یک Pentester (هکر اخلاقی یا Ethical Hacker) آسیب پذیری های موجود در سیستم ها، شبکه ها و برنامه های کاربردی را کشف و اکسپلویت می کند.به عبارت دیگر، به شما پول پرداخت می شود تا به صورت قانونی هک کنید.

 شما باید از مجموعه ای از ابزار ها استفاده کنید، تعدادی از ابزار های که وجود دارند و تعدادی ابزار که خودتان طراحی کرده اید تا حملات واقعی را شبیه سازی کنید.

 هدف نهایی شما آن است که امنیت یک سازمان را ارتقا دهید. بر خلاف هکرهای واقعی، شما مدت محدودی زمان دارید تا به سیستم نفوذ کنید. 

از شما انتظار می رود که یافته های خود را مستند کنید. 

تست نفوذ یکی از خسته کننده ترین شغل ها در فیلد های امنیت سایبری است.

برخی از وظایف عبارتند از:

انجام تست های نفوذ رسمی در برنامه های کاربردی مبتنی بر وب، شبکه و سیستم های کامپیوتری

انجام ارزیابی امنیت فیزیکی سرورها، سیستم ها و دستگاه های شبکه

طراحی و ایجاد ابزار و تست های جدید برای انجام تست نفوذ

بررسی آسیب پذیری در برنامه های وب، برنامه های کاربردی fat/thin و برنامه های کاربردی استاندارد

روش های دقیق که مهاجمان با استفاده از آن آسیب پذیری ها بهره برداری می کنند

استفاده از تکنیک های مهندسی اجتماعی برای کشف حفره های امنیتی 

به کارگیری ملاحظات کسب و کار (برای مثال از دست دادن درآمد به دلیل DownTime، هزینه مشارکت، و غیره) در استراتژی های امنیتی

پژوهش، مستند سازی و توضیح در مورد یافته های امنیتی با مدیریت و تیم فناوری اطلاعات

بررسی و تعریف الزامات برای راه حل های امنیت اطلاعات

کار بر روی بهبود سرویس های امنیتی


تفاوت Penetration Test و  Vulnerability Assessment

تست نفوذ برای رسیدن به یک هدف خاص و شبیه سازی شده ی یک مهاجم طراحی شده است و باید توسط مشتریان که در حال حاضر در وضعیت امنیتی مورد نظر خود هستند، درخواست شود. هدف می تواند دسترسی به محتویات پایگاه داده مشتری بر روی شبکه داخلی و یا تغییر یک رکورد در یک سیستم HR باشد.

ارزیابی آسیب پذیری جهت رسیدن به یک لیست اولویت بندی شده از آسیب پذیری ها طراحی شده است و به طور کلی برای مشتریانی است که می دانند در حال حاضر از نظر امنیتی در جایگاهی که باید نیستند. مشتری در حال حاضر می داند که آنها از نظر امنیتی با مشکلاتی روبرو هستند و برای رفع این مشکلات نیاز به کمک دارند.


کارهای مشابه:

Ethical Hacker

Assurance Validator

 

حقوق متوسط سالیانه 72 هزار دلار و در کل بین 44 هزار تا 117 هزار دلار هست.اغلب Pen Tester ها تحصیلات آکادمیک ندارند چرا که این کار بیشتر بر پایه ی مهارت های فنی می باشد. اغلب کارفرمایان به دنبال افرادی با 2 الی 4 سال تجربه می گردند، البته برای کار در موقعیت های سطح بالای تست نفوذ(Senior) بین 7 الی 10 سال تجربه نیاز است.


مهارت های فنی:

Windows, UNIX and Linux operating systems

C, C++, C#, Java, ASM, PHP, PERL

Network servers and networking tools (e.g. Nessus, nmap, Burp, etc.)

Computer hardware and software systems

Web-based applications

Security frameworks (e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)

Security tools and products (Fortify, AppScan, etc.)

Vulnerability analysis and reverse engineering

Metasploit framework

Forensics tools

Cryptography principles


مدارک فنی:

CEH: Certified Ethical Hacker

CPT: Certified Penetration Tester

CEPT: Certified Expert Penetration Tester

GPEN: GIAC Certified Penetration Tester

OSCP: Offensive Security Certified Professional

CISSP: Certified Information Systems Security Professional

GCIH: GIAC Certified Incident Handler

GCFE: GIAC Certified Forensic Examiner

GCFA: GIAC Certified Forensic Analyst

CCFE: Certified Computer Forensics Examiner

CREA: Certified Reverse Engineering Analyst