Карьера для специалистов проникновения

От любителя в профессионалы: вознесите вашу страсть на следующий уровень

Когда вы задумываетесь о том, кто такой хакер, вы думаете о талантливом индивидууме, способном войти в защищенную систему (компьютер, сеть и т.д.), используя свои умения, чтобы преодолеть все трудности, с которыми приходится столкнуться.

Смысл слова «взломать» имеет, тем не менее, более широкий и менее негативный смысл, означающий своего рода поиск обходного решения, не всегда элегантного, но, безусловно, эффективного, для проблем каждого жанра. В этом термине я рассматриваю хакера не обязательно как плохого человека, который хочет украсть чужую личность или завладеть вашими деньгами, а как здравомыслящее существо, которое использует свой мозг для решения возникших проблем. То, как этот человек использует свои навыки, идентифицирует его как с положительной, так и с отрицательной стороны.

На сегодняшний день все изменилось: появилось новое подразделение автопилотных взломов, которые не так давно затребовали бы больших «ручных» усилий. Благодаря этим инструментам многие люди, не обладающие талантом, сделались хакерами, но они не знали, что являются только сценаристами, которые могут нажать кнопку и ждать результата. Очевидно, что существует целое пространство навыков и опыта, которое отделяет их от профессиональных специалистов в области проникновения. Скажем, у вас есть большая страсть к взломам и получению новой информации (с самыми благими и эстетичными намереньями), что вы можете сделать, чтобы вознести страсть до профессионального уровня.

Работа программного обеспечения

Начнем с того, что вы пытаетесь определить, чем же работа хакера отличается от специалиста в области проникновения. Специалист в области проникновения - это «легализованный хакер», нанятый компанией для проверки безопасности системы. Таким образом, работает сайт pentester, умудряясь действовать и думать как хакер, при этом никого не компрометируя. Хотя хакер обычно заинтересован в достижении определенной цели, специалист проникновения выполняет более широкую работу, которая зачастую включает в себя изучение всей системы атаки. Например, хакер может быть заинтересован в краже паролей или в управлении базой данных, в то время как специалист проникновения систематически ищет ВСЕ нарушения в защите. Более того, как только хакер выполнил поставленную задачу, он покончил с ней, в то время как специалист должен документировать каждое выполненное действие, возможно предлагая способы исправления уязвимостей или защиту. Вы также можете считать, что хакер может атаковать случайных жертв в зависимости от его знаний о реализованных технологиях, их устаревания и уязвимостей, которые он может использовать. Специалист по проникновениям же, должен атаковать любую систему, которую хочет работодатель, поэтому он должен иметь отличное знание всех технологий, используемых во всех существующих информационных системах.

Его работа с одной стороны полностью аналогична задаче оценщика уязвимостей, но последнее более сфокусировано на составлении списка уязвимостей, в то время как первые хотят фактически проникнуть в систему.

Если вы хотели бы получить более подробную информацию о старте этой карьеры, попробуйте посмотреть веб-сайт cyberdegrees.

Вопрос навыков и опыта

Вы будете удивлены! На данный момент ситуация складывается так, что для получения любого вида работы необходим диплом подтверждающий ваши навыки, но когда мы заговариваем о специалисте проникновения конкретная степень никому не интересна. Работодатели часто ищут сотрудников с опытом в сферах связанных с безопасностью, таких как сетевой администратор, системный администратор, сетевой инженер и т.д. Получение этой работы, на мой взгляд, состоит в том, что у каждого обладателя необходимыми навыками, страстью и опытом есть шанс. Здесь представлен список довольно полезных советов:

  - читайте и узнавайте новое больше, чем вы можете. Все, что нужно для этой работы, вы буквально найдете в интернете!

- каждый раз, при приобретении хороших объемов знаний в определенной отрасли, осуществляйте поиск на существование какой либо онлайн - сертификации. Вам будет недостаточно знать все, например, о системе Unix, потому что вы также захотите, чтобы люди были в курсе ваших способностей! Не поверите, но онлайн – сертификация широко распространена и имеет немалое значение для работодателей. Во всяком случае, существует множество различных сертификатов, поэтому взгляните на эту ссылку, чтобы иметь небольшое представление.

- попытайтесь получить профессиональный опыт. Это практическая работа, и даже если для этого требуется знать много теории, в конце концов, вам всегда придется приложить руки к клавиатуре и продемонстрировать, что вы действительно можете. Проведите тестовое проникновение, попробуйте получить работу, связанную с администрированием системы, администрированием сети и т.д.

Разновидности сертификации

Сертификаты обычно выпускаются сторонними организациями и часто подразделяются на три уровня: начальный, средний, эксперт. Стоимость этих сертификатов может составлять от 200 до 3000 долларов США, но есть также бесплатные курсы, подобные тем, которые выпустили Cybrary. Что бы помочь вам сделать правильный выбор, этот сайт ведет статистику из более чем 1300 курсов, разделённых по различным специализациям.

- все источники информации;

- коллекционные операции;

- анализ защиты компьютерной сети;

- поддержка инфраструктуры компьютерной сети;

- обслуживание клиентов и техническая поддержка;

- кибер - операции;

- планирование кибер - операций;

- управление денежными средствами;

- цифровая криминалистика;

- образование и обучение;

- анализ эксплуатации;

- работа с инцидентами;

- анализ угроз.

И многое другое…

Среди многих существующих сертификатов CPTC, OSCP, CPT, CEPT и GIAC являются наиболее ориентированными на проникновение. В особенности, OSCP выпускается компанией Offensive Security, частной компанией, чьи участники основали проект Backtrack, сегодня Kali-Linux. Сам экзамен состоит в том, что ученику дается 24 часа, чтобы скомпрометировать сеть, а затем представить подробный отчет о прохождении теста.

Выводы

Если ваша самая большая амбиция - поразить своих друзей трюками со скриптами, тогда забывайте об этих сертификатах, потому что я предупреждаю, это трудный путь. Некоторые из этих курсов предназначены для опытных сетевых администраторов, другие являются начальным уровнем, но все они требуют глубокого изучения в течение нескольких месяцев и прохождения сложных экзаменов. Но если вы действительно хотите стать хакером, тогда начните копить свои деньги, мир ждет!