Generalno u infosec-u nema dovoljno (kvalitetnih) ljudi tako da razvoj u tom smeru ima smisla. Ali pentesting kod nas je, onako, relativno retko tražen. Bitno je da shvatiš da je hakersko znanje tek pola posla za pentesting. Treba znati i zakone i drugu regulativu, treba znati napisati dobar izveštaj, prezentovati to... Upražnjavaju ga uglavnom veće firme, a njima to stiže iz stranih centrala i uglavnom ga i izvode strane firme. Možda grešim, ali ne susrećem se sa mnogo naših ljudi koji to rade kod nas (ima ih, ali uglavnom rade napolju).
Ako hoćeš u tom pravcu, gledaj OSCP sertifikate, eventualno CEH.
Ovde ne treba mešati vulnerability menadžment i alate koji se koriste za to (Nessus i slični). Većina firmi koja traži usluge pentestinga koristi redovno vulnerability menadžment i krpi propuste. Pentesting može da se radi i tako što tester dobije korisničko ime i lozinku regularnog korisnika, pa pokušava da provali u sistem (recimo, glumi klijenta banke koji treba da neovlašćeno napravi transakciju ili preuzme podatke iz online bankinga, onesposobi ga i slično).
Za nekog ko hoće da zakorači u svet infosec-u, postoji nekoliko pravaca pored već pomenutog. Uopšteno, recimo da mogu da se podele na dva dela.
Regulativni deo: pišu se procedure, polise, uputstva, standardi itd, planiraju se i izvode se awareness kursevi ili kampanje, učestvuje u oceni bezbednosti raznih rešenja i novih projekata (pre nego budu implementirani), radi se procena rizika, predlažu mere umanjenja rizika tamo gde isto ne može da se ukloni itd. Nema mnogo operativnog, tehničkog rada na IT rešenjima.
Operativni deo: ljudi koji prate ono što je regulativni deo napisao i to implementiraju u praksi konkretnim rešenjima. Na primer, ako je definisano da poverljivi dokumenti moraju da budu kriptovani pri čuvanju na disku, operativci će da implementiraju i održavaju rešenje koje radi enkripciju podataka na diskovima. Ili će da podignu VPN da bi podaci bili zaštićeni tokom prenosa nebezbednim mrežama.
Cloud, automatizacija i novi trendovi poslednjih godina sve to dodatno komplikuju, tako da bih rekao da postaje sve gore i posla će biti sve više.
Razmisli gde se vidiš, pa kreni da učiš. Imaj u vidu da malo ko krene da se bavi bezbednošću na startu karijere. Treba čovek da stekne široko iskustvo i generalnu sliku kako stvari funkcionišu, da bi znao gde su šuplje. Na primer, Windows admin može pored održanja servera, bekapa i ostalih klasičnih sysadmin zadataka da se dodatno fokusira na autentifikaciju, SSO, SAML, certificate management i stekne osnovu koju dalje proširi na opštu temu identity menadžmenta, koja više ne mora da ima nikakve direktne veze sa windowsom. Mrežaši se pre ili kasnije sretnu sa VPN-om, firewallima i neki se onda prebace na to, pa kasnije i na druge delove infoseca. Ima čak i ljudi koji nisu u tehnici, dođu iz revizorskih firmi, nauče šta je potrebno za razne ISO standarda i sertifikate, nauče teoriju i završe u regulativnom delu infoseca i budu uspešni u tome. Posla ima, ali mora mnogo i stalno da se uči, a stres bolje da ne pominjem. U stvari, nemoj u infosec, što će ti to u životu
