Pentester worden: hoe doe ik dat?
Benieuwd hoe iemand een pentester kan worden? In het teken van de Cybersecurity maand vertelt Ruben Homs het ons.
Benieuwd hoe iemand een pentester kan worden? In het teken van de Cybersecurity maand vertelt Ruben Homs het ons.
Naarmate bedrijven van elke omvang steeds vaker te maken krijgen met Cybercriminaliteit, wordt penetratietesten (pentesting) steeds belangrijker. Het ontdekken van kwetsbaarheden zodat beveiligingsteams voorbereid kunnen zijn op aanvallen is immers van onschatbare waarde. Maar hoe kunnen mensen die geïnteresseerd zijn in pentesting het veld betreden en echt het verschil maken op het gebied van digitale beveiliging? We bezochten Ruben Homs, een van onze pentesters, met een aantal veelgestelde vragen om de antwoorden te vinden.
Dit is een vraag die Ruben regelmatig tegenkomt, het opbouwen van de basiskennis is immers niet bepaald gesneden koek. Ruben raadt aan om deel te nemen aan diverse leerprogramma’s om in een zekere zin (weer) een student te worden, ongeacht achtergrond en diploma’s. De technologieën en risico’s die een rol spelen op het gebied van Cybersecurity zijn immers eindeloos. Dit betekent dat iedereen die vastberaden genoeg is om het nodige onderzoek te doen, de overstap kan maken naar pentesting.
Spartel biedt een aantal bootcamps aan om nieuwe vaardigheden te leren aan beveiligingsprofessionals van alle niveaus. Andere organisaties zoals Hack the Box en Google Gruyere bieden gelegenheden om nieuwe vaardigheden te leren en te ontwikkelen. Voor aantoonbare kennis en expertise is accreditatie ook heel waardevol; denk hierbij aan het Offensive Security Certified Professional (OSCP) certificaat, dat door diverse instellingen in Nederland wordt aangeboden.
Er zijn steeds meer programma’s voor middelbare en universitaire studenten waarmee zij meer kunnen te leren over Cybersecurity en pentesting. Een goed voorbeeld hiervan is de Associate Degree Cyber Security van de Hogeschool van Amsterdam, wat een praktijkgericht beginpunt voor toekomstige Cyberspecialisten biedt. Ook de seminar Cyber Security verzorgd door de Radboud Universiteit, waarin diverse pentesting technieken naar voren komen, is een interessant aanknooppunt voor toekomstige pentesters.
Als je eenmaal in het veld van pentesting bent gestapt, zijn er meerdere manieren je vaardigheden scherp te houden. Zo is het bijvoorbeeld altijd een goed idee om nieuwe programmeertalen te leren. Alhoewel er geen ‘belangrijkste programmeertaal’ is, raadt Ruben scripttalen zoals Python aan, omdat het kennen van deze talen het gemakkelijker maakt om in een handomdraai tools te creëren voor pentesting. Het is nooit een slecht idee om zoveel mogelijk programmeertalen te kennen, omdat zowel het beoordelen van bestaande programma’s als het opbouwen van nieuwe programma’s aan bod komt. Ook kennis van HTML, Javascript en PHP kan zeer waardevol zijn, omdat het een veelvoorkomende programmeertaal is en veel mogelijkheden biedt voor verdere leerervaringen.
Deelnemen aan Capture-The-Flag wedstrijden is een praktische manier om nieuwe kennis en ervaring op te doen. Bij een CTF-uitdaging moet je een onveilig systeem binnendringen dat met opzet kwetsbaar is gemaakt. Bij een echte pentest wordt echter een complex systeem getest dat meestal wordt beschermd door een team van beveiligingsspecialisten (blue team). Het praktische verschil hiertussen? Er zijn regels en beperkingen over wat pentesters mogen aanvallen, gevolgd door veel waarom en hoe. Deze staan bekend als de ‘Rules of Engagement’. Dit betekent dat iemand die simpelweg praktische ervaring op wil doen niet zomaar een ‘echte’ pentest op een willekeurig systeem mag uitvoeren.
Samenwerking zit in de aard van de Cybersecurity gemeenschap, wat het eenvoudiger maakt om voortdurend beter te worden. Open source tools en belangrijke Cybersecurity-gerelateerde documentatie zijn namelijk in overvloed te vinden. Zo is de INFOSEC-gemeenschap bijvoorbeeld is een populaire bron voor het vinden van nieuwe tools en perspectieven. Dit betekent dat goede onderzoekvaardigheden uiterst belangrijk zijn voor een pentester die zich wil blijven verbeteren; de kennis is er wel, maar de uitdaging ligt in het vinden hiervan.
Technische vaardigheden zijn overigens niet de enige indicatoren van succes voor iemand die een pentester wil zijn. Ruben benadrukt namelijk dat ook persoonlijke vaardigheden een grote rol spelen. Een belangrijk voorbeeld hiervan is vastberadenheid om door te blijven gaan ondanks tegenspoed. Echter, een pentester moet ook bereid zijn om naar hulp te vragen wanneer dit nodig is. Ten slotte zijn aanpasbaarheid en het vermogen om on-the-fly te leren geweldige vaardigheden voor een pentester. Dit zijn uiteraard vaardigheden die in de praktijk kunnen worden geleerd en verbeterd.