logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > Pentester, een ethische hacker die uw bedrijf beschermt

Pentester, een ethische hacker die uw bedrijf beschermt

Gepubliceerd op 16 mei 2023
Deel deze pagina :

Wat als een van de beste manieren om de beveiligingshouding van een bedrijf te testen, was door te denken als een hacker? Dit is precies wat de pentester of ethische hacker doet. Waar bestaat deze baan eigenlijk uit? Elementen van reactie met een van hen, Julien Valiente.

Illustratie van een pentester-baanartikel

“De pentester is een hacker die van zijn passie zijn beroep maakt”: hier is in een paar woorden hoe Julien Valiente, president van het ethische hackbedrijf Cyberwings en ORSYS-trainer, dit gespecialiseerde cybersecurityvak samenvat. De pentester is dus een professionele hacker, gespecialiseerd in inbraaktesten (pentests). Zijn missie? Identificeer kwetsbaarheden in computersystemen, netwerken, applicaties en zelfs websites om bedrijven te helpen hun beveiliging te verbeteren. Het beroep vereist solide technische vaardigheden en, steeds meer gewilde, methodologische vaardigheden, die gepaard gaan met een bepaalde gemoedstoestand.

De pentester, een professionele hacker

Zei je ethische hacker?

Hoewel de term ‘hacker’ in de Verenigde Staten al sinds de jaren vijftig bestaat, heeft deze in Frankrijk lange tijd een slechte pers gehad. “Op zichzelf is hacken noch goed, noch slecht. De hacker is vooral een knutselaar. Sommige mensen hebben kwade bedoelingen, het zijn hackers. Anderen, zoals pentesters, hebben ‘ethiek’, legt Julien Valiente uit. In Frankrijk verscheen het woord ‘pentester’ rond de jaren 2010 en duidt de praktijk van hacken aan als onderdeel van een professionele activiteit.

Hoe ziet zijn dagelijks leven eruit?

“De pentester oefent hacking uit voor ethische doeleinden door middel van inbraaktests”, herhaalt Julien Valiente. Het is in feite verantwoordelijk voor het identificeren van zwakke punten, gebreken en gebreken in de beveiliging. Door in de schoenen van een aanvaller te stappen, identificeert het aanvalsscenario's en paden die hackers kunnen volgen. Het uiteindelijke doel van haar missie is bedrijven te helpen passende beschermingsmaatregelen te implementeren.

Concreet worden de activiteiten van de pentester dagelijks georganiseerd rond drie grote missies. De eerste bestaat uit uitvoeren van inbraaktesten proberen fouten in beveiligingssystemen op te sporen. Het tweede betreft dehet schrijven van rapporten met samenvattingen van informatie en gegevenscorrelaties. De pentester transcribeert de zwakke punten die hij op het gebied van beveiliging detecteert. Ten slotte besteedt hij de rest van zijn tijd aan voer tests uit om uw praktijk te verbeteren.

Werknemer of freelancer?

Sommige grote bedrijven rekruteren betaalde pentesters als hun behoeften dit rechtvaardigen. Pentesters kunnen zo nieuwe, door het bedrijf ontwikkelde producten intern en systematisch testen.

Er is momenteel veel vraag naar deze vaardigheden, het salaris van pentesters ligt over het algemeen niet onder de € 40.000,- bruto per jaar voor beginners. De meer ervaren profielen (8 tot 10 jaar carrière) ontvangen salarissen van ongeveer € 70.000 tot € 85.000 bruto per jaar.

Bovendien werken veel pentesters onafhankelijk om hun missies te kunnen kiezen op basis van de technische interesse en de uitdaging die ze vertegenwoordigen. De persoon die verantwoordelijk is voor het definiëren van de contouren van de missie is doorgaans de CISO, de CIO (als hij de veiligheid van een nieuwe architectuur wil testen) of de productmanager (bijvoorbeeld bij de lancering van software). Vervolgens komen de daadwerkelijke penetratietesten.

Penetratietesten in de praktijk: welke methoden, welke vaardigheden?

De verschillende soorten pentesten

De verschillende soorten pentesten

Niet alle pentesten worden onder dezelfde omstandigheden uitgevoerd. Er zijn drie hoofdtypen:

  • Le externe pentest, waarbij de pentester vanaf internet probeert toegang te krijgen tot het informatiesysteem van de cliënt.
  • Le interne pentest, bereikt door interne toegang te geven aan de pentester (toegang die een hacker had kunnen verkrijgen).
  • Le product pentest, dat bijvoorbeeld betrekking heeft op een apparaat, een elektronisch apparaat of zelfs specifieke software.

Daarnaast zijn er ook verschillende soorten methodieken, afhankelijk van de hoeveelheid voorinformatie die de pentester heeft. We onderscheiden de pentest dus in:

  • “Black Box”, zonder informatie,
  • “Grey Box” met enige informatie, zoals een login en wachtwoord of een kaart van het informatiesysteem,
  • “White Box” met alle informatie.

Pentesting is een sterk gereguleerde activiteit, met name door de wet, internationale normen zoals ISO, benchmarks zoals MITRE ATT&CK of certificeringen (bijvoorbeeld OWASP), waarvan de beheersing getuigt van knowhow en eerlijkheid.

De typische procedure voor een pentest

Een pentest vindt doorgaans plaats in vijf hoofdfasen:

  1. Erkenning : de pentester verzamelt gegevens over zijn doelwit, meestal met behulp van tools (Sublist3r, Nmap, Nessus, OpenVAS, Burp Suite, Wireshark, Aircrack-ng...).
  2. Scannen op kwetsbaarheden : de pentester identificeert zwakke punten in de beveiliging.
  3. Exploitatie van kwetsbaarheden : de pentester probeert het systeem binnen te dringen met behulp van kwetsbaarheden die in de perimeter zijn geïdentificeerd.
  4. Vasthoudendheid : de pentester probeert mechanismen te vinden waarmee hij zijn controle kan uitbreiden en lange tijd in het systeem kan blijven.
  5. Schoonmaak : de pentester probeert zijn sporen te verwijderen om elk spoor van zijn passage uit te wissen.

Het sleutelwoord van deze verschillende fasen? Realisme. Deze verschillende stappen verwijzen eenvoudigweg naar hoe een cybercrimineel werkt.

Pentesting-specialiteiten en de belangrijkste vereiste vaardigheden

Als discipline is pentesting georganiseerd in verschillende specialiteiten. Elke specialiteit vereist een bepaald aantal technische vaardigheden. Onder de verschillende pentesterprofielen onderscheiden we:

  • De specialisten in aanvallen op communicatienetwerken, met sterke vaardigheden op het gebied van netwerken, protocollen en netwerkarchitecturen.
  • De cryptografie specialisten, die uitstekende kennis hebben van algoritmen, software-engineering en wiskunde.
  • De specialisten op het gebied van webaanvallen, die de belangrijkste beoogde raamwerken kennen, de sterke en zwakke punten van de gebruikte modules en computertalen.
  • De specialisten in fysieke aanvallen op hardware, in staat een slot te kraken, een alarm te deactiveren of zelfs videobewakingsapparatuur aan te passen.
  • De menselijke specialisten, experts op het gebied van social engineering en in staat gebruikers in gevaar te brengen.

De kwetsbaarheden waar pentesters het vaakst naar zoeken, hebben betrekking op code-injecties, queries en sjablonen, en authenticatie-bypasses. Let op: de pentester moet weten hoe hij moet coderen (Python, C, Go, Ruby, LUA, assembler, Perl), omdat hij misschien zijn eigen programma's moet schrijven. Hij moet ook voortdurend trainen om zijn vaardigheden op peil te houden.

De pentester is diep verliefd op vrijheid en kan een beetje eenzaam zijn, maar deze karaktereigenschap wordt vaak gecompenseerd door het vermogen om in teamverband te werken en een echt verlangen om zijn kennis en ervaringen te delen.

Verhoogde opleidingsbehoeften

Een opleidingsaanbod in pentesten dat gestructureerd is

De cybersecuritysector wordt gekenmerkt door een tekort aan talent: volgens Cybersecurity Ventures zijn er in 2023 wereldwijd 3,5 miljoen banen onvervuld. De vraag naar pentesters is momenteel dan ook internationaal zeer groot. In Frankrijk bieden sommige technische scholen voor computerwetenschappen een sectie aan in het laatste jaar waarin studenten zich kunnen richten op pentesting. Er zijn ook certificeringstrainingen. Angelsaksische certificering Gecertificeerde Ethische Hacker of CEH is de bekendste.

In een beroep dat veel nadruk legt op de praktijk en ervaring bovenal waardeert, moeten pentesters hun vaardigheden voortdurend verbeteren. Hoewel ze veel zelfstandig trainen, leren ze ook veel door contact met leeftijdsgenoten, via communities, maar ook binnen trainingsorganisaties. “Systemen worden complexer, technologieën evolueren. Pentesters moeten zich specialiseren”, merkt Julien Valiente op. Daarom wordt momenteel het opleidingsaanbod rond pentesting gestructureerd, met name de nascholing, waarvan het aanbod steeds uitgebreider wordt.

Een behoefte aan acculturatie tot pentesting

Een training rond pentesten is niet alleen interessant voor pentesters. Beveiligingsverplichtingen vereisen dat bedrijven regelmatig toezicht houden op de goede werking van hun beveiliging. Pentesting is een manier om aan deze verplichtingen te voldoen, naast beveiligingsaudits en kwetsbaarheidsscans, die niet dezelfde doeleinden hebben.

Bij pentesten gaat het dus ook om een hele categorie mensen die verantwoordelijkheden uitoefenen op het gebied van cybersecurity en hun systeem moeten laten beoordelen door pentesters. Door training in pentesting proberen CISO's, CIO's en bedrijfsleiders er bijvoorbeeld voor te zorgen dat de pentesting-dienst die zij op het punt staan te lanceren goed geframed zal zijn. “Ze leren ook beter omgaan met dreigingen door concreet te ontdekken hoe aanvallers dat doen”, benadrukt Julien Valiente. Kortom, ze proberen beter te begrijpen hoe piraten redeneren en opereren.

Pentesting: veel meer dan een baan, een gemoedstoestand

Een “hackende geest”

“Je wordt geen pentester, je ontdekt dat je het bent!” », lacht Julien Valiente. Omdat pentesten voortkomt uit de hackactiviteit, is het een praktijk voordat het een beroep wordt. “Het is een manier om naar dingen te kijken, die bestaat uit interesse in de werking van nieuwe tools en systemen en je afvragen hoe je ze kunt omleiden om er beter gebruik van te maken, een onvoorzien gebruik, maar leuker, veiliger of zelfs met meer respect voor de bescherming van vrijheden en gegevens.” Pentesting is geen neutrale discipline. We hebben het ook over een ‘hacking spirit’, waarbinnen ethiek, moraliteit en vrijheid een belangrijke plaats innemen.

Vrijheid, emulatie, permanente vooruitgang: de belangrijkste trekpleisters van het beroep

“Ongeveer een derde van de tijd van een hacker besteedt hij aan het schrijven van rapporten. Dit deel van het werk kan soms onaangenaam zijn, maar er zijn nog veel meer aantrekkelijke kanten”, aldus Julien Valiente. Pentesters zijn over het algemeen erg gehecht aan het idee van vrijheid en waarderen het om in hun eigen tempo te werken, op basis van missies en doelstellingen. Ze zijn meestal erg actief in verschillende gemeenschappen. Wederzijdse hulp, conferenties en wedstrijden zorgen voor een permanente navolging.

Het beroep van pentester is nog steeds weinig bekend en is essentieel om de veiligheid en integriteit van de huidige IT-systemen te waarborgen. Geconfronteerd met de exponentiële groei van cyberdreigingen en de toename van problemen met betrekking tot gegevensbescherming, zijn bedrijven en instellingen zich steeds meer bewust van de noodzaak om in dit soort vaardigheden te investeren. Permanente educatie is essentieel in dit voortdurend evoluerende vakgebied. Professionals moeten op de hoogte blijven van de nieuwste aanvals- en verdedigingstechnieken, evenals van de huidige tools en regelgeving. Internationaal erkende certificeringen, zoals CEH, OSCP en CISSP, zijn allemaal een bewijs van vaardigheden die de integratie van pentesters op de arbeidsmarkt vergemakkelijken en hun geloofwaardigheid helpen vestigen.

Bovendien is het nodig om de ethiek en verantwoordelijkheid binnen de beroepsgroep te bevorderen, om de wettigheid en het vertrouwen tussen pentesters en hun cliënten te waarborgen. Opleidingscentra en certificeringsinstellingen spelen in dit proces een cruciale rol.

Misschien ben je ook geïnteresseerd in deze artikelen

IS-bestuur IS-governance: bedrijfsonderdelen betrekken bij bedrijfsbeveiliging Welke IT-certificering is het beste voor uw bedrijf?Welke IT-certificering is het meest voordelig voor uw bedrijf? CISO Beveiligingsmanager informatiesystemen Information Systems Security Manager (CISO): meer dan een baan, een missie!

VORIG ARTIKEL

Onvermoed gebruik van ChatGPT in het bedrijfsleven

VOLGENDE ARTIKEL

Web scraping: hoe je automatisch gegevens van het web haalt

Onze expert

Julien VALIENTE

Cyberbeveiliging

Afgestudeerd in wetenschappen aan de Universiteit van Aix-Marseille en in strategisch informatiemanagement aan Sciences Po […]

geassocieerd domein

Cyberbeveiliging

bijbehorende opleiding

Gecertificeerde ethische hacker v12 - EC-raad

Indringersdetectie

Hacking en beveiliging, niveau 2, expertise