang sesuai.
Penguji penetrasi atau penilai kerentanan
Secara terpisah, kami ingin memilih karya lain yang pada dasarnya dekat: karya evaluator kerentanan. Apa bedanya? Singkatnya, di sini:
Penilaian kerentanan dimaksudkan untuk menyusun daftar kerentanan berdasarkan prioritas dan, sebagai aturan, ditujukan untuk pelanggan yang sudah memahami bahwa mereka tidak berada di tempat yang mereka inginkan, dari sudut pandang keamanan. Klien sudah tahu bahwa ia memiliki masalah, dan ia hanya perlu bantuan dalam menentukan prioritas mereka. Hasil penilaian adalah daftar prioritas kerentanan yang terdeteksi (dan seringkali cara untuk menghilangkannya).
Pengujian penetrasi dirancang untuk mencapai tujuan tertentu, mensimulasikan aktivitas penyerang, dan diminta oleh pelanggan yang sudah pada tingkat keamanan yang diinginkan. Tujuan tipikalnya adalah untuk mengakses konten basis data pelanggan yang berharga di jaringan internal atau untuk mengubah catatan dalam sistem manajemen personalia. Hasil dari tes penetrasi adalah laporan tentang bagaimana keamanan dikompromikan untuk mencapai tujuan yang disepakati (dan seringkali cara untuk menghilangkan kerentanan).
Penting juga mengingat program
Bug Bounty , yang juga menggunakan metode pengujian penetrasi. Dalam program semacam itu, perusahaan menawarkan hadiah tunai kepada peretas "putih" yang mengidentifikasi kerentanan atau kesalahan dalam sistem perusahaan itu sendiri.
Salah satu perbedaan adalah bahwa ketika menguji penetrasi, biasanya sejumlah spesialis mencari kerentanan tertentu, sementara program Bug Bounty mengundang sejumlah spesialis untuk berpartisipasi mencari kerentanan yang tidak pasti. Selain itu, pentester biasanya dibayar upah per jam atau tahunan, sementara anggota Bug Bounty bekerja dengan model pay-as-you-go yang menawarkan kompensasi uang tunai yang sepadan dengan tingkat kesalahan yang ditemukan.
Bagaimana menjadi Pentester bersertifikat
Meskipun pengalaman praktis dalam pengujian penetrasi adalah faktor yang paling penting, banyak pengusaha sering melihat: apakah calon memiliki sertifikat industri di bidang peretasan "putih", pentesting, keamanan TI, dll. Dan kadang-kadang mereka memilih mereka yang memiliki sertifikat ini.
Anda juga bisa mendapatkan dokumen tersebut. Kami bahkan menyiapkan daftar tujuan:
Apa lagi yang berguna untuk dibaca di blog Cloud4Y→
Jalur kecerdasan buatan dari ide yang fantastis ke industri ilmiah→
4 cara untuk menghemat cadangan di cloud→
Mengkonfigurasi top di GNU / Linux→
Musim panas hampir berakhir. Hampir tidak ada data yang bocor→
IoT, kabut dan awan: bicara tentang teknologi?Berlangganan saluran
Telegram kami agar tidak ketinggalan artikel lain! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk bisnis.