Профессия пентестер

Анатолий Сергеевич Песковский
Профессия пентестер
Песковский Анатолий Сергеевич
Эксперт департамента противодействия киберугрозам компании «Информзащита»

Этичный хакер (пентестер, белый хакер, багхантер, «белая шляпа») – это эксперт по информационной безопасности, который занимается санкционированным взломом компьютерных систем. Его цель – обнаружить в приложениях и IT-инфраструктуре уязвимости, которыми может воспользоваться черный хакер, и сообщить о них заказчику – разработчикам или владельцам системы.

Краткое описание

В отличие от черных хакеров этичных нанимают не для того, чтобы навредить, а для того, чтобы проверить эффективность и отказоустойчивость информационной системы. Но способы атаки «белые шляпы» используют примерно те же, что и реальные злоумышленники. После «взлома» пентестеры передают информацию о найденных уязвимостях заказчику и объясняют, как они могут быть использованы злоумышленниками и что делать, чтобы их устранить.

Особенности профессии

Зачастую белый хакер работает с банками, технологическими (энергогенерирующими, производственными и т. д.) и прочими компаниями, с большим штатом сотрудников и критически важной инфраструктурой, которая может быть интересна злоумышленникам.

Как это происходит: пентестер приезжает в офис заказчика, встречается со службой безопасности и получает первичную точку доступа (любая интернет-розетка). Дальше пытается обойти защиту, вторгнуться в корпоративную сеть и получить доступ к домен-контроллеру (серверу, который управляет всеми компьютерами в сети), в котором хранятся учетные записи всех сотрудников компании. То есть его цель – притвориться внутренним нарушителем и найти уязвимости в сети, сервисах или конфигурациях, с помощью которых можно получить удаленный доступ к любому компьютеру, украсть данные организации или нанести другой ущерб. Напоследок он предоставляет службе безопасности отчет о проделанной работе, где описывает слабые места в инфраструктуре заказчика и дает рекомендации, как их устранить.

Особенно интересно работать с крупными технологическими предприятиями, реализовывать промышленный шпионаж. В таком случае пентестер действует как черный хакер. Сначала ему нужно обойти охрану на входе. Одно из решений – проследить в общественном транспорте за невнимательным сотрудником и скопировать его пропуск. Главное – раньше него воспользоваться своей копией и проникнуть внутрь охраняемого объекта. Дальше пентестер должен придумать себе правдоподобного персонажа – например, подрядчика, который приехал чинить интернет, но потерялся и теперь ищет IT-отдел. Как показывает опыт, попасть в серверные несложно, ведь в любой организации есть много добрых людей, которыми и пользуются пентестеры. На крайний случай можно использовать отмычки.

Когда доступ к инфраструктуре получен, следует этап ее захвата: хакер сканирует сеть, ищет уязвимости, выполняет боковое перемещение и получает доступ к контроллеру домена, после чего проворачивает что-то нехорошее, например, дампит ntds.dit – копирует базу данных Active Directory (активного каталога) с информацией о юзерах и их правах в сети (разрешениях на доступ), компьютерах, принтерах и другом оборудовании в группе, хешами паролей.

  • Хотите стать профориентологом всего за 2 месяца?
    Получите полезную профессию, помогающую людям. Курс Эльмиры Давыдовой.

В целом алгоритм работы пентестера такой:

  1. Собрать информацию об объекте тестирования.
  2. Найти точки входа.
  3. Получить первоначальный доступ к системе и сохранить свое присутствие в ней.
  4. Почистить за собой – удалить следы взлома.

Если говорить конкретно об обязанностях пентестера, то список выглядит примерно так:

  • тесты на проникновение (penetration testing);
  • анализ защищенности аппаратных платформ, встроенного программного обеспечения, исходных кодов ПО, инфраструктуры и т. д.;
  • отчеты о тестировании и рекомендации, как устранить уязвимости;
  • постоянное самообучение.

Место работы и зарплата

Бывает, что черные хакеры становятся белыми. То есть сначала они незаконно взламывают системы и крадут данные, а затем устраиваются на работу в компании и делают то же самое, только уже получают за это деньги и ничего не похищают. У них нет проблем с законом, а их гонорары могут быть больше, чем у коллег, которые на стороне зла.

Этичные хакеры в основном работают в компаниях, которые занимаются информационной безопасностью. Сейчас рынок ИБ-услуг развит хорошо, и найти компании не составит труда. Помимо того, что эти организации защищают информационные сети заказчиков, они еще и предлагают услуги пентеста. В среднем зарплата этичного хакера в штате компании варьируется от 120 тысяч и выше. Итоговая сумма зависит от опыта, знаний и навыков специалиста, умения управлять командой, наличием сертификатов (OSCP, OSWE, OSEE, BSCP, CISM).

Кроме того, пентестер может работать в штате заказчика и искать уязвимости в «родной» сети, уже прекрасно зная, как она устроена изнутри. 

Также талантливый пентестер может получать крупные суммы за участие в Bug Bounty – специальных программах, организаторы которых выплачивают вознаграждение за обнаруженные ошибки, особенно критичные уязвимости и эксплойты (фрагменты кода, последовательность команд, которые можно использовать для атак на систему). Благодаря таким конкурсам разработчики обнаруживают и устраняют ошибки до того, как о них узнает большое количество случайных пользователей или злоумышленники.

Bug Bounty часто проводят такие крупные компании, как Microsoft, Yahoo!, Amazon (VRP), Reddit, AliExpress, Avast, Apple, Booking.com и многие другие. В прошлом году Google за обнаруженные в его продуктах уязвимости заплатил пентестерам более 12 млн долларов. 605 тыс. долларов получил один белый хакер – за отчет о цепочке эксплойтов в Android. Некоммерческие организации и учреждения тоже пользуются экспертизой этичных хакеров, например, Госуслуги приглашают пентестеров найти уязвимости на своем сайте. Вознаграждение за найденный баги – до 1 млн рублей.

Зарплата пентестера на ноябрь 2024

Россия 62000—80000₽
Москва 150000—220000₽

Информации о зарплатах предоставлена порталом hh.ru.

Плюсы и минусы профессии

Достоинства:

  • Самый жирный плюс работы пентестером в том, что за нее хорошо платят.
  • Кроме того, белый хакер может получать вознаграждение за участие в Bug Bounty.
  • Наконец, этичные хакеры востребованы и уважаемы по всему миру, что тоже несомненный плюс.

Минусы тоже есть:

  • Во-первых, крутой пентестер должен иметь опыт в различных направлениях IT-сферы. Например, ему необходимо знание языков программирования, сети, виртуализации и прочее.
  • Во-вторых, работа этичного хакера не всегда безопасна. Если предстоит реализовать физический пентест (например, промышленный шпионаж), то нужно быть готовым к тому, что охрана почует неладное и вызовет полицию или даже ФСБ. А дальше пентестеру придется доказывать, что он оказался на предприятии с благими намерениями и по инициативе самой организации.

Как стать пентестером

Легче всего будет войти в профессию специалисту с опытом работы в IT. Навыки пентеста можно получить на специализированных курсах, сейчас на рынке их достаточное количество. Но курсы, конечно, не заменят практику. Это, скорее, вводная теоретическая часть для дальнейшего постижения и совершенствования навыков.

Отличный способ для новичков войти в профессию – это стажировки в компаниях, оказывающих услуги анализа защищенности. Так на реальных кейсах под руководством опытных экспертов можно научиться на практике нюансам профессии.

Для будущих пентестеров прекрасным началом будет получение вузовских специальностей по профилям направлений «Информационная безопасность» 10.03.01, «Компьютерная безопасность» 10.05.01

Вузы

Профессиональные знания

Чтобы работать пентестером, необходимо:

  • отлично разбираться в операционных системах Windows и Linux;
  • знать несколько распространенных языков программирования (Python, Java, Bash, JS, PHP и др.);
  • уметь пользоваться фреймворками для пентестов (например, Metasploit Framework).

Как бы банально это ни звучало, но нужно думать как черный хакер, понимать, что ему нужно и где он это будет искать. Для пентестеров среднего и высокого уровня необходимо знание типов атак из OWASP Top 10, OWASP Mobile Top 10, CWE, а также умение реализовывать все техники из MITRE ATT&CK.

Примеры компаний с вакансиями пентестера

  • Team Lead ИБ / Pre-sale
  • Технический писатель - Аналитик в области ИБ
  • Специалист по анализу защищенности (пентестер)
  • Пентестер/Pentester в банк
  • Ведущий специалист по анализу защищенности (pentest)
  • Программист-тестировщик

Материал может содержать рекламу. Информация о рекламодателе по ссылкам в статье.

0 комментариев
Оценка: