Коли йде мова про бізнес, який формується на знаннях кібербезпеки, то пентест - це один з найпопулярніших видів сервісу. Для людей, які не знають, що таке пентест - це такий вид послуг, де компанія наймає спеціалістів з кібербезпеки, щоб вони отримали доступ до ІТ інфраструктури компанії. Регулярні (відносно) пентести є обов'язковою вимогою для різних видів сертифікації в компаніях, які використовують ІТ технології. Пентести проводяться протягом визначеного часу і в залежності від того, як компанія хоче все організувати, вона може дати більше детальної інформації про свої системи спеціалістам, щоб пентест пройшов більш успішно.
І де тут абсурдність? Абсурдність полягає в тому, що компанії достатньо часто плюються, коли йде мова про давання доступу до source code. Вони часто дивляться на пентест з точки зору, що якщо за 2 тижні спеціалісти нічого не знайшли немаючи жодної інформації про додаток, то проблем немає. Задумайтеся над наступним:
У поганих акторів є нескінченна кількість часу і +- ресурсів, щоб взламати ІТ систему компанії, а тут ви кажете, що 2 тижні пентесту в чорну вам дають впевненість, що у вас все гуд?
Це наївно.
Тим не менш, як можна оптимізувати весь цей процес і мати більший шанс на успіх? Правильно, дати спеціалістам по кб того, що у зовнішніх хакерів немає - доступ до source code. Такий доступ в десятки разів покращує якість пентесту і дають компаніям більше цінності за гроші, які вони заплатили.
Це веде до наступної думки, що у світі кб, якось часто люди думають, що якщо вони розуміють трохи скриптові мови як Python, Bash, PowerShell, то їм цього достатньо. Це також абсурдно.
Да, є люди, які займаються бінаркою і розуміють комп'ютери, як лікарі людську анатомію - до вас претензії 0, ви шалені на голову. Більшість до такого рівня не доходять і коли компанія зацікавлена співпрацювати та дала вам доступ до коду - вони його не вміїть читати і в кінцевому рахунку ефективність пентесту сильно впала.
Ви повинні розуміти, що десь в один момент ваша робота може звестися до того, що ви будете часто робити Code Review, як любий тім лід в компанії, просто тут він буде заточений на кб. Це особливо актуально, якщо ви працюєте, як внутрішній пентестер компанії. За таких розкладів - це для вас must have знання. Час від часу, треба бути проактивним і заставляти R&D задіювати себе у свої процеси, бо лише так можна реально зменшити ризики.
Знову-таки, ви не повинні розуміти мову програмування на рівні розробки, але якщо ви, наприклад, займаєтеся пентестом веб додатків, то розуміти JS - обов'язково, розуміти архітектуру топ-5 фреймворків - обов'язково. Цього просто неможливо уникнути, якщо ви хочете стати справді сильним спеціалістом.