• cyberhood

Ma che cosa fa un penetration tester?

Aggiornato il: feb 14

Nell'immaginario collettivo, un penetration tester di professione lo si associa alla figura dell'hacker, il lupo solitario che batte velocemente su una tastiera, in una stanza buia, che sopravvive con caffeina e tranci di pizza fredda e, ovviamente, fa cose nefaste indossando una felpa con cappuccio! Ma è davvero così? Non proprio.

Quelli di noi che fanno questo mestiere (o cercano di farlo) lo sanno bene. È spesso richiesto a un pentester di ricoprire molti ruoli, di essere tecnicamente preparati ma anche di avere competenze trasversali come l'interazione con i clienti e la preparazione di un raport ben scritto. Spesso svolgendo questo lavoro a distanza nella comodità delle nostre case. Ma è davvero tutto qui? No. In tutte le ricerche che ho fatto sulla figura dell'hacking etico c'è ancora una cosa che raramente viene detta, che è forse la più importante: un pentester lavora quasi sempre in una squadra.


Ed è proprio per questo aspetto di gruppo che è importante pensare ai modi in cui possiamo essere un giocatore efficace ed efficiente. In questo articolo, tratteremo della giornata tipo, dei pro e contro di lavorare da remoto e alcuni consigli su come essere un giocatore che pianifica con attenzione la squadra. Quindi, congratulazioni per aver ottenuto quel lavoro che hai sempre desiderato e, se vuoi restare lì e progredire, continua a leggere!


Un giorno da penetration tester

Siamo spesso considerati hacker etici, il che è vero, ma siamo anche consulenti che svolgono una varietà di attività, scrivono lunghi rapporti e interagiscono con i clienti tramite telefonate, e-mail e debriefing. Per descrivere al meglio una giornata tipo, devo coprire ogni possibile compito che mi potrebbe essere chiesto di svolgere al lavoro. Tuffiamoci dentro.


7:15

Lavoro a casa da remoto, uno dei grandi vantaggi di questa professione. Mi alzo con sufficiente anticipo prima di iniziare la mia giornata. Faccio colazione, leggo qualche news e sono pronto per partire alle 8 del mattino.


8:00-17:00

Qui è dove inizia davvero la diversità dei miei giorni. A seconda del cliente e delle attività che devono essere eseguite nella giornata, posso finire per svolgere un'ampia varietà di compiti.


Scansione delle vulnerabilità - Per la scansione delle vulnerabilità utilizziamo strumenti come Nessus. Esaminiamo quindi i risultati e forniamo un rapporto al cliente in ordine di importanza della patch. È importante notare che questa attività è passiva, non comprende tentativi di attacco e penetrazione. I clienti spesso scelgono scansioni di vulnerabilità quando sono tra i test di penetrazione e/o la redazione dei requisiti di conformità.


Test di penetrazione di una rete esterna - Un test di penetrazione esterno è il punto in cui un hacker etico tenta di entrare in una rete da Internet. Questo test serve a emulare un attacco che può avvenire in qualsiasi momento e da qualsiasi luogo. Oltre alla scansione delle vulnerabilità della rete esterna, tentiamo anche di verificare e sfruttare le potenziali vulnerabilità rilevate. Sfruttiamo gli elementi trovati durante la raccolta di informazioni, come le credenziali dell'account che sono state mostrate in precedenti violazioni della sicurezza, per tentare di ottenere l'accesso alle reti.


Test di penetrazione della rete interna - Un test di penetrazione interna è il punto in cui un hacker etico esegue il test all'interno di una rete. In questo scenario, possiamo presumere che abbiamo violato il perimetro come un cattivo e che ora siamo all'interno della rete, tentando di identificare informazioni preziose e di compromettere l'intera rete, se possibile. Questi test sono fortemente focalizzati (> 95%) sui test di penetrazione di Active Directory e richiedono un toolkit molto diverso rispetto ai test esterni.


Test di penetrazione delle applicazioni Web - Un test di penetrazione delle applicazioni Web è generalmente il test di un sito Web, sebbene possa anche essere personalizzato per applicazioni interne. Ci concentriamo sull'utilizzo del framework e della metodologia OWASP (Open Web Application Security Project) per testare le applicazioni client. Gli attacchi comuni includono SQL injection (SQLi), Cross-Site Scripting (XXS), XML External Entities (XXE) e molto altro ancora.


Test di penetrazione wireless - Un test di penetrazione wireless è una valutazione delle reti wireless di un cliente. Ci viene assegnato il compito di valutare se possiamo ottenere l'accesso a una rete personale o aziendale WPA2. Abbiamo anche il compito di valutare le reti guest per vedere se siamo in grado di identificare eventuali file o server sensibili come guest e/o accedere a posizioni nella rete riservate.


Ingegneria sociale - Un altro compito che ci viene richiesto è l'ingegneria sociale. Può essere realizzato sotto forma di phishing, vishing e altre tecniche identificate dal cliente. Ad esempio, potremmo chiamare l'help desk fingendo di essere un utente finale e chiedendo una reimpostazione della password. Potremmo anche eseguire una campagna di phishing contro l'intera organizzazione per vedere quante persone fanno clic su un determinato link e quante persone ci inviano informazioni sensibili.


Valutazioni del malware - Nelle valutazioni del malware, un tester di penetrazione genererà molte diverse forme di malware al fine di testare le protezioni dei client in atto. Spesso si inizia con attacchi di base e per diventare poi sempre più complesso. L'obiettivo è identificare quali tipi di malware vengono rilevati dal client e quali invece non vengono percepiti. Ciò consente di ottimizzare i sistemi client e migliorare la posizione di sicurezza complessiva di una organizzazione.


Viola Teaming - Una valutazione della squadra viola, a volte nota anche come valutazione SOC, è quella in cui il Red Team (offesa) si siede al tavolo col Blue Team (difesa) e esegue una varietà di attacchi simulati. L'obiettivo è determinare se il Blue Team è in grado di rilevare gli attacchi e, in caso contrario, migliorare le basi di sicurezza.


Red Teaming - Una valutazione del Red Team simula un attacco avanzato contro un cliente. Queste valutazioni hanno lo scopo di essere furtive in natura e possono richiedere mesi per essere completate. Spesso, una valutazione del Red Team include un'attività di scansione minima o nulla e un'elevata quantità di ingegneria sociale. L'obiettivo è simulare gruppi come APT (Advanced Persistent Threats) ed esfiltrare le informazioni sensibili dall'organizzazione. È molto diverso dalle tipiche valutazioni del tipo di scansione e sfruttamento eseguite dalla maggior parte dei tester di penetrazione.


Fine della giornata! Queste sono brevi descrizioni di quelle che molto probabilmente vedrai come pentester/consulente di cybersec. Ci sono molte sfumature sottili per ognuna e non di rado le puoi trovare definite in modo leggermente diverso. Molto dipende anche dal tuo background e dai compiti che ti vengono assegnati.


Una volta completato il lavoro di valutazione, iniziamo la fase di scrittura del rapporto. Questo può essere un processo a volte noioso ma necessario. Ci si aspetta che prendiate appunti eccellenti come pentester e li riassumiate in un rapporto chiaro e dettagliato che presenti i risultati. A seconda del cliente, il rapporto può essere una telefonata o 100 pagine. Alcuni clienti vogliono pochissime informazioni e altri ne vogliono molte. In media, la maggior parte dei rapporti ha un minimo di 20 pagine.


L'ultima fase è quella dell'interazione col cliente. Ciò include telefonate, e-mail di aggiornamento dello stato e debriefing. Non è certo necessario essere particolarmente estroversi per avere successo nelle interazioni. Devi essere in grado di presentare i risultati di fronte a un cliente, parlare in modo chiaro e intelligente ed essere in grado di supportare i tuoi risultati attraverso discussioni tecniche.


Il lavoro da remoto

Come accennato in precedenza, ho il piacere di lavorare da casa. Adoro avere la flessibilità dell'orario e il lavorare con abiti che non sarebbero mai presentabili in un ufficio. Adoro poter pranzare con la famiglia, fare un pisolino o qualunque altra cosa durante la pausa pranzo.


Ancora più importante, adoro la quantità di tempo che evito di passare seduto nel traffico ogni giorno per andare e tornare dal lavoro.

Ci sono anche alcuni aspetti negativi nel lavorare da remoto. Ad esempio, se sei nuovo del mestiere potrebbe essere più difficile imparare dai colleghi senior. In un ufficio è facile essere l'ombra di qualcuno più esperto di te e chiedergli aiuto. Questo tipo di interazione ha un valore inestimabile in tutti i livelli di abilità, ed è ancora più importante per chi è all'inizio della carriera. Tuttavia, non è impossibile imparare dagli altri da remoto.


Un altro aspetto negativo di lavorare da remoto è la perdita di interazione sociale sul lavoro. Avere persone con cui parlare fisicamente, andare a pranzo ed essere in giro può essere mentalmente stimolante. Alcune persone hanno bisogno dell'interazione e altre no. Devo ammettere che a volte mi manca, ma mi trovo molto più produttivo nel mio ambiente domestico.


Considerazioni finali sul lavoro di squadra

Un penetration tester non è solo un professionista che da solo hackera aziende in una felpa da un seminterrato. Siamo esperti non solo a livello tecnico ma spesso anche in quello della comunicazione e sociale. Mentre lavoriamo da remoto per la maggior parte del tempo siamo una squadra con persone incredibilmente di talento. Per questo motivo, è importante essere il miglior compagno di squadra che puoi essere e imparare da chi ti circonda. Non solo l'efficienza e le capacità del tuo team miglioreranno nel farlo, ma miglioreranno anche la tua efficienza personale e le tue competenze, e nel complesso sarai un penetration tester migliore.


#pentester #thecybermentor

13 visualizzazioni

© 2020 cyberhood è una business unit di algoritmo srl - P.IVA/CF 11546300010 - Privacy Policy