O que faz um pentester e quais certificações tratam do assunto

A área de segurança da informação oferece diversos caminhos por onde seguir e nem todas as vagas disponíveis no mercado são iguais. 
Independente de se trabalhar por conta ou atuar em uma empresa, é importante saber que, para executar algumas atividades, é necessário que se tenha conhecimentos específicos e, na área de segurança não é diferente. 
Uma das atividades mais atraentes é a de pentest, o profissional que atua com essa atividade é conhecido como pentester, aquele que faz testes de penetração em sistemas para encontrar vulnerabilidades e corrigi-las de forma a deixar o sistema do cliente o mais protegido possível. 
É muito indicado que esse profissional tenha conhecimento em T.I., principalmente em rede, sistema operacional e programação. 

Quais habilidades são necessárias para se tornar um bom pentester?
Existem algumas habilidades que o profissional deve ter ou desenvolver para ser bem-sucedido, uma delas é ter uma “mente hacker”, ou seja, ele deve pensar como um hacker para identificar os caminhos que seriam utilizados para identificar e explorar uma vulnerabilidade. Isso inclui a habilidade de entender quais são os diferentes tipos de hackers que ele irá enfrentar e até quais seriam as suas motivações. 
É necessário também ficar atento às diversas metodologias de testes, as mesmas podem ser mais ou menos aderentes às necessidades do cliente e aos testes que devem ser utilizados, como por exemplo:

  • OSSTMM - Open Source Security Testing Methodology Manual;
  • PTES - Penetration Testing Execution Standard;
  • OWASP - Open Web Application Security Project;
Esse assunto especificamente será abordado em outro post.

Uma das principais habilidades para se tornar um pentester, basicamente o núcleo desse trabalho, seria localizar, avaliar e gerenciar vulnerabilidades. Isso inclui não só buscar as vulnerabilidades, mas também lidar com elas. Inclusive, ao final de um trabalho de pentest, é necessário criar uma documentação sobre basicamente o que foi descoberto e o que deve ser feito para corrigir o problema. Esse relatório final, para o cliente, muitas vezes é o resultado que o profissional deve entregar para mostrar que o trabalho foi feito. 
Para que o teste de penetração seja feito, o profissional pode utilizar ferramentas e também criar as suas. É aí que entra, por exemplo, algumas distribuições como Kali Linux e BackBox. Muitos profissionais utilizam a linguagem de programação Python para criar suas próprias ferramentas que serão usadas em testes de penetração. 

Como aprender? Quais certificações tratam do assunto?
Existem algumas certificações para segurança da informação e algumas voltadas especificamente para teste de penetração, entre elas, destacamos:

  • CompTIA Pentest +;
  • Certified Ethical Hacker (CEH);
  • Offensive Security Certified Professional (OSCP)
  • GIAC Penetration Tester (GPEN);

Conclusão
Se você deseja se tornar um pentester, pode estudar para obter uma das certificações acima citadas, aprender programação, montar um laboratório e mãos à obra!

Comentários

  1. Luciano Batista8 de dezembro de 2019 às 21:10

    Boa noite, é possível ser um pentester com 48 anos começando do zero? Obrigado

    ResponderExcluir
    Respostas
    1. Adriano Oliveira8 de dezembro de 2019 às 22:57

      Em termos práticos não creio que a idade seja um problema. Se você já tiver alguma habilidade com informática e se dedicar estudando redes, linux e programação em poucos anos consegue se tornar um pentester. O conteúdo das certificações pode dar um bom norte para isso.

      Excluir
    2. morosano11 de dezembro de 2019 às 15:07

      O importante é ser sempre persistente, persista em persistir...

      Excluir
  2. Dorneles28 de dezembro de 2019 às 20:13

    Belo conteúdo, meu primeiro contato sobre o assunto. Parabéns.

    ResponderExcluir
  3. Pedro Afonso29 de abril de 2020 às 17:05

    Quero fazer essas certificações online. Onde posso me inscrever inscrever? Podem me enviar um link onde posso fazer a certificação?

    ResponderExcluir
    Respostas
    1. Adriano Oliveira11 de maio de 2020 às 16:00

      Cada uma das certificações tem um conteúdo próprio e uma prova. No momento, a única certificação que pode ser feita online é a Pentest+ da CompTIA, você consegue mais informações sobre essa certificação no endereço abaixo:
      https://www.comptia.org/certifications/pentest

      Excluir
  4. Emanuel Bravo25 de dezembro de 2020 às 23:51

    Muito bom os detalhes... Sou apaixonado por segurança, irei refletir sobre.👌

    ResponderExcluir
  5. Unknown23 de julho de 2021 às 22:31

    estou montando minha carreira profissional e desejo trabalhar de pentester alguma recomendação de por onde devo começar a estudar?

    ResponderExcluir
    Respostas
    1. Adriano Oliveira24 de julho de 2021 às 23:47

      Não é bem uma regra, mas é bom obter conhecimento sólido sobre redes, Linux e programação. Certificações como Network+ e Security+ podem ajudar no começo e depois você pode traçar caminhos mais específicos e obter certificações como CEH e OSCP.

      Excluir

Postar um comentário