Kim są legalni włamywacze? Kilka rad dla początkujących pentesterów

Branża IT potrzebuje na już wyspecjalizowanych pentesterów. Wiele osób właśnie teraz zastanawia się, czy zacząć swoją karierę od tego profilu. Kto w takim wypadku może zostać pentesterem? Jak chronić się przed złośliwymi atakami? Dlaczego warto swoją przygodę z bezpieczeństwem rozpocząć od stażu w Comarch?

Odpowiedzi na te i wiele innych pytań udzielił Michał Dziekan – na co dzień pracujący, jako Inżynier ds. bezpieczeństwa w Comarch.

Mówi się, że pentesterzy to legalni hakerzy, którzy na zlecenie klienta badają, jak da się włamać do firmy za pomocą technologii i fizycznie. Prawda czy fałsz? A może masz własną definicję tego profilu?

Po części mogę się z tym zgodzić, większość naszej pracy to poszukiwanie sposobu na złamanie zabezpieczeń lub wykrycie ich braku. Jednakże nie jest to precyzyjna definicja, brakuje w niej tego, że odpowiadamy za identyfikację zagrożeń oraz przygotowanie rekomendacji, by ich uniknąć.

Jak wygląda taki test? Są one zapowiedziane, czy działacie z zaskoczenia?

Taki test zaczyna się od rozpoznania środowiska i podstawowych skanów. Następnie sprawdzamy, czy nie występują znane podatności np. w wykorzystanych bibliotekach. Na koniec zostaje najlepsze, czyli poszukiwanie całkiem nowych błędów w zabezpieczeniach i sposobu ich wykorzystania. Same testy zazwyczaj kończą się porównaniem z jakąś listą czy nie pominęliśmy jakiegoś miejsca. Zwykle są one zapowiedziane, ponieważ zadaniem naszego zespołu jest aktywny udział w SSDLC (Secure Software Development Life Cycle) – jest to cały proces wytwarzania bezpiecznego oprogramowania, który ma zapewnić, że jest ono bezpieczne w trakcie tworzenia i utrzymywania.

W tym roku Comarch, wychodząc naprzeciw oczekiwaniom studentów uruchamia w ramach wakacyjnego stażu IT kolejny raz profil Cyber Security. Czego mogą spodziewać się studenci aplikujący na ten profil?

Mogą się spodziewać dużej dawki wiedzy oraz praktyki, ciekawych zadań i oczywiście pracy w fantastycznym zespole. Warto podkreślić, że program stażowy ma dwa główne cele. Pierwszym jest stworzenie działającego narzędzia, które będzie później używane przez pracowników Comarch, a drugim jest pozyskanie nowych pracowników. Taki projekt jest nierzadko rozwijany jeszcze przez wiele lat po zakończeniu stażu, również przez byłych stażystów, jako samodzielnych specjalistów, a czasem staję się nawet częścią komercyjnie sprzedawanego rozwiązania. Na koniec trzymiesięcznego stażu każdy uczestnik jest oceniany, a najlepszym składane są propozycje  zatrudnienia.

Artykuł stanowi fragment wywiadu "Chyba każdy chciałby przekonać się, jak przełamać zabezpieczenia. Historia Michała Dziekana", który ukazał się na łamach portalu Justgeek.it.

Dodaj komentarz

      adres e-mail nie zostanie opublikowany

            Najczęściej czytane w tej kategorii