Acumov
Пользователь
- Сообщения
- 15
Не секрет, что в сфере кибербезопасности наблюдается нехватка профессионалов. Процент безработицы среди пентестеров (специалистов, которые знают как взломать систему и определить ее уязвимости) равняется нулю. А зарплата варьируется от $80000 до $145000 в год — при условии, что специалист работает в удаленном режиме на западную компанию. Теперь давайте поговорим о том, как стать пентестером.
Что такое пентест?
Пентестинг, или испытание системы на проникновение (иначе говоря, белый хакинг) — отрасль новая, но невероятно перспективная. Как с финансовой точки зрения, так и в плане спроса. Ведь сегодня любой бренд, который работает с информацией, знает как важно защищать персональные данные и финансовые сведения. И нанимает профессионалов, способных взглянуть на систему глазами хакеров. А после дать ответ, как укрепить систему защиты в дополнение к различным файерволлам, DNS-серверам, виртуальным приватным сетям и другим киберсредствам.По сути, пентест — это имитация кибератаки с позиции потенциального онлайн-преступника. Пентестеры, или «белые» хакеры ищут эксплойты в сетях, программном обеспечении, на вебсайтах, а также в аппаратном обеспечении организации. Как правило, пентест состоит из нескольких стадий:
- сбор информации о бренде и системе;
- так называемая «военная разведка» — попытка выявить скрытые данные или компрометирующую информацию, которые враг сможет раздобыть о вашем бизнесе в сети;
- сканирование платформы;
- оценка уязвимостей;
- попытка проникнуть в систему через недостаточно укрепленные позиции — проще говоря, эксплойт;
- финальный анализ и отчет.
Зачем нужен пентест?
На последней стадии фирма, проводившая пентест, получает ответы на жизненно важные вопросы:- Каковы реальные риски для бизнеса? Как может пострадать репутация бренда или клиентские данные, если информация «просочится» через уязвимости?
- Достаточно ли крепка система IT-защиты? Какие меры уже предприняты, чтобы противостоять хакерам и коварным инсайдерам? Готова ли компания предотвратить случайные инциденты утечки информации?
- Если хакер получит контроль над системой, что именно станет ему известно?
- Есть ли у компании план восстановления после хакерского взлома? Каким будет ответ бренда, например, на попытку киберпреступников шантажировать компанию в обмен на ценную информацию?
Из первых уст
О специфике работы специалистов в области кибербезопасности и пентестинга мне рассказал Матин Мохаммад. В данный момент эксперт занимается консультированием в сфере информационной безопасности в ведущем банке Катара. На счету у моего собеседника — работа в международной компании, оказывающей услуги по аудиту и консалтингу Deloitte. А в арсенале — такие навыки, как защита приватной информации, проведение аудитов контрольных активностей в IT-компаниях, предоставляющих сервисы (SOC 2), умение осуществлять менеджмент посредством веб-приложений, а также оценка уязвимостей и поиск решений для защиты от утечки данных.Матин Мохаммад пришел в сектор кибербезопасности из управленческой сферы:
Перейдя работать в Deloitte, занялся консультированием.
Разобраться в сфере кибербезопасности специалисту помогли не только коллеги, но и сообщество профессионалов.
В настоящее время Матин Мохаммад работает в банке, где сфера сенситивных данных особенно актуальна. Ведь большинство кибератак происходит именно в той области, где сосредоточены финансовые сбережения.
Сейчас сфера информационной безопасности сталкивается с огромным количеством угроз. Эксперт знает об этом не понаслышке.
Матин Мохаммад уверяет, что самое сложное в работе эксперта в сфере кибербезопасности — собственно, определить уязвимость в системе.
Несомненно, есть меры в сфере защиты данных, которые необходимо принимать как на индивидуальном, так и на государственном уровне.