Интриговать людей заявлением «Я работаю хакером», защищать данные, деньги и репутацию компаний в сети — звучит как интересная профессия нового времени. Но о ней мало говорят открыто. Если труд разработчиков заметен окружающим, то существование пентестеров и их методы обеспечения защиты компаний обычно не афишируют.
Статья впервые была опубликована на Tproger.
Всё потому, что penetration test — это тест на проникновение, который ничем не отличается от вторжения злоумышленника. Специалист начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе. Хакер ищет и использует уязвимости IT-инфраструктуры компании, чтобы скачать данные, получить доступ к финансам или документации. Пентестер делает то же самое, но только чтобы выявить слабые места системы раньше, чем злоумышленник захочет ими воспользоваться.
О проблемах не любят говорить публично, поэтому о профессии пентестера общественность знает мало. Название может быть разным: от «этичного хакера» до исследователя информационной безопасности. Но суть от этого не меняется: пентестер — это инженер и программист, который тестирует уязвимости информационных систем.
Профессия многим кажется непонятной, загадочной, но интересной. Она вызывает ассоциации с американскими фильмами и громкими новостями о масштабных взломах. Кажется, достаточно выучить пару трюков и научиться запускать автоматический сканер уязвимостей, чтобы называться пентестером, но на самом деле всё гораздо сложнее.
Меня зовут Александр Герасимов, я директор по информационной безопасности Awillix, и обо всех нюансах профессии расскажу ниже.
Почему растёт спрос на пентестеров?
Все знают о кадровом голоде в IT, но спрос на квалифицированных пентестеров в последние годы превышает все мыслимые границы. Технологии проникают везде. У бизнеса появляется всё больше информационных систем. Процесс автоматизации глобален. Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах. Компании боятся репутационных и финансовых потерь, вкладывают больше денег в кибербезопасность.
Вместе с этим правительство постоянно модернизирует законы о хранении персональных данных, требуя от бизнеса защищать их должным образом.
Чтобы обнаружить уязвимости и обеспечить безопасность системы нужен серьезный уровень подготовки специалистов. Они должны мыслить как хакеры, кодить как разработчики, проводить анализ как инженеры. Кадров, обладающих необходимым набором компетенций — недостаточно, чтобы удовлетворить текущий спрос.
Навыки и их оплата
Если сравнивать зарплаты пентестеров и разработчиков, то джуны разработчики в среднем будут получать больше джунов пентестеров. При этом порог входа в профессию у пентестеров выше.
Кратко пробежимся по знаниям, которыми должен обладать кандидат в пентестеры:
умение писать код на одном, а лучше на нескольких скриптовых языках программирования. Например, Python, PHP или JavaScript;
навык извлечения данных из веб-страниц, понимание того, как работают браузеры и осуществляется коммуникация с сервером;
знание особенностей языков программирования и типовых ошибок, которые могут допустить разработчики;
понимание бизнес-логики и логики работы системы, способность проводить анализ для выявления ошибок, которые потенциально может допустить разработчик;
основы администрирования операционных систем Linux и Windows для проведения аудита безопасности, фильтрации трафика и других способов защиты от атак на сетевые сервисы;
понимание основных сетевых протоколов (HTTP, TCP, DNS) / сетевых служб (Proxy, VPN, AD);
знание компьютерной безопасности с разных сторон, включая криминалистику, системный анализ и многое другое;
навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
знание особенностей работы баз данных и основных CMS, способов защиты их от атак;
коммуникативные навыки и понимание того, как хакеры используют человеческий фактор для получения несанкционированного доступа к защищенным системам;
умение автоматизировать свою работу.
Все меняется с повышением грейда — топовые специалисты могут зарабатывать в несколько раз больше разработчиков, легко вести параллельные проекты или участвовать в Bug Bounty (программа, где люди могут получить признание и вознаграждение за нахождение ошибок).
Квалифицированный пентестер всегда будет востребованным на рынке труда, так как в этом узком профессиональном сообществе самый активный хантинг.
Как становяться пентестерами и кто считается профессионалом?
Чтобы научиться чему-то и прийти в профессию, достаточно желания и времени. Никогда ещё обучение в этой сфере не было таким доступным, как сейчас: вся информация открыта, много возможностей для самостоятельного погружения. Также существуют различные пентест-лаборатории для обучения: Hackthebox, Root Me, Vuln Hub.
Если задаться целью, можно хорошо прокачаться за полгода и получить начальную позицию. Но опыт в этой профессии — самое важное. Он выражается не годами работы и не количеством найденных уязвимостей, а в том, как хорошо специалист может работать руками, в его проектах, лексике и кейсах, о которых он может обстоятельно рассказать.
Есть разные направления пентестов: web, mobile, IT-инфраструктура, АСУ ТП и прочие. Каждый специалист может выбрать, в чем именно развиваться, исходя из своих интересов.
Существуют пентестеры, которые не умеют программировать, но разбираются в социотехнических тестированиях и анализе поведения пользователей. Есть те, кто проводит анализ кода и является не только ИБ-специалистом, но и разработчиком, причем кодит на многих языках сразу или с глубокой экспертизой в одном.
Все они оказываются в профессии по разным причинам. Кроме академического образования, многие приходят из соседних сфер, например, из системных администраторов. К примеру, у молодых специалистов часто входом в профессию становится увлечение CTF (командная игра с прикладными задачами). Начиная с решения простых задач и, переходя к более сложным, приходит понимание, из чего состоит мир кибербезопасности.
Источник: ctfnews
Прелести жизни пентестера
Есть четыре вещи, которые объединяют всех пентестеров, несмотря на разнообразность их задач. Это то, что заставляет непрерывно развиваться и узнавать новое, то, что не позволяет скучать, то, из-за чего все мы остаемся в профессии и ни на что её не променяем.
Творчество
В работе пентестера каждый день есть место творчеству, когда мы проводим ресерчи и исследования. Например, в рамках Red team проектов специалисты могут собрать собственное устройство на базе Raspberry Pi, установив модуль GSM. Затем использовать его в проектах для организации незаметного удаленного доступа во внутреннюю сеть заказчика.
Твоя работа — найти уязвимость, даже если придется придумать способ, который никому в мире ещё не приходил на ум. Для этого приходится проявлять весь свой креатив и смекалку.
Азарт
Каждый проект — квест по захвату данных и твой персональный вызов. У каждого пентестера есть азарт, когда он берётся за работу. Мы, пентестеры, обычно не страдаем выгоранием, потому что каждый опыт уникальный.
Известность и популярность
Вряд ли в других IT-профессиях можно резко проснуться знаменитым. Команде разработчиков нужно много лет трудится над одним продуктом, а пентестер может попасть, например, в зал славы Google, за один удачный проект.
Оружие пентестера — опыт, креатив и насмотренность. Он может ударить в одну точку и найти критическую уязвимость, о которой заговорят все.
Легитимные нарушения
Даже имея на руках договор, который разрешает попытку проникновения в чужую инфраструктуру, пентестер действует ровно теми же методами, что и хакер. Ореол запретности придает профессии романтики и даже легкого чувства исключительности.
О самом важном
Принимая решение попробовать себя в роли пентестера, нужно понимать, что в этой сфере игра идет «по-взрослому». Проводя пентесты, мы попадаем в 1000 почтовых ящиков и браузеров реальных живых людей, получаем доступ к истории и личной переписке, аккаунтам соцсетей, персональным и финансовым данным.
Чувства всевластия и безнаказанности — самые страшные враги пентестера. Можно было бы поставить этику и мораль на первое место в списке требований к профессии, но, так как лучше всего запоминается последнее из списка, этот пункт вынесен в заключение.
Опыт дает пентестеру практически безграничные возможности, и только его нравственные принципы определяют — останется он на светлой стороне защитников информации или перейдёт на темную сторону нарушителей закона.
Мы можем случайно узнать в переписке личную информацию, но этичные специалисты никогда не вставят в отчет взломанные пароли людей или другие чувствительные данные.
Резюме
Пентесты — это возможность легально атаковать системы безопасности, помогать бизнесу предотвращать кибератаки и стать востребованным IT-специалистом.
Кому подойдэт профессия этичного хакера:
Новичкам. Специалист по пентесту — отличный выбор для старта в IT. Фундамент и необходимые навыки, чтобы начать зарабатывать на пентесте, можно наработать самостоятельно или на онлайн-курсах.
Тестировщикам. Освойте пентесты в дополнение к своим базовым навыкам и научитесь находить и предвосхищать уязвимые места в различных digital-системах.
Системным администраторам. Знание пентестов позволит прокачать навыки в борьбе с кибератаками и повысить свою экспертность и ценность как специалиста.
Комментарии (17)
Dzzzen
13.02.2022 09:49У вас пентестеры могут работать на удаленке?
AlexandrGerasimov Автор
15.02.2022 15:51Да, у нас сейчас гибридный формат работы) Некоторые работают из дома и приезжают в офис только на планерки.
videoNik
13.02.2022 09:55+1Как писали гдето на Хабре в комментах - хороший безопасник сам вакансию на сайт может добавить )
Nickrus
13.02.2022 10:37+3Хорошее введение!
Есть аспект, в котором пентестеры проигрывают обычным разрабам. Если решишь валить за границу, то наличие иностранного гражданства может стать заметным минусом. Представляю себе американского работодателя, у которого заказ на тестирование от гос. учреждения. Посылать ли туда гражданина России?...
nick1612
13.02.2022 11:40Насколько оказывается это интересная и захватывающая профессия. Романтика! И главное, всего за полгода можно хорошо прокачаться и получить позицию.
Подскажите, а у вас собственные курсы имеются?
Lord90000
14.02.2022 10:42это же абсурд, не? разве в такой отрасли не нужен бекграунд аля понимание веба, сетей, ос, программирования и тд
какие к черту полгода?
nick1612
14.02.2022 21:49Сейчас на курсах обещают c нуля сделать "уверенным разработчиком" за 3 месяца и начальную зарплату от $1500. А тут целых полгода и на начальную позицию - так что это считай скромняги)
AlexandrGerasimov Автор
15.02.2022 15:57Конечно, согласен с вами, знание основ сетей, языков программирования, архитектуры веб-приложений необходимо. Речь идет о том, что, если есть цель погрузиться именно в пентест и анализ защищенности,то можно за 6 месяцев поднатаскать себя на различных площадках (Hackthebox и подобные), параллельно прокачивать свои теоретические знания. Этого может быть достаточно, чтобы стать джуном
kinall
13.02.2022 12:04Как-то нехорошо напоминает рассказы 3-5-летней давности "тестировщик - отличный старт в IT, приходите все в QA, у нас весело". В итоге теперь мы имеем толпы вайтишников-тостеров, смотрящих на компьютер как на норовистую шайтан-машину, но зато выучивших много умных слов вроде "негативный кейс" и "смоук-тест", чем и поражающих hr-ов в самое сердце.
Не боитесь подобного эффекта?
Jaguar505
15.02.2022 10:21Имхо, уже сейчас намного больше выросло количество ребят желающих попасть в пентест,но думаю тут будет так же как и везде, самые сильные и заинтересованные найдут себе работу, и будут постепенно повышать свой грейд.
AlexandrGerasimov Автор
15.02.2022 16:01Мне кажется, даже если такое случится, то подобных спецов можно будет легко "отсеять" с помощью тестовых заданий.
Например, предложить рассказать про самые критичные уязвимости, которые встречались (обезличено, но с подробностями по технике), а после дать задание на анализ защищенности тестового веб-приложения (если человек идет на позицию специалиста по тестированию на проникновение). По результатам все сразу станет ясно)
rudnik85
13.02.2022 22:33"Пол года поднастоскаетесь и можно идти на позицию", ну так себе рекламка у Вас... Как минимум приведите сюда одного из Ваших учеников, который сейчас на хорошей позиции и давно на Хабре, вот это будет не плохая реклама! А про быстро-курсы делающие из любого экскаваторщика мега программера, уже не трубят разве что из утюгов...
AlexandrGerasimov Автор
15.02.2022 16:05+1У нас действительно были случаи, когда студенты профильных вузов приходили к нам и под руководством ведущих спецов очень быстро набирались опыта. Я думаю все зависит от человека, его желаний и амбиций. Про курсы речи не идет, я думаю, тут должен быть комплексный подход
artebel
Очень хотелось бы, чтобы в российских вузах преподавали хоть какие-то реальные основы пентеста, а не только на бумаге. Желательно, чтобы сами преподаватели имели какой-то опыт в сфере иб.
Простой пример: разрешили провести пентест университетского сайта, но админ не знал, что я начну пытаться искать уязвимости на сервере, в итоге связал мне руки и ноги и разрешил тестировать только кнопку с получением расписания. Как результат - администрации универа приходит мой отчёт о том что на сайте уязвимостей не найдено)
NTDLL
Учиться не нужно, достаточно мультиков по телевизору насмотреться
artebel
Ну да, а потом кричим о том, что уровень знаний персонала на низком уровне ????♂️
Хотя ваш комментарий звучит скорее как провокация на эмоции)
mc2
Не вопрос в уровне знаний. Вопрос в желании получать эти знания. Иначе получается что джава-джун знает базовый синтаксис, представляет как писать классы, знает что где то есть GC, но остальное для него темный лес и он упорно считает что изучать это все не нужно (читать "х, х и в прод").