Qualität der Penetrationstests vs. Qualität der Rekrutierung?

Wie kommt es, dass bei Citadelo ein Hacker einen Hacker einstellt? Dita ist seit 7 Jahren Expertin für die Rekrutierung von ethischen Hackern auf dem nationalen und internationalen Markt. Wir sprachen über die Rekrutierung von Hackern bei Citadelo und darüber, wie sie sich auf die Qualität des Teams und damit auf die Qualität der durchgeführten Pentests auswirkt.

Dita, warum ist es wichtig, über die Qualität der Rekrutierung beim Ethical Hacking zu sprechen?

Ich möchte dies am Beispiel eines Penetrationstests, beispielsweise einer mobilen Anwendung, erläutern. Wenn ein Kunde den Penetrationstest seiner Anwendung an zwei verschiedene Anbieter im gleichen Umfang vergibt, wird er höchstwahrscheinlich zwei unterschiedliche Ergebnisse erhalten, die von der Kompetenz des ethischen Hackers abhängen, der den Test durchgeführt hat. Beide Anbieter werden einen vollständigen Penetrationstest abliefern, aber die Frage ist, wie breit, tief und kritisch ihr Ansatz ist. Wie umfassend und gut ausgearbeitet wird der Bericht sein, der auch Empfehlungen enthält, und wie wird er dem Kunden vermittelt werden können?

Was sollten die Kunden unter Kompetenzen verstehen, wenn sie von ihnen sprechen?

Penetrationstests sind keine Disziplin, die von allen in gleicher Weise gesehen wird. Vielmehr handelt es sich um eine Wissenschaft, bei der das Ergebnis direkt davon abhängt, wie erfahren der ethische Hacker ist, welchen technischen Hintergrund er hat, ob er über konzeptionelle und kritische Denkfähigkeiten verfügt, wie er sich über die aktuellen Nachrichten und Trends im Bereich der weltweit gefundenen Schwachstellen auf dem Laufenden hält usw. Dies und vieles mehr bestimmt, ob er in der Lage sein wird, bei der Erkundung des getesteten Gebiets eine versteckte Schwachstelle für den Kunden zu entdecken oder ob er nach einiger Zeit in eine andere Richtung gehen wird. Das mag eine gute Sache sein oder auch nicht. Wenn also zwei oder mehr Hacker mit den oben genannten Kompetenzen bei einem Penetrationstest-Projekt zusammenkommen, ist dies eine Voraussetzung für einen wirklich guten Penetrationstest für den Kunden.

Zusätzlich zu den technischen Fähigkeiten sind auch die Kommunikationsfähigkeit und das Kompetenzmanagement sehr wichtig. Auf der Basis professioneller, rechtzeitiger und gut gewählter Kommunikation können Pentester und Auftraggeber bereits in der Vorbereitungsphase des Penetrationstests verschiedene Mängel ausbügeln, sodass dessen Beginn und Verlauf möglichst reibungslos verläuft, was letztlich der Qualität zugutekommt und für den Auftraggeber auch kostengünstig ist.

Worin besteht also der Zusammenhang mit der Einstellung von Personal?

Der Rekrutierungsprozess und die Qualität des Teams und folglich auch der erbrachten Dienstleistung sind miteinander verbunden. Ein sorgfältig durchgeführter Rekrutierungsprozess legt den Grundstein für ein qualitativ hochwertiges Team, während ein gut zusammengestelltes Team wertvolle Informationen für die korrekte Durchführung der Rekrutierung liefert. Somit erhält der Kunde ein starkes und kompetentes Team, das an seinem Projekt arbeitet.

Welches sind die Hauptpfeiler, die Ihnen helfen, diese guten Leute aus dem Kundenmarkt herauszuholen?

1. Wir bauen unsere Rekrutierungsprozesse auf der Grundlage des technischen Fachwissens auf, das erforderlich ist, um die tatsächlichen Bedürfnisse unserer Kunden zu erfüllen. Dazu gehören technische Aufgaben bis hin zu internen Gesprächen.
2. Jeder Kandidat durchläuft technische Aufgaben in unserem Capture the Flag (CTF) in einem Zeitraum von 2 bis 5 Tagen.
3. Kandidaten, die das CTF bestehen, kommen zu einem technischen Interview, in dem sie von bis zu drei unserer erfahrenen Hacker über den Ablauf und die Variationen der Aufgaben im CTF, allgemeines technisches Wissen, Trends im Ethical Hacking, Motivationen für den Job und mehr befragt werden. An dem Punkt, an dem der Hacker von unseren Hackern ausgewählt wird.

Kommen wir auf das CTF zu sprechen. Wie hoch ist die Erfolgsquote beim Abschluss?

Etwa 7 %. Letztes Jahr wurde 98 Bewerbern das CTF zur Verfügung gestellt, und von diesen schafften es 7 zum anschließenden Fachgespräch.

Das ist eine ziemlich strenge Prüfung, was ist der Grund dafür?

Der Inhalt unserer CTF ist eine Abfolge von Aufgaben, die auf häufig auftretenden Schwachstellen in der Welt und aus realen Tests beruhen. Im Vergleich zu einem Penetrationstest hat das CTF:

1. Eine lineare Progression
2. Weniger Sackgassen als bei einem Penetrationstest. Diese beiden Gewissheiten gibt es bei einem Penetrationstest nicht. Deshalb haben wir unser CTF mit einer Aufgabe angereichert, bei der der Benutzer kritisch denken muss, ohne sich an Testmethoden zu halten. Dies ersetzt effektiv das konzeptionelle Denken über den Penetrationstest, das ganz grundlegend darüber entscheidet, wer das CTF besteht und wie. Der letzte Schritt ist das Hochladen und Senden des Lebenslaufs an die Personalabteilung.

Muss ich als Bewerber also 2 bis 5 Tage in die Erledigung der technischen Aufgaben investieren, bevor ich eingestellt werde?

Ja, das ist richtig.

Aus dem Feedback unserer Bewerber wissen wir, dass das Auswahlverfahren selbst eine Erfahrung ist, und selbst wenn wir nicht mit ihnen zusammenarbeiten, nehmen sie eine Menge wertvoller Erkenntnisse und Erfahrungen mit, auf denen sie dann aufbauen können.

Verstehe ich das richtig, dass die Kunden nur Seniors für ihre Projekte erwarten können

Das wäre eine schöne Idee und wir würden sie gerne verwirklichen, aber im Hinblick auf den Preis pro Penetrationstest wäre das für den Kunden unrealistisch, und die Kapazität des Personalmarktes passt nicht dazu.

Aus diesem Grund arbeiten wir auch mit mittleren oder Junior-Ethical-Hackern, die zunächst als Schatten von erfahreneren Kollegen an Projekten arbeiten. Wir weisen ihnen erst dann eigenständig Projekte zu, wenn sie nach internen Maßstäben die notwendige Erfahrung erreicht haben. Die Dauer dieser Zwischenphase ist bei jedem unterschiedlich. Natürlich trägt auch das Auswahlverfahren, das sie durchlaufen haben, dazu bei, diese Zwischenphase zu beschleunigen.

Was erhöht Ihrer Meinung nach die Qualität eines Teams in der Zeit nach der Einstellung

• Die Erfahrung, die sie aus der Vielfalt der Projekttypen in den verschiedenen Marktsektoren gewinnen.
• Die Anzahl der im Laufe des Jahres durchgeführten Pentests
• Gegenseitiger Erfahrungsaustausch über Projekte
• Lernen

Eine sehr wichtige Einstiegskompetenz, auf die wir bei der Auswahl achten, ist die Motivation und die Bereitschaft, zu lernen und sich weiterzuentwickeln, denn Fachwissen ist einer der Bausteine von Citadelo. Wir investieren auf verschiedene Weise in die Entwicklung unserer Hacker, sei es durch unsere interne CTF-Plattform, Schulungen, Zertifizierungen oder Konferenzen.

Angesichts des Mangels an ethischen Hackern auf dem Markt muss der Aufbau eines solchen Expertenteams das Risiko bergen, von der Konkurrenz überboten zu werden.

Ja, das stimmt. Unsere Wettbewerber haben unsere ethischen Hacker im Fadenkreuz und versuchen ständig, sie für sich zu gewinnen. Natürlich lässt sich die Fluktuation, aus welchen Gründen auch immer, nicht zu 100 % verhindern, aber wir schaffen es trotzdem, einen relativ hohen Altersdurchschnitt zu halten. In einigen Fällen kommt es sogar vor, dass einige von ihnen nach einer Weile zu Citadelo zurückkehren, und das ist einer der Momente, in denen wir die Bestätigung haben, dass wir das Richtige tun.

Gibt es eine Möglichkeit für die Kunden, die Qualität des Teams im Voraus zu überprüfen?

Ja, das können sie sicherlich. Als ersten Schritt können sie, wenn sie das Unternehmen nicht kennen, die Website des Unternehmens besuchen, auf der es Qualitätsindikatoren wie Referenzen, Fallstudien und CVEs, die eine Art Qualitätsschau darstellen, oder Lebensläufe der Teammitglieder veröffentlicht haben sollte. Bei Citadelo zum Beispiel fügen wir dem Angebot detaillierte Lebensläufe von vorausgewählten ethischen Hackern bei, damit die Kunden sehen können, wer an ihrem Projekt arbeiten kann. Die Kunden können auch selbst eine Vorschau auf den Lebenslauf anfordern.

Was sind CVEs?

Sie werden veröffentlicht und beschreiben neu entdeckte Schwachstellen in weltweit genutzter Software und Anwendungen. Eine von ethischen Hackern neu entdeckte CVE ist ein großer Fang für sie, da sie zu einer Datenbank beitragen, die von der ganzen Welt eingesehen werden kann, und so dazu beitragen, die Nutzer dieser Software zu schützen. Sobald unser ethischer Hacker eine solche Schwachstelle entdeckt, folgen wir unserer etablierten Offenlegungspolitik, die zur Veröffentlichung von Schwachstellen wie dieser in der CVE-Datenbank führt.

Citadelo hat derzeit einen Eintrag in der CVE-Datenbank für 18 identifizierte Sicherheitslücken. Um Ihnen eine Vorstellung davon zu geben, können Sie sich diese 3 von Andrej ansehen, oder vielleicht eine andere, die in unserem Blog aufgeführt ist. Jedes Mal, wenn wir eine Sicherheitslücke wie diese finden, ist das für uns ein Hacker-Feiertag, den wir feiern.

Gibt es etwas, das Sie abschließend sagen möchten?

Ich möchte sagen, dass ein gut durchgeführter Einstellungsprozess zwar nicht die einzige Komponente eines Qualitätsteams ist, aber die erste. Wir von Citadelo definieren uns auf dem Markt über die Tatsache, dass ethisches Hacking unser Kerngeschäft ist, daher ist eine sorgfältige Kompetenzüberprüfung der Schlüssel. Außerdem haben wir ein breites Spektrum an Kunden und müssen in der Lage sein, auf ihre Bedürfnisse so zu reagieren, wie sie es von uns erwarten. Aus diesem Grund muss der Einstellungsprozess darauf zugeschnitten sein, damit wir Kollegen gewinnen können, die sich mit uns identifizieren und sich gemeinsam mit uns und unseren Kunden im Rahmen dieser Aufgabe weiterentwickeln wollen.

Ob Sie nun Penetrationstests durchführen oder dies für die Zukunft planen, setzen Sie sich mit uns in Verbindung, um zu besprechen, was wir für Sie tun können.