Business & Integration IT konzultant
Ako sa stať etickým hackerom – penetračným testerom
Penetrační testeri, skrátene pen testeri, vykonávajú simulované kybernetické útoky na počítačové systémy a siete spoločnosti. Tieto autorizované testy pomáhajú identifikovať bezpečnostné zraniteľnosti a slabé miesta skôr, ako ich hackeri stihnú zneužiť.
Kariéra pen testera sa často začína na základnej pozícii v oblasti kybernetickej bezpečnosti. V tomto článku sa podrobnejšie venujeme tomu, čo penetrační testeri robia, aké majú úlohy a zodpovednosti a ako sa stať penetračným testerom.
Kto je etický hacker a čo je to penetračný tester?
Penetrační testeri (označovaní skrátene aj ako pen testeri) alebo etickí hackeri sú „súkromní detektívi“ vo svete informačnej bezpečnosti. Penetračné testovanie je profesia v oblasti kybernetickej bezpečnosti, ktorá zahŕňa vykonávanie simulovaných kybernetických útokov na podnikovú sieť a webové aplikácie. Medzi hlavné povinnosti penetračných testerov môže patriť posudzovanie súčasných firewallov a iných obranných systémov, vykonávanie analýz bezpečnostných systémov a úložísk údajov a poskytovanie odporúčaní na zlepšenie digitálnej bezpečnosti podniku.
Hoci sú penetrační testeri etickí hackeri, kľúčom k testovaniu obrany podniku je myslieť ako zlomyseľný hacker. Ako penetračný tester sa musíš vžiť do kože hackera a zvážiť všetky možné vstupné body, medzery a zraniteľnosti v bezpečnostnom systéme podniku.
Hodnota penetračného testera spočíva v službách, ktoré poskytuje, aj v problémoch, ktorým pomáha predchádzať, od straty údajov zákazníkov až po odhalenie obchodného tajomstva. Niektoré z bežných pracovných názvov súvisiacich s touto úlohou sú tieto:
- analytik zraniteľností (Vulnerability Analysts),
- analytik informačnej bezpečnosti (Information Security Analysts),
- inžinier pre bezpečnosť cloudu (Cloud Security Engineers),
- bezpečnostný analytik (Security Analysts).
Penetrační testeri využívajú stratégiu útočnej obrany. Cieľom je zabezpečiť čo najlepšiu informačnú bezpečnosť tým, že útočia na počítačové systémy tak, ako by to robil skutočný hacker, a tak ho predbehnú a pomôžu firme vyriešiť zraniteľnosť. Výsledkom bude zvýšená odolnosť a zlepšená kontrola bezpečnosti napadnutých informácií a systémov.
Etický hacking vs. penetračné testovanie
Pojmy penetračné testovanie a etický hacking sa vo svete kybernetickej bezpečnosti niekedy používajú zameniteľne. Tieto dva pojmy však majú mierne odlišný význam.
Penetračné testovanie sa zameriava na vyhľadávanie bezpečnostných problémov v konkrétnych informačných systémoch bez spôsobenia škody. Etický hacking je širší zastrešujúci pojem, ktorý zahŕňa širšiu škálu metód hackingu. Penetračné testovanie môžeme považovať za jeden z aspektov etického hackingu.
Obe úlohy sa prekrývajú s červeným tímom kybernetickej bezpečnosti – skupinou, ktorá poskytuje spätnú väzbu o bezpečnosti z pohľadu protivníka.
Čo robí etický hacker – penetračný tester?
Ako penetračný tester budeš zohrávať proaktívnu, útočnú úlohu v oblasti kybernetickej bezpečnosti tým, že budeš vykonávať útoky na existujúce digitálne systémy spoločnosti. Pri týchto testoch sa môžu používať rôzne hackerské nástroje a techniky s cieľom nájsť medzery, ktoré by hackeri mohli využiť. Počas celého procesu budeš podrobne dokumentovať svoje činnosti a vytvárať správu o tom, čo si urobil a ako úspešný si bol pri narúšaní bezpečnostných protokolov.
Vo všeobecnosti penetrační testeri zvyčajne vykonávajú modelovanie hrozieb, skenovanie zraniteľností a etický hacking sietí, operačných systémov a webových aplikácií. Konkrétnejšie, overovanie zabezpečenia zahŕňa niektoré alebo všetky nasledujúce úlohy:
- vykonávať testy aplikácií, sieťových zariadení a cloudových infraštruktúr,
- navrhovať a vykonávať simulované útoky sociálneho inžinierstva,
- skúmať a experimentovať s rôznymi typmi útokov,
- vyvíjať metodiky penetračného testovania,
- dokumentovať problémy týkajúce sa bezpečnosti a súladu s predpismi,
- automatizovať bežné techniky testovania s cieľom zvýšiť efektívnosť,
- písanie technických správ,
- preskúmať kód z hľadiska bezpečnostných zraniteľností,
- zhromažďovať a analyzovať spravodajské informácie z otvorených zdrojov s cieľom nájsť odhalené informácie,
- poskytovať odborné znalosti v danej oblasti so zameraním na operácie ofenzívneho testovania bezpečnosti a pracovať na testovaní obranných mechanizmov v organizácii,
- pomáhať pri určovaní rozsahu potenciálnych zákaziek, viesť zákazky od počiatočných fáz až po implementáciu a nápravu,
- vykonávať hodnotenia širokej škály technológií a implementácií s využitím automatizovaných nástrojov aj manuálnych techník,
- vyvíjať skripty, nástroje a metodiky na zlepšenie testovacích procesov,
- vykonávať cvičenia sociálneho inžinierstva a fyzické penetračné testy,
- testovanie káblových aj bezdrôtových sietí na zraniteľnosť v oblasti bezpečnosti,
- preskúmať výsledky hodnotenia s cieľom identifikovať zistenia a vytvoriť holistický analytický pohľad na systém v prostredí, v ktorom funguje,
- identifikovať hlavné príčiny technických a netechnických zistení,
- uverejniť správu o hodnotení, ktorá dokumentuje zistenia a identifikuje potenciálne protiopatrenia,
- sledovať zistenia, ktoré sa opakujú pri viacerých hodnoteniach a oznamovať tieto zistenia,
- po ukončení posúdení oznámiť použité metódy, zistenia a analýzy,
- poskytovať technickú podporu manažérom informačnej bezpečnosti pri odstraňovaní zistení hodnotenia,
- poskytovať technickú podporu v oblasti techník zneužívania a obchádzania siete s cieľom pomôcť pri komplexnom riešení incidentov a forenznej analýze napadnutých systémov.
Kde pracujú etický hackeri – pen testeri?
Penetrační testeri zvyčajne pracujú v jednom z troch prostredí.
V rámci podniku: Ako interný tester pracuješ priamo pre spoločnosť alebo organizáciu. To ti zvyčajne umožňuje dobre poznať bezpečnostné protokoly spoločnosti. Môžeš tiež viac prispievať k novým bezpečnostným funkciám a opravám.
Bezpečnostná firma: Niektoré organizácie si na vykonávanie penetračných testov najímajú externú bezpečnostnú firmu. Práca pre bezpečnostnú firmu ponúka väčšiu rozmanitosť typov testov, ktoré budeš môcť navrhnúť a vykonať.
Na voľnej nohe: Niektorí penetrační testeri sa rozhodnú pracovať na voľnej nohe. Výber tejto cesty ti môže poskytnúť väčšiu flexibilitu v rozvrhu, ale možno budeš musieť na začiatku svojej kariéry stráviť viac času hľadaním klientov.
Ideálne vlastnosti pen testera – etického hackera
Sebaanalýza
Penetračné testovanie nie je pre každého, ale určite je zaujímavé pre tých, ktorí sa rozhodnú pre túto kariéru. Penetračné testovanie si vyžaduje výnimočné schopnosti riešiť problémy, tvrdohlavé odhodlanie odhaliť slabé miesta v počítačových systémoch, oddanosť detailom a túžbu neustále sa vzdelávať v oblasti najnovších trendov.
Úspešní penetrační testeri musia mať vysokú úroveň každej z týchto vlastností, aby mohli vyniknúť. Preto buď k sebe úprimný pri sebahodnotení predtým, ako sa rozhodneš, či je pen testovanie vhodnou kariérou pre teba.
Medzi penetračnými testermi však existujú spoločné vlastnosti, ktoré považujem za nevyhnutné na to, aby sa im v tejto oblasti nielen darilo, ale aby ich každodenná práca a prostredie skutočne bavili. Tieto vlastnosti sú:
Vášeň pre riešenie problémov
Máš rád výzvy?
Vysokoškolské vzdelanie alebo uznávaný certifikát o absolvovaní školenia ti určite pomôže získať vedomosti, zručnosti a schopnosti potrebné na prácu pentestera, ale skvelý hacker je húževnatý riešiteľ problémov. Taký, ktorý má odvahu preniknúť hlboko ku koreňom problému a kreatívne myslieť mimo škatuľky.
Hoci si toto myslenie pri riešení problémov môžeš vypestovať prostredníctvom certifikátov v oblasti kybernetickej bezpečnosti alebo penetračného testovania, je dôležité, aby si sám úprimne zhodnotil svoje nadšenie a postoj k riešeniu jedinečných technických problémov.
Tvorivosť „out of box“
Ak sa chceš brániť proti útočníkovi, musíš myslieť a konať ako útočník. To si vyžaduje schopnosť rešpektovať, ale aj premýšľať nad rámec rutinných postupov, ako sú revízie brány firewall a skenovanie známych zraniteľností. Znamená to, že by si mal byť schopný pristupovať k webovej aplikácii bez poverovacích údajov a rozumieť tomu, ako ju začať profilovať, aby si mohol plánovať útoky.
Neutíchajúca zvedavosť a láska k učeniu
Láska k učeniu a zvedavosť idú ruka v ruke. Takmer všetci pentesteri, ktorých poznám, majú obe vlastnosti a majú na to dobrý dôvod: svet kybernetickej bezpečnosti sa vyvíja rýchlo.
Neustále sa objavuje nový hardvér, aplikácie, koncepty a zraniteľnosti.
Šesť krokov, ako sa stať etický hackerom – penetračným testerom
- Vzdelanie
Kedysi bolo známe, že mnohí zamestnávatelia najímali skutočných hackerov a prevádzali ich z „temnej strany“, aby pracovali pre „dobrých“ ľudí.
V posledných rokoch sa však pre penetračných testerov stali populárne vysokoškolské tituly. Všetky tituly v rôznych disciplínach kybernetickej bezpečnosti poskytujú reálny vstup do tejto oblasti. Podľa spoločnosti Cyberseek má 9 % penetračných testerov pridružený titul, 69 % získalo bakalársky titul a 22 % absolvovalo magisterské štúdium.
Formálne vzdelanie nie je v tejto oblasti všetko, ale môže výrazne prispieť k tomu, aby bol jednotlivec lepšie rozhľadený a dokázal vidieť širšie položky, ktoré sú pre podnik najdôležitejšie.
- Kariérny postup
Existuje niekoľko spôsobov, ako sa môže budúci penetračný tester presadiť v tejto oblasti. Začiatok v oblasti bezpečnostnej správy, správy siete, sieťového inžinierstva, systémovej správy alebo programovania aplikácií, pričom sa vždy treba zamerať na bezpečnostné aspekty jednotlivých disciplín, môže poskytnúť dobrý základ pre penetračné testovanie.
- Odborné certifikácie
Zamestnávatelia často chcú vidieť v životopise uchádzačov na informačnú bezpečnosť množstvo odborných certifikátov, čo platí najmä pre vyššie pozície.
Niekoľko organizácií v súčasnosti ponúka všeobecne uznávané certifikáty etického hackingu pre profesie penetračného testovania. K dispozícii sú aj certifikované výcvikové tábory pre etických hackerov, ktoré pomáhajú pri príprave na certifikačné skúšky.
- Zdokonaľovanie znalostí
Stať sa odborníkom vo vybranej oblasti je dobrý nápad v každej kariére, ale pre penetračných testerov existujú rôzne spôsoby, ako vyniknúť z davu.
Aktivita a uznanie v oblastiach kybernetickej bezpečnosti, ako sú napríklad programy odmeňovania za chyby, zhromažďovanie informácií z otvorených zdrojov (OSINT) a vývoj vlastných programov na útoky, môžu penetračným testerom priniesť uznanie v skupinách kolegov a čo je dôležitejšie, aj u potenciálnych zamestnávateľov alebo klientov.
- Všímaj si novinky a trendy
Tak ako pri väčšine kariérnych dráh v oblasti kybernetickej bezpečnosti, aj tu je nevyhnutné sledovať aktuálne dianie v tomto odvetví.
Udržuj si aktuálne zručnosti a znalosti o najnovších trendoch v oblasti programovania a sieťovej bezpečnosti, o neustále sa meniacich hackerských technikách a bezpečnostných protokoloch, o populárnych zneužívaných zraniteľnostiach a o všetkom, čo sa v odvetví kybernetickej bezpečnosti deje.
- Cvičenie v reálnych a simulovaných prostrediach.
Mnohé spoločnosti chcú zamestnať penetračných testerov s predchádzajúcimi skúsenosťami. Našťastie existujú spôsoby, ako začať získavať skúsenosti mimo pracoviska. Mnohé školiace programy pen testovania zahŕňajú praktické testovanie v simulovaných prostrediach.
Ďalším spôsobom, ako získať skúsenosti (a vyzdvihnúť svoj životopis), je účasť na programoch odmeňovania za chyby. V týchto programoch spoločnosti zvyčajne ponúkajú peňažné bonusy nezávislým pen testerom a výskumníkom v oblasti bezpečnosti, ktorí nájdu a nahlásia bezpečnostné nedostatky alebo chyby v ich kóde. Je to vynikajúci spôsob, ako si otestovať svoje zručnosti a začať nadväzovať kontakty s inými bezpečnostnými odborníkmi. Zoznam odmien nájdeš na stránkach ako Bugcrowd a HackerOne.
Nájdeš aj niekoľko webových stránok, ktoré sú navrhnuté tak, aby umožnili penetračným testerom legálne trénovať a experimentovať prostredníctvom zábavných, herných zážitkov. Tu je niekoľko z nich, ktoré ti pomôžu začať:
- Hack the Box
- me
- Hack This Site
- WebGoat
Zručnosti a skúsenosti etického hacker – penetračného testera
Požiadavky zamestnávateľov na nových zamestnancov v oblasti penetračného testovania sa podobne ako vo všetkých odboroch kybernetickej bezpečnosti výrazne líšia v závislosti od podrobných funkcií jednotlivých pozícií a úrovne pozície.
Niektoré pozície stále vyžadujú len preukázanie príslušných zručností a primeranú úroveň skúseností a znalostí v oblasti IT a bezpečnosti. Zamestnávatelia však čoraz častejšie hľadajú kandidátov s bakalárskym titulom v oblasti informačnej bezpečnosti alebo s príbuzným informatickým vzdelaním. Niektoré pokročilejšie pozície si vyžadujú magisterský titul v oblasti kybernetickej bezpečnosti alebo príbuzný titul, napríklad magisterský titul v oblasti informačnej bezpečnosti.
Pracovné skúsenosti, ktoré často vedú ku kariére v oblasti penetračného testovania, zahŕňajú vývoj a programovanie softvéru, bezpečnostné testovanie alebo prácu sieťového či bezpečnostného inžiniera alebo správcu, bezpečnostného administrátora.
Medzi požiadavky na zručnosti patria:
- Znalosť špecifických počítačových jazykov, ako napr.:
- Python
- Powershell
- Golang
- Bash
- Skúsenosti so sieťovými protokolmi, Windows/ Linux/ macOS, firewallmi, systémami IPS/IDS, prostrediami virtuálnych strojov, šifrovaním údajov, ako aj operačnými systémami iOS a Android a mobilnými operačnými systémami.
- Znalosť bežných nástrojov penetračného testovania a zabezpečenia aplikácií, ako napr.:
- Aircrack-ng
- Kaduu
- Kali
- Metasploit
- Burp Suite
- Wireshark
- Nessus
- Probely
- Qualys
- Komplexné zabezpečenie softvéru vrátane testovania API
- Vyhľadávanie hrozieb
- Bezpečnosť aplikácií SaaS
- Detekcia anomálií
Certifikáty na etický hacking a penetračné testovanie
Medzi bežné odborné certifikácie, ktoré zamestnávatelia často vyhľadávajú, patria certifikáty dostupné od:
Certifikovaný etický hacker (CEH)®
Certifikát CEH, ktorý ponúka EC-Council, patrí medzi najuznávanejšie certifikáty pre penetračných testerov. Počas certifikačného procesu CEH sa naučíš rôzne technické zručnosti a triky – od nových vektorov útoku až po reverzné inžinierstvo škodlivého softvéru – ktoré hackeri používajú na prenikanie do bezpečnostnej ochrany podnikov.
Certifikát CEH tiež znamená, že hoci máš zručnosti hackera, nepoužiješ ich na zapojenie sa do akejkoľvek nezákonnej činnosti.
CompTIA PenTest+
Spoločnosť CompTIA je poskytovateľom online vzdelávania, ktorý ponúka rôzne certifikáty kybernetickej bezpečnosti, pričom jedným z najobľúbenejších je certifikát CompTIA PenTest+.
Na rozdiel od niektorých iných, všeobecnejších certifikátov kybernetickej bezpečnosti ponúka označenie CompTIA PenTest+ špecializované znalosti o tom, ako sa stať penetračným testerom a vykonávať hodnotenia zraniteľností. Počas tohto certifikačného procesu sa naučíš plánovať, vyhodnocovať, realizovať a podávať správy o penetračných testoch spolu s užitočnými nástrojmi a rôznymi prístupmi k útokom.
GIAC Penetration Tester (GPEN)
Certifikácia GPEN je jednou z prístupnejších možností, pretože nestanovuje konkrétne predpoklady ani požiadavky na skúsenosti. Napriek tomu sa tento preukaz nepovažuje za certifikát kybernetickej bezpečnosti pre začiatočníkov.
Pri práci na získaní certifikátu GPEN sa naučíš vykonávať penetračné testy vrátane užitočných procesov, ktoré treba zaviesť pred spustením testu aj po ňom, aby si čo najlepšie vyhovel potrebám zainteresovaných strán.
Prečo sa venovať kariére v oblasti penetračného testovania?
Kariéra pen testera ti dáva príležitosť využiť svoje hackerské zručnosti pre vyššie dobro tým, že pomôžeš organizáciám chrániť sa pred kybernetickými zločincami. Je to tiež žiadaná a dobre platená kariéra.
Penetračných testerov je nedostatok a dopyt sa len zvyšuje. Organizácie si najímajú penetračných testerov, aby posilnili svoju informačnú bezpečnosť tým, že odhalia a zmiernia zraniteľnosti systému skôr, ako ich bezohľadní hackeri stihnú zneužiť. Tieto opatrenia znižujú riziko kybernetických útokov, ktoré môžu byť nákladné a poškodiť dobré meno spoločnosti. Penetrační testeri často pracujú v tímoch a spolupracujú na vývoji nových testov, ktoré simulujú kybernetickú kriminalitu.
Plat penetračného testera
Podľa portálu Glassdoor je odhadovaný celkový plat penetračných testerov v USA 114 796 USD ročne. Dodatočný plat môže predstavovať podiel na zisku, provízie alebo bonusy. Tvoj plat bude závisieť od rôznych faktorov vrátane lokality, skúseností, vzdelania a certifikátov. V niektorých odvetviach, ako sú finančné služby a vojenské zákazky, sú platy vyššie ako v iných.
Kariéra v oblasti penetračného testovania môže byť lukratívna a výnosná. Vyžaduje si vytrvalosť, húževnatosť a litre kofeínu. Hoci to môže byť spočiatku skľučujúce, keď sa staneš skúsenejším vo viacerých oblastiach, sebadôvera sa zvýši. Táto práca je postavená na etickom princípe, ktorý ti môže priniesť pocit zadosťučinenia.