Kdo je pen tester? Přečtěte si, jaká je jeho pracovní náplň a jaké dovednosti by měl mít
Umíte programovací jazyky? Baví vás svět technologií? Stavěli jste se v dětské hře Na zloděje na stranu těch, kteří hledají způsoby, jak ošálit policisty? Pak je nalézání bezpečnostních zranitelností zaměření, které by vás mohlo bavit. Nemusíte být hacker jako Neo z Matrixu, můžete se živit jako hacker legálně. Jak? Staňte se takzvaným etickým hackerem a pracujte v oboru kybernetické bezpečnosti. Jaké dovednosti byste měli mít?
Úkol penetračního testera zní jasně…
Než si rozebereme profil etického hackera, pojďme si říct, co dělá. Penetrační tester má jasný úkol: odhalit všechny potenciální způsoby, jak se dá dostat do počítačového systému, a najít bezpečnostní chyby dříve, než to udělají hackeři. K tomu slouží metoda penetračního testování pomocí takzvaných pentestů – ty prověřují odolnost sítě proti útokům. Penetrační testování má využití zejména v odvětvích, která operují s velkým objemem citlivých údajů, jako jsou například:
- státní správa a samospráva,
- dopravní podniky,
- zdravotnická zařízení,
- výrobní podniky,
- trh s realitami.
Pentesty – jak to funguje?
Penetrační testování je disciplína kybernetické bezpečnosti, která pomáhá definovat obecnou bezpečnostní strategii firmy. Je založena na simulaci reálného hackerského útoku. Cílem testování je:
- nalézt potenciální zranitelná místa v ICT infrastruktuře,
- eliminovat potenciální rizika kybernetického útoku,
- ujistit se o úrovni zabezpečení před implementací důležitého/nového systému,
- zajistit zabezpečení ICT infrastruktury v souladu se zákonem o kybernetické bezpečnosti a dalšími předpisy nebo smluvními požadavky.
Kdo najímá pen testera?
Někteří pen testeři zastávají interní pozice a fungují jako členové interního týmu kybernetické bezpečnosti nebo informačních technologií. Jiní pracují pro konkrétní společnosti, které zákazníkům nabízejí služby penetračního testování. Zaměstnavatel pen testera je zpravidla vlastník síťových systémů anebo poskytovatel webových služeb.
Klíčové dovednosti pen testera
Analytické myšlení a dokonalá znalost bezpečnostní problematiky je samozřejmostí. Pen tester by měl umět pracovat s daty, vyhodnocovat je a zaznamenávat. Vzhledem k tomu, že pozice pen testera operuje s velkým množstvím dat a má přístup k vysoce důvěrným projektům, měl by být v první řadě:
- vynikající exepert
- umět pracovat pod tlakem,
- zůstat disciplinovaný.
Analytické myšlení a dokonalá znalost bezpečnostní problematiky je samozřejmostí. Pen tester musí umět pracovat s daty, vyhodnocovat je a zaznamenávat.
Tato profese vyžaduje výjimečné schopnosti řešit problémy. Zájemce by měl disponovat také:
- odhodláním,
- smyslem pro detail,
- znalostmi trendů v oboru.
Aby byli etičtí hackeři úspěšní, musí získat vysokou úroveň odborných znalostí v každém z těchto atributů.
Kroky, jak se stát tím pravým
Profesionální pen testeři působí napříč různými sektory a prostředími, ať už interně, nebo externě. Cesta, jak se stát součástí týmu, který má na starosti informační bezpečnost, je ale vždy stejná.
- Dosažení potřebného vzdělání
Bez vzdělání to nepůjde. Nestačí být pouze amatérský hacker a znát jednotlivé systémy a jejich zadní vrátka, abyste se mohli stát tím etickým. Pro získání dané pozice byste měli mít vysokoškolský titul z jednoho z konkrétních oborů:
- kybernetická bezpečnost,
- informatika,
- informační technologie.
- Získání profesních certifikací
Samotné formální vzdělání také nestačí. Ideální je, pokud máte i získaný potřebný profesní certifikát. Certifikace vám může získat u zaměstnavatele plusové body a stát se vaší výhodou. Můžou to být například certifikáty:
- CEH,
- CPTE,
- OSCP,
- CISSP.
- Přechozí zkušenosti v oboru
Pro získání pozice pen testera jsou nutné předchozí profesní zkušenosti. Doporučuje se minimálně jeden rok odborné praxe v oblasti IT anebo kybernetické bezpečnosti. Takovými zkušenostmi můžou být například:
- správa zabezpečení,
- správa sítě,
- síťové inženýrství,
- správce systému,
- programování webových aplikací.