10 основных навыков и качеств этических хакеров

Что, если бы вы могли тратить свое время, пытаясь получить доступ к чужим сетям и компьютерным системам, и не попасть из-за этого в неприятности? Конечно, это мечта любого шпиона и киберпреступника, но только этичные хакеры, также известные как «хакеры в белой шляпе» или тестеры проникновения (пентестеры), могут быть уверены, что их кибер взломы могут сойти им с рук. Эти профессионалы в области безопасности нанимаются для проверки систем на наличие уязвимостей, чтобы их конечные цели могли выяснить, где их безопасности требуется усиление, пишет издание CSO.

Когда-то в индустрии были некоторые сомнения относительно этичности взломов, но сегодня это общепринятая практика. Отраслевые сертификаты доступны для тех, кто хочет доказать свои таланты, и компании создают так называемые «красные команды» пентестеров, чтобы постоянно поддерживать свою позицию в области безопасности. Это работа, требующая особого набора навыков, как технических, так и социальных. Авторы данной статьи поговорили с рядом этичных хакеров и тех, кто работает с ними, чтобы узнать, что нужно для выполнения этой сложной и полезной работы.

Технические навыки

Хотя некоторые пентестеры специализируются в определенных областях технологий, большинство из них являются универсальными специалистами: в конце концов, невозможно сказать, какой аспект целевой системы или сети предоставит средства для взлома. Таким образом, любому, кто планирует войти в эту область, требуется широкий спектр знаний о технологиях, хотя не стоит волноваться, если у вас нет степени магистра или теоретических знаний: практические знания, полученные в результате тестирования и экспериментов, будут вашим самым большим ценным ресурсом. Тем не менее, эксперты предоставили хороший список технологий, с которыми многим должно быть комфортно в начале пути этичного хакера.

Администрирование систем и баз данных. Пентестер должен знать все о системах, которые он пытается взломать, и многие этичные хакеры выходят из мира системных администраторов. Джим О'Горман, президент Offensive Security, говорит, что тестировщики должны быть знакомы с общим администрированием Unix, Linux и Windows, а также с SQL и взаимодействием с базами данных.

Выполнение скриптов. «Возможность автоматизировать части вашего рабочего процесса или инфраструктуры атак имеет решающее значение, - говорит Джордан ЛаРоуз, директор F-Secure. - Многие методы атак основаны на потоках запросов или очень повторяющейся записи в файл, поэтому автоматизация может сэкономить вам массу времени и здравомыслия». Навыки написания сценариев «особенно полезны в мире Windows», говорит Эндрю Усекас, технический директор ThreatX. «Сценарии PowerShell - хороший способ обойти инструменты безопасности конечных точек», - отмечает он.

Кодирование и разработка программного обеспечения. Понимание того, как писать код приложения и процессов, с помощью которых этот код написан, может быть ключом к обнаружению его слабых мест. «Многие из лучших белых хакеров хорошо разбираются в мире разработки программного обеспечения, и это имеет большой смысл, - говорит Элад Луз, руководитель отдела исследований CyberMDX. - Участие в разработке дает представление о создании продукта и открывает для разработчика множество различных инструментов и программного обеспечения. Возможно, самое главное, он или она может войти в сознание разработчика и понять, с какими проблемами они столкнулись».

Сеть. Если вы планируете взломать целевую сеть, вам необходимо знать, как работают сети, и какие есть хитрые способы обходить их. «Имейте базовое представление о различных типах протоколов, сетевых уровнях и операционных системах», - призывает Колин Гиллингем, директор по профессиональным услугам в NCC Group. Ярослав Бабин, руководитель отдела безопасности веб-приложений в Positive Technologies SWARM Team, говорит, что, в частности, вам следует сосредоточиться на «внутренних сетях, принципах и функциях службы Active Directory, поскольку большинство корпоративных инфраструктур построено на Microsoft Windows».

Дизайн и уязвимости веб-приложений. Веб-приложения предоставляют общие средства входа в целевую инфраструктуру, и Бабин говорит, что пентестеры должны «иметь солидный опыт поиска веб-уязвимостей. Это включает не только знание наиболее популярных уязвимостей, но и опыт их эксплуатации и понимание того, что может позволить каждый из методов эксплуатации - например, SQL-инъекция может обеспечить не только доступ к базе данных, но также может позволить вам время от времени удаленно выполнять команды на узле».

Инструменты взлома. Существует огромный набор инструментов и утилит для использования пентестерами, многие из которых бесплатны и имеют открытый исходный код. Они могут быть обманчиво простыми, но опытный пентестер поймет их нюансы. «Новые люди в отрасли часто теряются и запускают автоматический анализ, не настраивая надлежащую конфигурацию и не сообщая о ложных срабатываниях, - говорит независимый специалист по кибербезопасности Даниэль Кирхенберг. - Также необходимо проверить результаты, прежде чем тратить время зря. Понимание того, как работают ваши инструменты, может в конечном итоге сэкономить часы и даже дни работы».

Коммуникативные навыки

Вы, наверное, догадались, что этичному хакеру нужен широкий спектр технических навыков, чтобы правильно проводить тесты на проникновение в целевые системы. Но профессионалы в области пентестинга, с которыми мы говорили, подчеркивали широкий спектр мягких навыков и личностных качеств, которые, по их мнению, были важны для жизни этичного хакера. Большинству технических навыков можно научить, но многие из этих черт больше зависят от того, как вы думаете, а не от того, что вы знаете.

Страсть. Возможно, наиболее частый ответ, который мы получили от всех экспертов, с которыми мы разговаривали, заключается в том, что этичный хакер должен быть очень любопытным к тому, как работают системы, и любить хакерство ради него самого. «Люди в этих ролях должны иметь ДНК, чтобы хотеть разбивать вещи на части и узнавать все, что они могут делать, - говорит Тэмми Кан, генеральный директор и соучредитель консалтинговой компании BTblock. - Что еще более важно, они должны это делать, потому что они любят взлом сам по себе, а не ради денежной выгоды».

Эту страсть можно проверить на особенно сложных задачах, поэтому способность выстоять перед лицом неудач просто необходима. «Тестирование на проникновение определенно не является точной наукой, и часто требуется много попыток и итераций, прежде чем вам удастся что-то взломать, - говорит ЛаРоуз из F-Secure. - Нужно быть настойчивым и не бояться пробовать безумные идеи».

Тем не менее, пентестеры также должны уметь, по словам Кенни Роджерса, знать, когда нужно отказаться от таких идей. «Хакерам необходимо сохранять уверенность в себе, чтобы продвигаться вперед в, казалось бы, бесполезных усилиях, но они также должны периодически спрашивать себя, идут ли они в правильном направлении и не позволять эго встать на своем пути, - говорит Луз из CyberMDX. - Не пугаться неудач - это хорошо, но вы также должны быть готовы отказаться от исследований, на которые вы уже потратили значительное количество времени, если не видите прогресса у некоторых сценариев».

А страсть и любопытство этичного хакера должны означать, что он всегда узнает о новых разработках в отрасли и совершенствует свои навыки. «Вы часто будете сталкиваться с кирпичной стеной, и вам потребуется изучить новую технику, или вам нужно будет тщательно изучить человека или компанию, на которую вы нацелены, чтобы определить лучший способ атаковать их, - отмечает ЛаРоуз. - Большая часть времени в пентестах на самом деле тратится на развитие этих новых навыков или на сбор разведданных о вашей цели».

«Кодовые практики меняются, появляются новые языки, выпускаются новые фреймворки, некоторые обновляются, приложения также обновляются, и это означает только одно: вы должны продолжать учиться, чтобы продолжать выполнять свою работу», - добавляет Кирхенберг.

Сообразительность. Еще одна вещь, с которой согласилось большинство экспертов: пентестерам необходимо «мыслить иначе», выходить за рамки книжных умений о компьютерах и вместо этого использовать нестандартное мышление для решения проблем, с которыми они сталкиваются при взломе целевых сетей. «В основе мягких навыков лежит способность думать не по сценарию, - говорит Дуг Бриттон, генеральный директор Haystack Solutions. - Вам нужно быть проворным, смелым и креативным».

Этическим хакерам «нужна способность нестандартно мыслить, чтобы иметь возможность находить крайние случаи в системе - лазейки в спецификациях или просто неожиданное использование», добавляет Диего Сор, директор по консультационным услугам в Core Security компании HelpSystems.

ЛаРоуз из F-Secure подчеркивает два качества, которые характеризуют мыслительный процесс хорошего пентестера. Во-первых, это способность к дедукции, часто основанная на ограниченной информации. «Часто последствия того, что вы делаете в качестве пентестера, происходят за кулисами, и вам нужно иметь возможность угадать, сработало или сработало то, что вы делаете», - говорит он. Вторая - способность думать о взломе как о человеческой проблеме, а не только как о технической проблеме. «Во время любого типа теста с компонентом социальной инженерии, такого как фишинг, очень важно иметь возможность поставить себя на место своей целевой аудитории, чтобы придумать более правдоподобный предлог», - объясняет он.

Этическим хакерам не нужно просто проникать в умы своих целей: им также необходимо понимать реальных злоумышленников, чьим методам они пытаются подражать, чтобы помочь хорошим парням понять, с чем они борются. «Раньше красной команде просто нужно было «прорваться», чтобы показать свою ценность, - говорит Рон Гула, президент Gula Tech Adventures. «Теперь тестировщики извне должны активно имитировать злоумышленников, что означает знание методов работы с конкретными угрозами. Это проявляется в определенных типах инструментов Miter ATT&CK и в имитации долгосрочных кампаний по командованию и контролю за вредоносными программами».

Общение и сотрудничество. Стереотипный образ хакера, этического или нет, представляет собой одинокого волка, сидящего за клавиатурой в затемненной комнате и ищущего слабые места в программе. На самом деле, способность работать в команде и общаться с коллегами и клиентами - одно из важнейших качеств, которыми может обладать пентестер на проникновение, говорит Габби ДеМеркурио, директор красной группы по социальной инженерии и тестированию на физическое проникновение в Coalfire. «Вы можете быть величайшим хакером в мире, но если вы не можете превратить это в читаемый, последовательный отчет о том, что вы сделали и как вы это сделали, чтобы клиент мог проследить, скопировать вашу атаку, а затем исправить ее, в конце концов, это не имеет значения», - говорит она.

Как говорит Дэниел Вуд, глава отдела безопасности продуктов в Unqork, «невероятно важно, чтобы вы могли преобразовать технический риск безопасности в бизнес-риски. Это означает понимание организаций, их бизнес-сценариев использования и того, какое влияние техническая уязвимость может оказать на их способность работать, конфиденциальность их данных и, в конечном итоге, безопасность их клиентов».

Эти коммуникативные навыки особенно важны из-за деликатного характера бизнеса этических хакеров: помните, если вам удастся взломать целевую систему, вы потенциально поставите в неловкое положение некоторых сотрудников компании-клиента. 

«В отличие от хакеров, пытающихся использовать уязвимость, хакеры в белой шляпе работают с третьей стороной с намерением улучшить кибербезопасность данного продукта, - говорит Луз из CyberMDX. - В то время как вы, в конечном счете, на их стороне и пытаетесь помочь, проблема здесь в том, чтобы сообщить плохие новости - сообщить об уязвимости - при сохранении позитивной атмосферы в дискуссии, которая ведет к совместным рабочим отношениям».

Эти хорошие рабочие отношения важны и в вашей собственной команде. «Возможность работать с коллегами очень важна, поскольку вы не знаете всего», - говорит ДеМеркурио из Coalfire. «Возможность учиться и помогать друг другу расти - вот что мы подразумеваем под «для этого нужна целая деревня». Одинокие рейнджеры быстро отстают от тех, кто хорошо работает вместе».

И ваши союзники должны выходить за рамки просто людей, работающих в вашей компании. «Одна из наиболее важных составляющих тестирования на проникновение, которую необходимо понять, - это сообщество, которое его окружает, - говорит ЛаРоуз из F-Secure. - Сообщество наступательной службы безопасности является одним из самых сплоченных в мире, и почти все, что мы делаем, основано на работе бесчисленного множества других членов нашего сообщества. Возможность взаимодействовать с сообществом, учиться у него и вносить свой вклад в него является все навыки, необходимые каждому пентестеру для успеха».

Этика. Может быть, это кажется очевидным, поскольку слово «этичный» прямо содержится в описании профессии. Но правда в том, что на пентестера возложена большая ответственность и власть, и важно быть уверенным, что он не будет злоупотреблять этим.

Хизер Ноймайстер - директор по работе с персоналом в NetSPI, специализирующейся на тестировании на проникновение и управлении атаками. «Оценка этики кандидата основывается как на опыте, так и на личной оценке, - объясняет она. - Когда частью критериев, рассматриваемых для нового найма, являются этика и мораль, всегда будет присутствовать элемент интуиции. Но также важно задавать вопросы о том, почему кто-то решил пройти в пентестеры, как обычно быстро определить намерения человека во время первоначального разговора. Чтобы найти людей с твердыми этическими и моральными принципами, может быть полезно взглянуть на деятельность кандидата в более широком сообществе. Факультативная учеба и некоммерческая работа, общественные исследования и участие в открытых источниках могут быть полезными индикаторами более высокого этического стандарта, поскольку часто бывает так, что те, кто предпочитает приносить пользу индустрии безопасности без личной выгоды, действительно привержены этическому поведению».

Конечно, этика и закон - это не совсем одно и то же, и независимо от того, насколько вы строго придерживаетесь этических норм, вам нужно убедиться, что вы остаетесь на правильной стороне закона. Это особенно верно в мире тестирования на проникновение, где законность может быть размытой, а эго клиентов может быть задето, говорит Майкл Джеффкоут, основатель Jeffcoat Firm. Джеффкоут - страховой поверенный, который на протяжении многих лет тесно сотрудничал с несколькими этическими хакерами. «Отсутствие общепризнанной правовой базы делает таких хакеров склонными к судебным искам, - объясняет он. - Хотя этические хакеры могут иметь контракт, в котором говорится, что их работодатели специально просили их проникнуть в их системы, работодатель все равно может подать иск, если они сочтут, что хакер совершил атаки по своему усмотрению.

Чтобы избежать подобных проблем, он советует пентестерам иметь хорошее знание соответствующего закона, хорошего юриста или и то, и другое. «Этичные хакеры должны внимательно читать свои проектные контракты, - призывает он. - Все соглашения должны четко указывать объем и ограничения заказываемых услуг по тестированию на проникновение. Помните: явные подробности не позволяют интерпретировать предметные контракты».

Немногочисленные гордые хакеры

Качества, которые описаны здесь, сочетающие техническую смекалку, нестандартное мышление, социальные навыки и умение совместной работы, могут показаться сложной задачей. Но это также объясняет, почему этические хакеры кажутся главнее, чем обычные сотрудники сферы безопасности.

«Приличный хакер, которому люди нравятся, которому доверяют и с которым любят разговаривать, - самый опасный и востребованный из них всех, - объясняет ДеМеркурио. - Почему? Потому что это человек, который пробирается в здание, заставляет кого-то передать ему ключи от шкафа с данными, а затем оставляет их в покое, потому что они заслуживают доверия. Это то, кем вы должны стремиться быть, и это то, что вам нужно. компании должны бояться людей. К счастью для них, мы белые хакеры ".