Tester bezpieczeństwa / Pentester

Kiedy czujesz się bezpiecznie? Zapewne wtedy kiedy wiesz, że nic Ci nie zagraża, albo, że masz kogoś kto zdoła Cię ochronić. W IT takim “obrońcą” jest Security Tester, którego głównym celem jest zapewnienie użytkownikowi poczucia bezpieczeństwa np. podczas korzystania z przeglądarki. Oczywiście jego możliwości nie kończą się na stronach czy aplikacjach webowych bo obejmują również m.in: systemy przechowywania danych oraz inne aktywa informatyczne. 

Ale czym dokładnie zajmuje się PenTester ( Penetration Tester) ? Bo właśnie tak możemy inaczej nazwać Security Testera. Po pierwsze zapoznaje się się z wymogami klienta, w celu skonkretyzowania testów jakie w późniejszym czasie przeprowadzi. Ale jakich testów? Testy o, których mowa polegają na próbach złamania zabezpieczeń sieci komputerowych, systemów operacyjnych czy instrastruktury firm, w celu znalezienia słabych punktów   np. symulując cyberataki i inne naruszenia bezpieczeństwa mające na celu uzyskanie dostępu do informacji wrażliwych, prywatnych lub zastrzeżonych. 

Podczas tego wszystkiego jego zadaniem jest również raportowanie znalezionych mankamentów, tak, żeby później dokładnie przedstawić gdzie leży problem. Kiedy dany błąd zostanie naprawiony, ponownie testuje w celu weryfikacji czy zostały wystarczająco dobrze poprawiony. 

Kompetencje miękkie:

  • Chęć ciągłego kształcenia się, poszerzania swojej wiedzy na temat aktualnych zagrożeń, 
  • Umiejętna praca w zespole,
  • Umiejętność przejrzystej komunikacji,

Kompetencje twarde:

  • Znajomość najczęstszych, ale i też tych mniej popularnych, mankamentów systemów np. wyciąganie poufnych informacji z firm, 
  • Duża wiedza na temat technik testowania
    • test czarnej skrzynki (tester nie ma informacji na temat systemu/infrastruktury; używane do symulacji ataku zewnętrznego),
    • test białej skrzynki (tester ma pełne informacje i dostęp do systemu/infrastruktury; używane do symulacji ataku wewnętrznego),
    • test szarej skrzynki (tester ma częściowe informacje na temat systemu/infrastruktury; używane do symulacji ataków wewnętrznych i zewnętrznych)
  • Umiejętność programowania w takich językach jak: Python, Java czy Ruby,
    • pentesterzy muszą umieć znajdować dziury w kodach,
  • Wysoka znajomość sieci komputerowych i związanych z nimi protokołami przykładowo: dhcp, dns, tcp/ip,udp,
  • Wiedza odnośnie systemów operacyjnych i ich zabezpieczeń,
  • Certyfikaty np. CEH, GPEN, GWAPT, CPT,