Dita, prečo je v etickom hackingu dobré hovoriť o kvalite náboru?
Budem to ilustrovať na príklade penetračného testu napríklad mobilnej aplikácie. Ak klient zadá penetračný test svojej aplikácie dvom rôznym dodávateľom v rovnakom rozsahu, s najväčšou pravdepodobnosťou dostane dva rôzne výsledky, ktoré závisia od kompetencií etického hackera, ktorý test vykonal. Obaja poskytovatelia dodajú hotový penetračný test, otázkou však bude rozsah, hĺbka a kritickosť, s akou k nemu pristúpili. Akú komplexnú a dobre spracovanú správu vrátane odporúčaní dodajú a ako ju budú schopní komunikovať klientovi.
Kompetencie, čo si klienti predstavujú pod kompetenciami?
Penetračné testovanie nie je disciplína, ktorú každý vníma rovnako. Je to skôr veda, kde výsledok priamo závisí od toho, aký je etický hacker skúsený, aké má technické vzdelanie, či má koncepčné a kritické myslenie, ako si udržiava prehľad o aktuálnom dianí v oblasti nájdených zraniteľností vo svete a pod. Toto a mnoho ďalšieho rozhoduje o tom, či sa mu pri skúmaní testovaného územia podarí objaviť skrytú zraniteľnosť pre klienta, alebo sa po čase vydá hľadať iným smerom. Čo môže, ale nemusí byť dobré. Ak sa teda na projekte penetračného testu stretnú 2 alebo viac hackerov s vyššie uvedenými kompetenciami, je to predpoklad skutočne dobrého penetračného testu pre klienta.
Avšak, okrem technických zručností je veľmi dôležitá aj schopnosť dobre komunikovať a manažérske schopnosti. Na základe profesionálnej, včasnej a dobre zvolenej komunikácie dokáže etický hacker spolu s klientom vyžehliť rôzne nedostatky už v prípravnej fáze penetračného testu tak, aby jeho začiatok a priebeh bol čo najhladší, čo v konečnom dôsledku prispieva ku kvalite a je pre klienta aj ekonomicky výhodné.
Aká je teda súvislosť s náborom zamestnancov?
Náborový proces a kvalita tímu, a tým aj poskytovaných služieb, sú spojené nádoby. Správne vykonaný náborový proces kladie základy kvalitného tímu, zatiaľ čo dobre zostavený tím odovzdáva cenné informácie pre správnu realizáciu náboru. Výsledkom pre klienta je potom silný a odborný tím pracujúci na jeho projekte.
Aké sú hlavné piliere, ktoré vám pomáhajú získať týchto kvalitných ľudí z trhu pre klientov?
Zastavme sa pri CTF. Aká je úspešnosť dokončenia?
Približne 7 %. Minulý rok sme CTF sprístupnili 98 uchádzačom a z nich sa 7 dostalo na následný technický pohovor.
To je dosť prísne hodnotenie, aký je dôvod?
Obsahom nášho CTF je sled úloh, ktoré vychádzajú z často sa vyskytujúcich zraniteľností vo svete a z testovania v reálnom svete. V porovnaní s penetračným testom má CTF:
Musím teda ako uchádzač investovať 2 až 5 dní do splnenia technických úloh, kým ma prijmú?
Áno, je to tak.
Zo spätnej väzby od našich uchádzačov vieme, že samotný výberový proces je pre nich zážitkom a aj keď sa s nimi nedohodneme na spolupráci, odnesú si z neho veľa cenných poznatkov a skúseností, na ktorých potom stavajú.
Rozumiem teda správne, že klienti môžu na svojich projektoch očakávať len seniorov?
To by bola pekná predstava a radi by sme ju splnili, ale z hľadiska ceny za penetračný test by to bolo pre klienta nereálne a kapacita personálneho trhu tomu nezodpovedá. Preto spolupracujeme aj so stredne pokročilými alebo juniorskými etickými hackermi, ktorí spočiatku pracujú na projektoch a tieňujú skúsenejších kolegov. Na projekty ich samostatne prideľujeme až vtedy, keď podľa interných metrík dosiahnu potrebné skúsenosti. Dĺžka tohto prechodného obdobia je u každého iná. Samozrejme, k urýchleniu tohto medziobdobia prispieva aj výberový proces, ktorým prešli.
Čo podľa vás zvyšuje kvalitu tímu v období po nástupe?
Veľmi dôležitou vstupnou kompetenciou, ktorú hľadáme vo výberovom procese, je motivácia ľudí a ich ochota učiť sa a rozvíjať, pretože odbornosť je jedným zo základných kameňov spoločnosti Citadelo Do rozvoja našich hackerov investujeme rôznymi spôsobmi, či už prostredníctvom našej internej platformy CTF, školení, certifikácií alebo konferencií.
Pri nedostatku etických hackerov na trhu musí budovanie takéhoto tímu expertov vytvárať riziko, že vám konkurencia bude chcieť prebať ľudí, však?
Áno, hrozí. Naši konkurenti majú našich etických hackerov na muške a neustále sa ich snažia získať pre seba. Samozrejme, fluktuácii sa z akýchkoľvek dôvodov nedá stopercentne zabrániť, ale aj tak sa nám darí udržiavať pomerne silný seniorský priemer. V niektorých prípadoch sa dokonca stáva, že niektorí z nich sa po čase do Citadela vrátia, a to je jeden z tých momentov, keď si potvrdíme, že to robíme naozaj dobre.
Môžu si zákazníci nejakým spôsobom vopred overiť kvalitu tímu?
Áno, určite môžu. V prvom kroku, ak spoločnosť nepoznajú, môžu ísť na jej webovú stránku, kde by mala mať zverejnené ukazovatele kvality, ako sú referencie, prípadové štúdie a CVE, ktoré sú akousi výkladnou skriňou kvality, alebo životopisy členov tímu. V spoločnosti Citadelo napríklad k ponuke prikladáme podrobné životopisy vopred vybraných etických hackerov, aby klienti videli, kto môže pracovať na ich projekte. Klienti si môžu vyžiadať náhľad životopisu aj sami.
Čo sú to CVE?
Sú to zverejnené a podrobne popísané novoobjavené zraniteľnosti v celosvetovo používaných softvéroch a aplikáciách. Novoobjavená CVE etickými hackermi je pre nich veľkým úlovkom, ktorým môžu prispieť do databázy, ktorú si môže pozrieť celý svet, čo pomáha chrániť používateľov tohto SW. Akonáhle náš etický hacker objaví takúto zraniteľnosť, postupujeme podľa našej stanovenej politiky zverejňovania, ktorej výsledkom je zverejnenie takýchto zraniteľností v databáze CVE.
V Citadele máme v súčasnosti v databáze CVE záznam 18 identifikovaných zraniteľností. Pre predstavu si môžete pozrieť tieto 3 od Andreja, prípadne ďalšie uvedené na našom blogu. Vždy, keď nájdeme takúto zraniteľnosť, je to pre nás hackerský sviatok, ktorý môžeme osláviť.
Chcela by si povedať niečo na záver?
Chcela by som povedať, že hoci dobre vykonaný nábor nie je jedinou zložkou kvalitného tímu, je to vstupná zložka. Ako Citadelo sa na trhu definujeme tým, že etický hacking je náš core biznis, takže starostlivé overovanie kompetencií je kľúčové. Okrem toho máme širokú škálu typov zákazníkov a musíme byť schopní reagovať na ich potreby tak, ako to od nás očakávajú. Preto tomu musí byť prispôsobený aj proces náboru, aby sme jeho prostredníctvom dokázali získať kolegov, ktorí s nami budú súznieť a budú sa chcieť v rámci tohto poslania neustále rozvíjať spolu s nami a našimi zákazníkmi.
Či už riešite penetračné testovanie teraz, alebo ho plánujete v budúcnosti, neváhajte nás kontaktovať a prediskutovať, čo pre vás môžeme urobiť.
