Wie wird man Penetration Tester?


Diese Frage stellen sich einige unter unseren Studenten, Quereinsteigern, Kursteilnehmern und unserer Community. Daher geben wir in diesem Blog-Beitrag für dich unsere Tipps, damit du weißt, wie du Penetration Tester werden kannst.


Zu aller erst, lass uns bitte einmal kurz und knapp definieren, was ein Penetration Tester ist. Wir Penetration Tester sind Security Consultants, die wie echte Hacker vorgehen, Sicherheitslücken aufdecken und somit einer Firma Ihre Sicherheitsprobleme und Sicherheitsrisiken aufzeigen. Natürlich passiert alles unter Zustimmung des Auftraggebers und unter Einhaltung aller Gesetze. Das rechtliche Rahmenwerk dazu heißt Permission to Attack (kurz PTA) bzw. Penetration Testing Agreement. Das Ziel eines Penetration Tests ist die Sicherheit eines Unternehmens/einer Infrastruktur/Applikation etc. durch das Aufzeigen von Sicherheitslücken nachhaltig zu verbessern.


Nachdem wir nun geklärt haben, was die Aufgabe eines Penetration Testers ist, können wir damit starten, dir zu helfen ein Penetration Tester zu werden. Daher folgen nun unsere Tipps. Vorne weg, viel Erfolg bei deiner Reise zum Penetration Tester, wir glauben an dich! 😉


Technisches Verständnis


Technisches Verständnis? Ja genau, das ist für uns eine der wichtigsten Dinge! Musst du alles immer und überall verstehen? NEIN! Aber worum es wirklich geht, ist dass du wenn du zum Beispiel ein Netzwerk testest und darin Windows Server und Clients und eine Firewall sind, dann solltest du natürlich über die Funktion und Funktionsweisen von Netzwerken, Windows Server/Clients und Firewalls im Allgemeinen Ahnung haben und dich damit beschäftigt haben, welche potentiellen Risiken diese Technologien haben und wie man diese absichert.


Oft hilft es ein sehr praxisnahes Studium gemacht zu haben oder als Systemadministrator, Firewalladmin, Webentwickler, Software Engineer etc. gearbeitet zu haben. Aber naja, wer ist schon 25 Jahre alt und hat 15 Jahre Berufserfahrung in den genannten Themen und einen Masterabschluss in IT-Sicherheit auf dem Buckel? Exakt, höchstwahrscheinlich niemand! 😅


Daher ist hier ganz klar unser Tipp, dass du dir alle Informationen die du brauchst für eine Jobausschreibung holst und gezielt auf die Themengebiete und natürlich damit einhergehenden weiteren Themengebiete hinarbeitest. Damit es klarer ist, hier ein Beispiel. Du findest eine Jobanzeige für einen Web Application Penetration Testing Job und denkst dir bestimmt, OWASP Top 10, na die habe ich drauf, Burp Suite, verstehe ich, Tools wie DIRB, Nikto und Co kenne ich, daher "ready for the job...".

  1. Aber reicht das wirklich?
  2. Hast du schon einmal eine Website selbst gecoded mit einem CMS, einer Blogging-Option, Mitgliederbereich usw.?
  3. Hast du schon mal mit APIs gearbeitet? Kennst du die OWASP API Top 10?
  4. Schon mal FTP, SSH und Co. benutzt?
  5. Kennst du die wichtigsten Angriffsvektoren und Behebungen dieser?
  6. ...


Wie du siehst, kann man das alles ewig in die Länge ziehen und es muss ja nicht direkt mit einem Senior Security Consultant/Penetration Testing Job gestartet werden. Behalte dir dennoch im Blick, dass wir als Penetration Tester einen sehr weiten Horizont brauchen.


Wenn du dich also für einen Job als Penetration Tester vorbereitest oder selbständig als Penetration Tester arbeiten möchtest, dann trifft es ein Satz relativ gut:

"Kenne die Technologie, die du testen möchtest so gut, dass du auch wirklich Schwachstellen findest, denn es sind immer welche vorhanden"


Konstantes Lernen


Schule/Studium vorbei, jetzt zurücklehnen und nie wieder was lernen. Klingt doch perfekt oder? Naja, sagen wir es mal so, klingt wirklich verlockend, aber würden wir die Strategie bei uns in der Firma so durchführen, würdest du nichts mehr von uns lesen...


Ich habe über 300 Penetration Tests in meinen 8 Jahren als Penetration Tester/Besitzer eine Penetration Testing Firma durchgeführt und dennoch lerne ich jeden Tag bei meinen Kunden neue Technologien, neue Programme und neue Sicherheitsprobleme kennen. Woran liegt das? Habe ich keine Ahnung von dem was ich mache? Reicht es nicht, dass ich Penetration Testing lebe, liebe und mich täglich 10-16 Stunden damit seit 8 Jahren beschäftige?


Ich denke damit hat es wenig zu tun, es liegt daran, dass die IT-Branche exponentiell wächst und daher muss man sich in unserer Branche immer fortbilden und wenn Penetration Testing wirklich deine Passion ist, dann nimmst du das doch gerne in Kauf oder? 😉


Auch hier lautet der Tipp, du weißt nun, dass dich immer neues erwartet und du dich immer fortbilden musst, wenn dich das nicht davon abhält, Penetration Tester zu werden, dann ist es doch umso besser. 😊



Technik statt Tools!


Immer wieder höre ich als Penetration Testing Coach Sprüche wie "Das Tool X ist besser als Y, da es mehr Schwachstellen findet" oder "Das Tool A ist ein Muss, wenn man eine Website penetration testet" und mein Favorit "Du kannst nicht händisch testen, das ist nicht im Budget".


Hm was soll ich darauf sagen, ich drücke mich mal so aus, jeder hat seine eigene Meinung, aber unsere Firmenpolitik ist nicht wild drauf los zu scannen und automatisierte Tools einzusetzen, von denen wir nicht 100% sagen können, was sie im Hintergrund machen, ob ein potentieller unbewusster Schaden unserem Kunden entstehen kann und ob es wirklich testet, was es verspricht.


Verstehe mich bitte nicht falsch, auch wir nutzen Tools, auch wir scannen mit NMAP, nutzen einen Nessus, OpenVAS und Co. Aber das ist bei uns nur ein kleiner Bruchteil des Penetration Tests, der uns hilft einen Überblick über die Infrastruktur und die Sicherheitsbaustellen des Unternehmens zu erhalten.


In meinen 8 Jahren als Penetration Tester hat sich Kali, BlackArch, Parrot und Co und besonders deren Toolauswahl und Kompatibilität so stark geändert, dass viele der von mir benutzen Tools nicht mehr funktionieren oder buggy sind. Gebe ich daher auf und lasse diese Tests einfach aus? Natürlich nicht.


Egal ob man mit unserer Firma, unseren Partnern und Freunden einen Penetration Test macht, eines ist klar, bei uns haben die Tools selbst einen sehr geringen Stellenwert, das wichtigste ist die Angriffe zu erkennen, zu verstehen und danach eine Lösung zu finden, diesen Angriff durchzuführen. Das Tool ist nur das Mittel zum Zweck und sehr oft eine Sache der eigenen Präferenz. Jeder Mensch ist ein eigenes Individuum und hat das Recht selbst zu entscheiden, daher vergiss den ganzen Tool Vergleich, nimm einfach das, was die Situation erfordert und dir zuspricht.


Daher unser Tipp an dieser Stelle. Egal was du pentestest, verlass dich nicht auf Tools, sondern auf deine Skills. Du musst die Exploits nicht selbst schreiben (tun wir auch nicht immer, da es nicht im Budget vom Kunden ist, sehr oft ein Overkill wäre und somit unnötig Geld verbrennen würde), aber anstelle eines Hail Marry Angriffs von Armitage oder seinem kostenpflichtigen Bruder Cobalt Strike, solltest du die Exploits händisch testen und gezielt mit geringem Tooleinsatz aufdecken. Ob du dafür z.B. das Metasploit-Framework benutzt oder eine Exploit-DB ist dabei egal. Bitte lies dir immer nur vorher das Exploit-Ranking, die Zuverlässigkeit und den Source-Code durch, damit du das Risiko deinen Kunden abzuschießen sehr gering haltest.


Zertifizierungen


Sehr oft hört man ohne OSCP, ohne CEH bist du ein Niemand und bitte hab auch noch einen Masterabschluss in IT-Sicherheit. Stimmt das?


Wir müssen hier leider zum Teil zustimmen... Und zwar sind ein CEH und danach OSCP sehr oft für das HR (Die Leute, die sich um deine Bewerbung kümmern 😉) das Einstellungskriterium. Gefolgt von einem Masterabschluss in IT-Sicherheit.


Wir möchten aber ganz klar sagen, dass es aus unserer Sicht nicht das wichtigste Einstellungskriterium ist. Und vorne Weg, ich habe mehre Pentesting Zertifizierungen und einjen sowohl Bachelor-, als auch Masterabschluss in IT-Sicherheit. Jetzt kommt aber mein großes Aber! Egal ob du mit mir, unseren Team-Membern und Partnerfirmen sprichst. Das wichtigste ist dass du deinen Job gut machst und dass du deinen Kunden Mehrwert bietest, sonnst ist es unserer Definition nach Betrug...


Glaub mir, ein OSCP ist ein gutes Zertifikat, aber es zeigt nur einen kleinen Teilbereich des Penetration Testings (dafür aber sehr gut!). Ein CEH bietet dir viel Backgroundwissen, aber da fehlt die Praxis (der praktische CEH ist ok, aber auch noch weit weg von der Realität). Wir persönlich schwören auf die Zertifizierungen von eLearnSecurity, da die aus unserer Sicht am nächsten an der Realität sind. Aber dennoch die Realität ist die Realität, daher fokussiere dich doch lieber auf das und hole dir nur die Zertifizierungen, die du deines Ermessens nach benötigst, bzw. dein potentieller Arbeitgeber fordert.


Abschluss


Was bleibt noch zu sagen und was kann ich dir noch als Tipp mitgeben, dass du deinen Traum als Penertration Tester verwirklichen kannst?


  1. Glaub an dich! Denn nur wenn du wirklich an dich glaubst, dann kannst du alles im Leben erreichen. Wir glauben an dich! 😊
  2. Gehe deinen Weg und nicht den des Social-Media-Ideals. Hol dir gerne die Meinung anderer ein, besuche Fortbildungen im Penetration Testing, bilde dich fort und lass dir Input geben, aber dennoch entscheide selbst deinen Weg!
  3. Wenn du ganz am Anfang stehst, dann such dir deine Traumjobausschreibungen raus und arbeite genau auf diese hin. Wenn dir unklar ist, was das alles ist, bedeutet usw., dann such dir jemanden, der es dir erklären kann, egal ob das YouTube, ein Buch oder eine physische Person ist. Wie man so schön sagt: "alle Wege führen nach Rom". Auch einen Mentor, der dieses Ziel schon erreicht hat, das du erreichen willst, kannst du in Betracht ziehen. Ich sag es dir ganz direkt, offen und ehrlich. Ohne meine Mentoren wäre ich heute noch nicht an meinem Firmenziel und genauso Penetration-Testing-Ziel angekommen.
  4. Hab Spaß an der ganzen Sache, Penetration Tester zu werden, da es ein gut bezahlter, sehr nachgefragter Job ist, ist zwar schön und gut, aber macht es dich wirklich glücklich? Ist es deine Passion? Kannst du damit leben, dass du dich immer fortbilden musst? Wenn ja, dann weißt du genau, was du nach dem Lesen unseres Blog-Posts zu tun hast. 😉


In diesem Sinne möchte ich mich bedanken, dass du diesen Blog-Beitrag gelesen hast und wünsche dir viel Erfolg bei deinem Weg zum Penetration Tester. Wir glauben an dich!


LG

Daniel


PS: Falls du jetzt schon weißt, dass du Penetration Tester werden willst und du einmalig kostenlos mit uns für 30 Minuten über deine Strategie zum erreichen dieses Ziels reden willst, dann kannst du dich gerne bei uns kostenlos und unverbindlich für so ein Beratungsgespräch bewerben. Klicke dazu auf den nachfolgenden Link und auf einen der Bewerbungsbutton. Wir versprechen dir, dass du von uns kostenlos Input, Feedback und eine Strategie für deine Situation bekommst.


https://mentoring.security-mit-passion.at/mentoring








Senior Security Consultant/Penetration Tester | CEO

Home Seo Blog

Unsere Partner

Swiss Infosec AG ZTP
Stich IT TheMorpheus FrankITS
IT-S2-PG IT-S2-PG
Cookie Warnung

Akzeptieren Für statistische Zwecke und um bestmögliche Funktionalität zu bieten, speichert diese Website Cookies auf Ihrem Gerät. Das Speichern von Cookies kann in den Browser-Einstellungen deaktiviert werden. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.