No campo da segurança da informação, existe uma profissão importante e extraordinariamente fascinante para o Pentester, ou seja, especialista em sistemas de computadores penetrantes.
Para trabalhar como pentester, você deve ter boas habilidades técnicas, conhecer engenharia social e ser uma pessoa confiante. Afinal, a tarefa geralmente consiste em superar alguns caras muito experientes que fornecem proteção de TI para a empresa e também fornecer truques de outras pessoas que desejam contornar essa proteção. A principal coisa aqui é não exagerar. Caso contrário, uma situação muito desagradável pode ocorrer.
Cloud4Y preparou um pequeno programa educacional sobre o trabalho do pentester, as habilidades e os certificados necessários. A demanda por criminosos está crescendo todos os dias (às vezes são chamados de hackers "éticos" ou "brancos", porque muitas vezes tentam penetrar em sistemas protegidos para eliminar vulnerabilidades que outros hackers podem usar para obter ganhos pessoais). O CybersecurityVentures.com estima que até 2021, os danos dos crimes cibernéticos em todo o mundo chegarão a US $ 6 trilhões, e os hackers atacarão organizações como Target, Facebook, Equifax e até agências governamentais como a NSA e o Departamento de Segurança Interna.
Testador de penetração necessário
Há tanto em risco e o nível de treinamento necessário para essas posições-chave no campo da segurança da informação é tão alto que é extremamente difícil para os empregadores encontrar especialistas qualificados para preencher um número crescente de empregos. Existem poucos profissionais de segurança cibernética.
Esse é um dos principais fatores que contribuem para os altos salários da segurança cibernética profissional. Por exemplo, o site CyberSeek.org, que fornece dados sobre oferta e demanda no mercado de trabalho para segurança cibernética, mostra o salário médio dos clientes. Ela é
$ 102.000 .
O que um pentester deve fazer, qual é o seu valor? O principal objetivo do teste é identificar vulnerabilidades de segurança em sistemas e políticas. Para ter sucesso nessas tarefas, são necessárias muitas habilidades:
- Habilidades de codificação necessárias para invadir qualquer sistema;
- Conhecimento abrangente de segurança de computadores, incluindo análise forense, análise de sistemas e muito mais;
- Compreender como os hackers usam o fator humano para obter acesso não autorizado a sistemas seguros;
- Uma compreensão clara de como as violações da segurança de computadores podem prejudicar os negócios, incluindo implicações financeiras e gerenciais;
- Habilidades excepcionais de resolução de problemas;
- Habilidades de comunicação para usar o fator humano em testes;
- Habilidades para expressar seus pensamentos de forma clara e consistente, a fim de documentar e compartilhar suas descobertas.
O teste de penetração geralmente é realizado levando em consideração as características de uma organização específica e o setor em que atua. Alguns setores, como assistência médica e serviços bancários, usam pentesters para atender aos padrões de segurança do setor.
Para identificar potenciais pontos cegos perdidos pelos desenvolvedores do sistema, aplicativo ou qualquer software, geralmente são envolvidas organizações de terceiros. Seus funcionários, os hackers muito "éticos", têm experiência em desenvolvimento, boa educação e vários certificados exigidos pela segurança cibernética. Alguns criminosos são na verdade ex-hackers. Mas eles usam talento e habilidades para ajudar as organizações a proteger seus sistemas.
O que faz um pentester
Além de possuir as habilidades que mencionamos acima, um criminoso deve ser capaz de "pensar como um inimigo" para lidar com toda a gama de métodos e estratégias que os hackers podem usar e antecipar novas ameaças.
Se você se tornar um testador de penetração, seu trabalho provavelmente incluirá o planejamento e a execução de testes, documentando suas metodologias, criando relatórios detalhados sobre seus resultados e possivelmente participando no desenvolvimento de correções e na melhoria de protocolos de segurança.
Em geral, as seguintes responsabilidades de trabalho podem ser mencionadas:
- Realização de testes de penetração em sistemas, redes e aplicativos de computador
- Criando novos métodos de teste para identificar vulnerabilidades
- Executando uma avaliação de segurança física de sistemas, servidores e outros dispositivos de rede para identificar áreas que requerem proteção física
- Identifique métodos e pontos de entrada que os invasores podem usar para explorar vulnerabilidades ou fraquezas
- Localizando pontos fracos em softwares, aplicativos da web e sistemas proprietários comuns
- Pesquise, avalie, documente e discuta resultados com equipes e gerenciamento de TI
- Visualize e forneça feedback sobre as correções no sistema de segurança da informação
- Atualização e aprimoramento dos serviços de segurança existentes, incluindo hardware, software, políticas e procedimentos
- Identifique áreas em que são necessárias melhorias na segurança do usuário e no treinamento de conscientização
- Esteja atento aos interesses corporativos durante os testes (minimizando o tempo de inatividade e a perda de produtividade dos funcionários)
- Mantenha-se atualizado com as mais recentes ameaças de malware e segurança
Carreira no Pentester
Esteja preparado para o fato de que seu trabalho trará não apenas alegria. Excitação, tensão nervosa, fadiga - esses são fenômenos normais durante o teste. Mas operações como invadir um computador da CIA do filme Missão Impossível provavelmente não o ameaçarão. E se eles ameaçam, então o que? Tão ainda mais interessante.
Nosso conselho para quem quer construir uma carreira de cabeleireiro é muito simples. Comece a trabalhar como programador ou administrador de sistemas para obter o conhecimento necessário sobre como os sistemas funcionam e, em seguida, encontrar falhas neles se tornará comum, quase instinto. A experiência prática neste campo é simplesmente insubstituível.
Também é importante entender que o teste de penetração é um processo que tem começo, meio e fim. O começo é a avaliação do sistema, o meio é a parte divertida, na verdade hackeando o sistema, e o final é a documentação e a transmissão dos resultados ao cliente. Se você não conseguir completar nenhum estágio, dificilmente poderá dizer que será um bom penteado.
Na maioria das vezes, o trabalho do Pentester é estudar o sistema remotamente quando longas horas são gastas no teclado. Mas o trabalho pode incluir viagens a locais de trabalho e instalações do cliente.
Existem muitos testadores de penetração de empregos no LinkedIn em uma ampla variedade de empresas:
lista longa- Bank of America
- Escudo azul cruz azul
- Booz allen hamilton
- JP Morgan Chase
- Hewlett packard
- Amazônia
- Verizon
- Ibm
- Dell
- Capital one
- Sistemas BAE
- Sony
- Allstate
- eBay
- Deloitte
- Fidelidade
- ADP
- E * Comércio
- Bloco H&R
- Target
- Salesforce
- Google
- Microsoft
- Maçã
- Uber
- Airbnb
- Raytheon
Portanto, há demanda, assim como as perspectivas. Além disso, a alta demanda leva a um rápido aumento do salário do diretor de segurança. No campo da segurança cibernética, existem outras especialidades que têm muito em comum com os testes de penetração. Ele é analista de segurança da informação, especialista em segurança, analista, auditor, engenheiro, arquiteto e administrador. Muitas empresas adicionam o termo "cibernético" aos nomes acima para indicar a especialização correspondente.
Testador de penetração ou avaliador de vulnerabilidade
Separadamente, queremos destacar outro trabalho essencialmente próximo: o trabalho de um avaliador de vulnerabilidades. Qual a diferença? Em suma, aqui:
A avaliação da vulnerabilidade tem como objetivo compilar uma lista de vulnerabilidades por prioridade e, como regra, destina-se a clientes que já entendem que não estão onde desejam estar, do ponto de vista da segurança. O cliente já sabe que ele tem problemas, e ele só precisa de ajuda para determinar suas prioridades. O resultado da avaliação é uma lista prioritária de vulnerabilidades detectadas (e muitas vezes maneiras de eliminá-las).
O teste de penetração é projetado para atingir uma meta específica, simulando as atividades de um invasor, e é solicitado por clientes que já estão no nível de segurança desejado. Um objetivo típico pode ser acessar o conteúdo de um valioso banco de dados de clientes na rede interna ou modificar um registro no sistema de gerenciamento de pessoas. O resultado de um teste de penetração é um relatório sobre como a segurança foi comprometida para atingir uma meta acordada (e muitas vezes maneiras de eliminar vulnerabilidades).
Também vale lembrar os programas
Bug Bounty , que também usam métodos de teste de penetração. Nesses programas, as empresas oferecem recompensas em dinheiro para hackers "brancos" que identificam vulnerabilidades ou erros nos próprios sistemas da empresa.
Uma das diferenças é que, ao testar a penetração, geralmente um número limitado de especialistas procura vulnerabilidades específicas, enquanto os programas Bug Bounty convidam qualquer número de especialistas a participar para procurar vulnerabilidades incertas. Além disso, os participantes do prêmio recebem geralmente salários por hora ou por ano, enquanto os membros do Bug Bounty trabalham em um modelo de pagamento conforme o uso que oferece compensação em dinheiro proporcional à gravidade do erro encontrado.
Como se tornar um Pentester certificado
Embora a experiência prática em testes de penetração seja o fator mais importante, muitos empregadores costumam procurar: os candidatos possuem certificados do setor no campo de hackers "brancos", pentesting, segurança de TI etc. etc. E às vezes escolhem aqueles que possuem esses certificados.
Você também pode obter esses documentos. Até preparamos uma lista de onde ir:
O que mais é útil para ler no blog do Cloud4Y→
O caminho da inteligência artificial, de uma ideia fantástica para a indústria científica→
4 maneiras de economizar em backups na nuvem→
Configurando top no GNU / Linux→ O
verão está quase no fim. Quase nenhum dado vazou→
IoT, nevoeiro e nuvens: fale sobre tecnologia?Assine o nosso canal
Telegram para não perder outro artigo! Escrevemos não mais do que duas vezes por semana e apenas a negócios.