Wat als een van de beste manieren om het beveiligingsniveau van een bedrijf te testen was om te denken als een hacker? Dat is precies wat de pentester of ethisch hacker. Wat houdt deze baan eigenlijk in? Ontdek het van een van hen, Julien Valiente.
"Een pentester is een hacker die van zijn passie zijn beroep maakt": zo vat Julien Valiente, voorzitter van het ethische hackingbedrijf Cyberwings en ORSYS-trainer, dit gespecialiseerde cyberbeveiligingsberoep samen. Een pentester is een professionele hacker die gespecialiseerd is in penetratietesten (pentests). Haar missie? identificeren kwetsbaarheden in IT-systemen, netwerken, applicaties en websites om bedrijven te helpen hun beveiliging te verbeteren. De baan vereist solide technische vaardigheden en, steeds meer gevraagd, methodologische vaardigheden, gecombineerd met een bepaalde mentaliteit.
De pentester, een professionele hacker
Zei je ethische hacker?
Terwijl de term 'hacker' in de Verenigde Staten al bestaat sinds de jaren 1950, heeft het in Frankrijk lange tijd een slechte pers gehad. "Op zich is hacken goed noch slecht. Een hacker is in de eerste plaats een knutselaar. Sommige hackers hebben kwade bedoelingen. Anderen, zoals pentesters, hebben een 'ethiek'", legt Julien Valiente uit. In Frankrijk verscheen het woord "pentester" rond 2010 en verwijst naar de praktijk van hacken als onderdeel van een professionele activiteit.
Hoe ziet zijn dagelijks leven eruit?
"De pentester hackt voor ethische doeleinden door middel van penetratietests", herhaalt Julien Valiente. Het is hun taak om zwakke plekken, gebreken en defecten in de beveiliging te identificeren. Door in de huid van een aanvaller te kruipen, identificeert hij aanvalsscenario's en de paden die hackers zouden kunnen bewandelen. Het uiteindelijke doel van zijn missie is om bedrijven te helpen de juiste beveiligingsmaatregelen te treffen.
Praktisch gezien zijn de dagelijkse activiteiten van de pentester georganiseerd rond drie hoofdtaken. De eerste is penetratietests uitvoeren om te proberen zwakke plekken in de beveiligingssystemen te vinden. De tweede betreft derapport schrijven met samenvattingen van informatie en datacorrelaties. De pentester transcribeert de zwakke punten die hij detecteert op het gebied van beveiliging. Ten slotte besteden ze de rest van hun tijd aan tests uitvoeren om je praktijk te verbeteren.
In loondienst of freelance?
Sommige grote bedrijven nemen pentesters in dienst als hun behoeften dat rechtvaardigen. De pentesters kunnen dan systematisch nieuwe producten testen die het bedrijf zelf ontwikkelt.
Omdat er momenteel veel vraag is naar deze vaardigheden, dalen de salarissen voor pentesters over het algemeen niet onder de €40.000 bruto per jaar voor beginners. Meer ervaren profielen (8 tot 10 jaar carrière) verdienen een salaris van ongeveer €70.000 tot €85.000 bruto per jaar.
Daarnaast werken veel pentesters op freelance basis zodat ze hun opdrachten kunnen kiezen op basis van de technische interesse en uitdaging die ze vertegenwoordigen. De persoon die verantwoordelijk is voor het definiëren van de reikwijdte van de opdracht is over het algemeen de CISODaarna komen de eigenlijke penetratietests, die worden uitgevoerd door de IT-afdeling (wanneer die de beveiliging van een nieuwe architectuur wil testen) of de productmanager (bijvoorbeeld als onderdeel van een softwarelancering). Vervolgens komt de eigenlijke penetratietest.
Inbraaktesten in de praktijk: welke methoden, welke vaardigheden?
De verschillende soorten pentests
De verschillende soorten pentests
Niet alle pentests worden onder dezelfde omstandigheden gemaakt. Er zijn drie hoofdtypen:
- Le externe pentestDe pentester probeert het informatiesysteem van de klant binnen te komen via het internet.
- Le interne pentestDit werd bereikt door de pentester interne toegang te geven (toegang die verkregen had kunnen worden door een hacker).
- Le product pentestdie bijvoorbeeld betrekking heeft op een apparaat, een elektronisch apparaat of specifieke software.
Er zijn ook verschillende soorten methodologieën, afhankelijk van de hoeveelheid voorafgaande informatie die beschikbaar is voor de pentester. Pentesting kan worden onderverdeeld in :
- "Black Box", geen informatie,
- Een "Grey Box" met informatie zoals een login en wachtwoord of een kaart van het informatiesysteem,
- "White Box" met alle informatie.
Pentesting is een sterk gereguleerde activiteit, die wordt beheerst door de wet, internationale normen zoals ISO en normen zoals MITRE ATT&CK of certificeringen (OWASP(bijvoorbeeld), waarvan de beheersing getuigt van knowhow en eerlijkheid.
Een typische pentest
Een pentest bestaat over het algemeen uit vijf hoofdfasen:
- Erkenning De pentester verzamelt gegevens over zijn doelwit, over het algemeen met behulp van tools zoals Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark en Aircrack-ng.
- Scannen op kwetsbaarheden De pentester identificeert zwakke punten op het gebied van beveiliging.
- Misbruik van kwetsbaarheden De pentester probeert het systeem binnen te dringen door gebruik te maken van kwetsbaarheden die in de perimeter zijn geïdentificeerd.
- Vasthoudendheid De pentester probeert mechanismen te vinden waarmee hij zijn controle kan uitbreiden en voor de lange termijn in het systeem kan blijven.
- Schoonmaak : de pentester probeert zijn sporen te verwijderen om elk spoor van zijn passage uit te wissen.
Het sleutelwoord voor deze verschillende stadia? Realisme. Deze verschillende stadia verwijzen simpelweg naar de manier waarop een cybercrimineel te werk gaat.
Pentesting-specialismen en de belangrijkste vereiste vaardigheden
Als discipline is pentesting georganiseerd in verschillende specialiteiten. Elke specialiteit vereist een bepaald aantal technische vaardigheden. De verschillende profielen van pentesters omvatten :
- De specialisten aanvallen op communicatienetwerkenmet gedegen vaardigheden in netwerken, protocollen en netwerkarchitecturen.
- De specialisten in cryptografiedie een uitstekende kennis hebben van algoritmen, software engineering en wiskunde.
- De specialisten in webaanvallenZe zijn bekend met de belangrijkste doelkaders en de sterke en zwakke punten van de gebruikte modules en computertalen.
- De specialisten in fysieke aanvallen op apparatuurZe kunnen sloten openbreken, alarmen deactiveren en videobewakingssystemen aanpassen.
- De mensen specialistenZe zijn experts in social engineering en zijn in staat om gebruikers te compromitteren.
De kwetsbaarheden waar hackers het vaakst naar op zoek zijn, hebben betrekking op injecties code, verzoeken en sjablonen en het omzeilen van verificatiemethoden. Let op: de pentester moet weten hoe hij moet coderen (Python, C, Go, Ruby, LUA, assembler, Perl), aangezien ze mogelijk hun eigen programma's moeten schrijven. Ze moeten ook voortdurend bijgeschoold worden om hun vaardigheden op peil te houden.
De pentester houdt van vrijheid en kan een beetje een einzelgänger zijn, maar deze karaktereigenschap wordt vaak gecompenseerd door het vermogen om in een team te werken en een oprecht verlangen om hun kennis en ervaring te delen.
Toegenomen trainingsbehoeften
Een opleidingsaanbod in pentesten dat gestructureerd is
Er is een tekort aan talent in de cyberbeveiligingssector: volgens Cybersecurity Ventures zullen er in 2023 wereldwijd 3,5 miljoen onvervulde banen zijn. Er is dus momenteel een zeer sterke internationale vraag naar pentesters. In Frankrijk bieden sommige scholen voor computertechniek in het laatste jaar een onderdeel aan waarmee studenten zich kunnen richten op pentesting. Er zijn ook cursussen die leiden tot certificering. Angelsaksische certificering Gecertificeerde Ethische Hacker of CEH is de bekendste.
In een beroep dat sterk afhankelijk is van praktijkervaring, moeten pentesters hun vaardigheden voortdurend verbeteren. Hoewel ze veel van hun eigen training doen, leren ze ook veel van hun collega's, via communities en trainingsorganisaties. "Systemen worden complexer en technologieën evolueren. Pentesters moeten zich specialiseren", merkt Julien Valiente op. Als gevolg hiervan wordt het aanbod van pentesting-trainingen momenteel gestructureerd, met name permanente educatiecursussen, die steeds beter gevuld worden.
Behoefte aan pentesting van acculturatie
Training in pentesting is niet alleen interessant voor pentesters. Beveiligingsverplichtingen verplichten bedrijven om regelmatig te controleren of hun beveiliging goed werkt. Pentesting is een manier om aan deze verplichtingen te voldoen, naast beveiligingsaudits en kwetsbaarheidsscans, die niet hetzelfde doel dienen.
Pentesting betreft dus ook een hele categorie mensen die verantwoordelijkheden hebben op het gebied van cyberbeveiliging en hun systemen moeten laten beoordelen door pentesters. Door pentesting te trainen willen CISO's, CIO's en bedrijfsdirecteuren er bijvoorbeeld zeker van zijn dat de pentestingdienst die ze gaan lanceren goed georganiseerd zal zijn. "Ze leren ook hoe ze beter kunnen omgaan met bedreigingen door concreet te ontdekken hoe aanvallers te werk gaan", benadrukt Julien Valiente. Kortom, ze proberen beter te begrijpen hoe hackers redeneren en te werk gaan.
Pentesting: meer dan alleen een baan, het is een gemoedstoestand
Een "hackersgeest
"Je wordt geen pentester, je ontdekt dat je er een bent", lacht Julien Valiente. Omdat pentesting voortkomt uit hacken, is het een praktijk voordat het een beroep is. "Het is een manier van kijken naar dingen, die bestaat uit interesse tonen in hoe nieuwe tools en systemen werken en vragen hoe ze kunnen worden gebruikt voor onverwachte toepassingen die leuker, veiliger of zelfs respectvoller zijn voor de bescherming van vrijheden en gegevens". Pentesting is geen neutrale discipline. Er wordt zelfs gesproken over een "hacking spirit", waarin ethiek, moraliteit en vrijheid een belangrijke rol spelen.
Vrijheid, wedijver, constante vooruitgang: de belangrijkste attracties van het beroep
"Ongeveer een derde van de tijd van een hacker wordt besteed aan het schrijven van rapporten. Dit deel van het werk kan soms afschrikwekkend zijn, maar er zijn genoeg andere attracties," zegt Julien Valiente. Pentesters zijn over het algemeen erg gehecht aan de notie van vrijheid en werken graag in hun eigen tempo, op basis van opdrachten en doelstellingen. Ze zijn over het algemeen erg actief in verschillende gemeenschappen. Onderlinge steun, conferenties en competities houden de competitie gaande.
De functie van pentester, die nog steeds weinig bekendheid geniet, is essentieel voor het waarborgen van de veiligheid en integriteit van de hedendaagse IT-systemen. Door de exponentiële groei van cyberbedreigingen en de toenemende uitdagingen op het gebied van gegevensbescherming, zijn bedrijven en instellingen zich steeds meer bewust van de noodzaak om in dit soort vaardigheden te investeren. Voortdurende training is essentieel op dit voortdurend veranderende gebied. Professionals moeten op de hoogte blijven van de nieuwste aanvals- en verdedigingstechnieken en van de tools en regelgeving die van kracht zijn. Internationaal erkende certificeringen, zoals CEH, OSCP en CISSP, zijn een bewijs van vaardigheden die de integratie van pentesters op de arbeidsmarkt vergemakkelijken en hun geloofwaardigheid bevestigen.
Daarnaast is het noodzakelijk om ethiek en verantwoording binnen de beroepsgroep te bevorderen, om legaliteit en vertrouwen tussen pentesters en hun klanten te garanderen. Opleidingscentra en certificeringsinstanties spelen een cruciale rol in dit proces.
