Os pentesters são os chamados “hackers éticos”, ou os mocinhos. Também conhecidos como validadores de garantia, os pentesters são contratados por proprietários de sistemas de rede e provedores de aplicativos baseados na Web para investigar vulnerabilidades que hackers com más intenções podem explorar para coletar dados e informações sensíveis. Hackers éticos realizam análises de vulnerabilidade (juntamente com outras tarefas) exercitando suas habilidades e conhecimentos – e realmente são pagos para realizar o equivalente a invasões digitais. Eles simulam ataques cibernéticos reais usando uma ampla variedade de ferramentas e métodos, alguns de sua própria criação, não deixando pedra sobre pedra para descobrir falhas em protocolos de segurança para redes, sistemas e aplicativos baseados na web. A ideia de um teste de penetração, ou pentest para abreviar, é sondar todas as maneiras possíveis de penetrar em qualquer sistema de computador, para encontrar brechas nos sistemas de segurança ANTES que os hackers reais possam entrar em projetos confidenciais e sensíveis ao tempo, portanto, ser confiável e calmo sob pressão são habilidades importantes. Ter a criatividade para pensar em tempo real e ser organizado o suficiente para rastrear, registrar e relatar projetos também são boas qualidades em testes de penetração. Seis passos para se tornar um PENTESTER
O que é um PENTESTER? Os pentester/hackers éticos são os detetives particulares do universo da segurança da informação. Uma das verdades básicas da natureza humana em geral, e dos sistemas de informação digital especificamente, é que os atores de má reputação sempre tentarão aproveitar as oportunidades para tirar proveito das vulnerabilidades. Os pentesters procuram investigar, descobrir e ajudar no reparo de quaisquer vulnerabilidades potenciais em sistemas de rede com e sem fio e aplicativos baseados na web. O empurra-empurra entre o trabalho preventivo dos hackers éticos e os esforços dos hackers da vida real é uma corrida armamentista constante. Cada lado tenta persistentemente avançar seus conhecimentos, habilidades e técnicas além das capacidades do outro lado. Pentesters utilizam uma estratégia de defesa ofensiva. O objetivo é fornecer a melhor segurança de informações possível, atacando ofensivamente os sistemas de computador como um hacker da vida real faria, derrotando o hacker e ajudando a fechar a vulnerabilidade. O resultado será a proteção de informações e sistemas sob ataque. Habilidades e experiência do testador de penetração Os requisitos do empregador de novas contratações no campo de testes de penetração, como em todas as disciplinas de segurança cibernética, variam drasticamente dependendo das funções detalhadas de cada cargo e do nível do cargo. Pentesters associados ou juniors, pen testers de nível médio e pen testers seniores ou líderes obviamente representam níveis de experiência e responsabilidades de avanço sequencial dentro do guarda-chuva de testes de penetração. Algumas posições ainda exigem apenas uma demonstração de habilidades relevantes e um nível adequado de experiência e conhecimento em segurança cibernética. Cada vez mais, porém, os empregadores estão procurando candidatos com diploma de bacharel em segurança da informação ou diplomas de ciência da computação relacionados. Algumas posições mais avançadas exigem um mestrado. A experiência de trabalho que geralmente leva a carreiras em testes de penetração inclui desenvolvimento e codificação de software, testes de segurança, avaliação de vulnerabilidades, engenheiro ou administrador de rede, administrador de segurança. Os requisitos de habilidades que provavelmente serão encontrados com os empregadores incluem: Conhecimento de linguagens informáticas específicas, tais como:
Experiência com sistemas operacionais de rede, Windows/ Linux/ MacOS, protocolos de comunicação, firewalls, sistemas IPS/IDS, ambientes virtuais, criptografia de dados e testes de penetração móvel de sistemas IOS/Android. Conhecimento de pentest e ferramentas de segurança de aplicativos comuns, como:
Certificações profissionais comuns frequentemente procuradas pelos empregadores incluem aquelas disponíveis em: IEEE (Institute for Electrical and Electronic Engineers) OSCP (Offensive Security Certified Professional), SANS Technology Institute , GIAC (Global Information Assurance Certification) e EC-Council . As competências transversais e a experiência procuradas pelos empregadores incluem: excelentes capacidades de comunicação; auto-dirigido, criativo e engenhoso; contribuições para projetos de código aberto e programas de recompensa de bugs ; e familiaridade com as 10 principais vulnerabilidades do OWASP . O que os testadores de penetração fazem? De um modo geral, os pentesters normalmente realizam modelagem de ameaças, avaliações de segurança e hacking ético de redes, sistemas e aplicativos baseados na web. Mais especificamente, a validação de asseguração envolve algumas ou todas as seguintes tarefas:
Descrição do trabalho do testador de penetração Os escopos de trabalho de invasão/hacking ético variam amplamente com base no empregador e no nível de antiguidade. Observar as responsabilidades declaradas para cargos de nível sênior fornece informações sobre o eventual emprego dos sonhos para todos os hackers éticos. Esta descrição de trabalho da vida real dá uma ideia.
As necessidades de segurança da informação tornam-se exponencialmente mais críticas em organizações que lidam com segredos de estado, como fornecedores militares e organizações de segurança nacional. Esta descrição de trabalho da vida real foi publicada por um grande fabricante de equipamentos militares dos EUA para uma posição de teste de caneta de nível sênior.
Outlook para testadores de penetração Os profissionais de segurança da informação terão uma demanda alta e em rápido crescimento no futuro próximo. Na verdade, há uma escassez significativa de profissionais de segurança da informação em todas as disciplinas, e espera-se que a escassez persista no futuro próximo. À medida que as necessidades de redes, aplicativos e informações se tornam consistentemente mais complicadas e críticas para as operações de negócios e de estado, esses sistemas se tornam mais direcionados e mais vulneráveis.
0 Comentários
|
ArquivosCategoriAs |