Dito, proč je dobré v oblasti etického hackingu mluvit o kvalitě náboru?
Přiblížím to na příkladu penetračního testu např. mobilní aplikace. Pokud zadá zadavatel penetrační test své aplikace dvěma různým dodavatelům, ve stejném rozsahu, dostane s největší pravděpodobností dva rozdílné výsledky, které jsou závislé na kompetencích etického hackera, který test prováděl. Oba poskytovatelé dodají splněný penetrační test, ale otázkou bude v jaké šířce, hloubce a jak kriticky k němu přistupovali. Jak obsáhlý a kvalitně zpracovaný report vč. doporučení předají a jak jej budou schopni klientovi odkomunikovat.
Kompetence, co si pod nimi mají klienti představit?
Penetrační testování není disciplína, kterou vidí každý stejně. Je to spíš taková věda, kde je výsledek přímo závislý na tom, jak je etický hacker zkušený, jaký má technický background, jestli má koncepční a kritické myšlení, jak si drží přehled o aktuálním dění v oblasti zjištěných zranitelností po světě atd. To a mnoho dalšího rozhoduje o tom, jestli bude při prozkoumávání testovaného území schopen skrytou zranitelnost pro klienta objevit a nebo se po čase vydá hledat jiným směrem. Což může být i nemusí dobře. Potká-li se tedy na projektu penetračního testu 2 a více hackerů se zmíněnými kompetencemi, je to pro zadavatele předpoklad pro opravdu kvalitní penetrační test.
Vedle technických dovedností je také velmi důležitá schopnost dobré komunikace a manažerských dovedností. Na základě profesionální, včasné a dobře zvolené komunikace dokáže s klientem odladit různorodé nedostatky již v přípravné fázi penetračního testu tak, aby jeho start a průběh byl co nejvíce plynulý, což v konečném důsledku na kvalitě přidává a zároveň je to pro klienta nákladově efektivní.
Jaké je tedy propojení s náborem?
Náborový proces a kvalita týmu, v návaznosti na to i poskytované služby, jsou spojené nádoby. Správně provedený nábor pokládá základní stavební kameny kvalitního týmu a zároveň dobře sestavený tým předává hodnotné informace pro správné provedení náboru. Výsledkem pro klienta je pak silný a expertní tým, který pracuje na jeho projektu.
Co jsou hlavní pilíře, které vám pomáhají tyto kvalitní lidi z trhu pro zákazníky získat?
Zastavme se u CTF-ka. Jaká je úspěšnost splnění?
Kolem 7%. Loni jsme CTF zpřístupnili 98 žadatelům a z toho jich 7 prošlo do následného technického pohovoru.
To je poměrně přísné hodnocení, čím to je způsobeno?
Obsahem našeho CTF je sousled úloh, které jsou postavené na často se vyskytujících zranitelnostech ve světě a z reálného testování. Oproti penetračnímu testu má CTF:
Tyto dvě jistoty u penetračního testu neexistují. Proto jsme naše CTF obohatili o úlohu, která od uživatele vyžaduje kritické myšlení bez nutnosti následování testovacích metodologií, která účinně supluje koncepční přemýšlení nad penetračním testem, což poměrně zásadně ovlivňuje to kdo a jakým způsobem CTF projde. Závěrečný krok je nahrání a odeslání svého CV na personální oddělení.
Takže jako uchazeč musím investovat 2-5 dní do splnění technických úloh ještě předtím, než mě přijmete?
Ano, je to tak.
Ze zpětné vazby od našich uchazečů víme, že samotné výběrové řízení je pro ně zážitkem a i v případě, kdy se nedomluvíme na spolupráci, tak si odnáší mnoho cenných vhledů a zkušeností, na kterých pak dále staví.
Rozumím tedy správně, že klienti mohou na svých projektech očekávat výhradně seniory
To by byla hezká představa a velmi rádi bychom ji naplnili, ale z pohledu ceny za penetrační test by to bylo pro klienta nereálné a ani kapacity personálního trhu tomu příliš neodpovídají. Spolupracujeme proto i s mediorními, či juniorními etickými hackery, kteří zpočátku pracují na projektech stínově se zkušenějšími kolegy. Samostatně je na projekty alokujeme až ve chvíli, kdy dosáhnou potřebných zkušeností dle interních metrik. Délka tohoto meziobdobí je u každého jiná. V urychlení tohoto mezikroku samozřejmě pomáhá i to, jakým výběrovým procesem prošli.
Co podle Tebe zvedá kvalitu týmu v období po náboru?
Velmi důležitou vstupní kompetencí, kterou v rámci výběrového řízení zkoumáme, jsou motivace a chuť lidí se učit a rozvíjet, protože expertíza je jeden ze základních stavebních kamenů Citadelo. Do rozvoje našich hackerů investujeme různými způsoby, ať už je to interní CTF platforma, školení, certifikace nebo konference.
Budovat takto expertní tým musí při nedostatku etických hackerů na trhu vytvářet riziko, že vám ho přetáhne konkurence?
Ano, je to tak. Konkurence má naše etické hackery v hledáčku a neustále se je snaží převést k sobě. Fluktuaci se samozřejmě nedá ve 100 % zabránit, a to z jakýchkoli důvodů, ale i tak se nám daří držet poměrně silný služebně věkový průměr. Dokonce se v některých případech stává, že se někteří po čase do Citadelo opět vrátí a to je jeden z oněch momentů, kdy si potvrdíme, že to děláme skutečně dobře.
Mohou si nějak zákazníci ověřit kvalitu týmu předem?
Ano, určitě mohou. Jako první krok, pokud danou společnost neznají, si mohou projít její webové stránky, kde by měla mít vyvěšené kvalitativní ukazatele jako jsou reference, case study a získaná CVE, která jsou takovou výkladní skříní kvality, nebo CV členů týmu. V Citadelo například přikládáme detailnější CV předběžně vybraných etických hackerů k nabídce, aby klienti viděli, kdo na jejich projektu může pracovat. Klienti si také mohou vyžádat náhled na CV sami.
Co jsou CVE?
Jsou to publikované a detailně popsané nově zjištěné zranitelnosti u globálně používaných SW a aplikací. Nově zjištěné CVE etickými hackery je pro ně velkým úlovkem, kterým mohou přispět do databáze, do které má náhled celý svět a pomáhají tak ochránit uživatele těchto SW. Jakmile náš etický hacker objeví takovou zranitelnost, postupujeme podle naší zavedené politiky zpřístupňování informací, jejíž výsledkem je zveřejnění zranitelností v databázi CVE, jako jsou tyto.
Citadelo má v tuto chvíli zápis v databázi CVE u 18 zjištěných zranitelností. Pro představu se můžete podívat na tyhle 3 od Andreje, nebo třeba další uvedenou na našem blogu. Vždy, když takovou zranitelnost zjistíme, je to pro nás hackerský svátek, který oslavujeme.
Chtěla bys říct něco závěrem?
Ráda bych řekla, že ačkoli dobře provedený nábor není jedinou komponentou kvality týmu, je tou vstupní. Jako Citadelo se na trhu vymezujeme tím, že etický hacking je náš core byznys, proto je pro nás pečlivé ověření kompetencí klíčové. Navíc máme širokou škálu typů zákazníků a je třeba, abychom byli schopni na jejich potřeby reagovat tak, jak od nás očekávají. Proto tomu musí být uzpůsoben i náborový proces, abychom skrze něj získali kolegy, kteří s námi budou rezonovat a budou se chtít spolu s námi a našimi zákazníky v rámci této mise neustále vyvíjet.
Ať už penetrační testování řešíte právě teď a nebo jej plánujete v budoucnosti, neváhejte se s námi spojit a společně probereme, co pro vás můžeme udělat.
