Pentester in Frankrijk
Het beroep van ethisch hacker lijdt nog steeds onder veel clichés. Om een realistisch beeld te schetsen van het dagelijks leven van een technisch auditor interviewden we Nadia*, sinds 3 jaar pentester bij Orange Cyberdefense.
Als je je werkzaamheden aan je grootouders uit zou moeten leggen, wat zou je dan zeggen?
Tegenwoordig is alles verbonden met het internet, van onze alledaagse voorwerpen (horloges, smartphones, lampen...) tot de meeste diensten die we gebruiken (gezondheid, belastingen, verkoopsites, banken, e-mails...). Al deze elementen moeten worden beschermd. Het is mijn taak om mezelf in de schoenen van een hacker te verplaatsen om kwetsbaarheden te identificeren en bedrijven in staat te stellen de beveiliging van hun producten en IT-systemen te verbeteren.
Welke grenzen mogen we niet overschrijden om ethisch te blijven?
Ons interventiekader wordt bepaald door de wet, maar ook door onze klanten. We gaan nooit over die grenzen heen.
Hoe ziet je dag eruit?
Een technische audit duurt één tot twee weken. We beginnen met generieke tests en evolueren naar steeds nauwkeurigere scenario's. Binnen een beperkt tijdsbestek identificeren we zoveel mogelijk kwetsbaarheden om de klant een concreet beeld te geven van het beveiligingsniveau van de gecontroleerde perimeter. Aan het einde van deze technische fase gaan we verder met het schrijven van het auditrapport waarmee we onze resultaten aan de klant presenteren. Dit bevat ook informatie over hoe een aanvaller kan profiteren van de geïdentificeerde kwetsbaarheden, evenals adviezen over hoe zijn bedrijf kan worden beschermd.
Vind je altijd kwetsbaarheden?
Het komt voor dat we niets vinden, maar dat gebeurt zelden omdat het een zeer hoge mate van volgroeidheid vereist op het gebied van cyberbeveiligingskwesties.
Een klant vertellen dat je met succes hiaten in de gecontroleerde perimeter hebt gevonden, kan lastig zijn. Hoe ga je om met dit deel van het werk?
Klanten zijn eigenlijk heel tevreden als we kwetsbaarheden ontdekken. Het auditrapport stelt hen in staat om de beveiliging van hun producten en informatiesystemen te verbeteren.
Is teamspirit belangrijk in je werk?
Teamwerk is fundamenteel. Tijdens een technische audit zijn we zelden alleen, we werken meestal met z'n tweeën. Pentesten is geen gebied waarin iedereen op zichzelf werkt. We wisselen constant informatie uit binnen ons team.
Wat vind je het leukst aan je werk? En wat is het lastigste deel?
Pentesten is een voortdurend evoluerend vakgebied met nieuwe technologieën en technieken. Er is altijd iets te leren, en dat vind ik leuk. Wat de negatieve aspecten betreft, kan de beperking van interventiebereiken frustrerend zijn. Soms weten we dat we veel verder hadden kunnen gaan in het blootleggen van kwetsbaarheden maar moesten we stoppen.
Hoe reageren mensen als ze ontdekken dat je een hacker bent?
Als eerste zijn ze nieuwsgierig. Mensen vragen me ook vaak of ik het Facebook-account van een vriend even wil hacken... Over het algemeen zijn de reacties best positief en grappig. Ik word ook geconfronteerd met het cliché van de pentester met zijn hoodie; mensen verwachten geen vrouw.
Hoe zou de ontwikkeling van de carrière van een technisch auditor eruit kunnen zien?
Met de nodige ervaring zijn we in staat om audits in hun geheel te managen, van de pre-sales tot en met de presentatie van de audit aan de klant. De functie omvat dan een deel dat gericht is op projectmanagement. Bij Orange Cyberdefense is het ook mogelijk om door te stromen naar technische functies of functies in managementexpertise, en ook naar andere beroepen op het gebied van cybersecurity, op een meer crossfunctionele manier.
Welke "domme" fouten kunnen worden gemaakt aan het begin van een carrière?
Wanneer je begint, ben je wellicht geneigd te veel te vertrouwen op het automatisch opsporen van kwetsbaarheden. Dit wekt de indruk dat de tools al het werk doen, wat verre van het geval is. Die tools moeten verstandig worden ingezet en worden aangevuld met gerichte handmatige tests.
Is je ooit gevraagd om over te schakelen naar de "duistere kant van het hacken"?
Nooit, godzijdank! In tegenstelling tot wat je je misschien voorstelt komen we niet met deze verleidingen in aanraking. Onze klanten vertrouwen ons uiterst waardevolle en gevoelige gegevens toe, we kunnen geen twijfel laten bestaan over onze integriteit.
Opmerkingen
* De voornaam is gewijzigd.