Pentestakademi
Säkerhetstekniker drillas vid CAG Pentestakademi
I år har CAG Engvall Security startat en helt unik akademi för medarbetarna – CAG Pentestakademi. Det är en satsning för att ytterligare stärka vår leveransförmåga av pentester (penetrationstester), en tjänst våra kunder efterfrågar i allt större utsträckning.
”Vår uppgift är att göra rapporten så pass tydlig, att rätt åtgärder kan vidtas för att stå bättre rustad vid ett angrepp.”
”Vår uppgift är att göra rapporten så pass tydlig, att rätt åtgärder kan vidtas för att stå bättre rustad vid ett angrepp.”
Hela IT-branschen lider av en stor brist på seniora säkerhetstekniker. CAG Pentestakademi är ett initiativ för att successivt utöka kompetensen hos våra medarbetare.
Utbildningen vänder sig främst till nyanställda juniora säkerhetstekniker, och till andra medarbetare i CAG som är intresserade och har nödvändiga förkunskaper. Kursen drivs i högt tempo och med hög målsättning.
– Det är viktigt att varva både teori och praktik för att uppnå bästa resultat, säger Lennart Engvall, ansvarig för CAG Pentestakademi och grundare av CAG Engvall Security. Stort ansvar ligger hos deltagaren, då kursen är 50 % självstudier och 50 % praktik.
– Fokus ligger på att samarbeta under självstudierna. När deltagarna genomför labbar hemma vill vi att de utbyter erfarenheter. Sedan träffas vi för gemensamma handledarledda tillfällen. Då går vi igenom föregående labb och hemuppgift. Sedan tar vi oss an nästa uppgift och fördjupar oss inom olika områden.
Det övergripande målet med kursen är att introducera etablerade metoder och verktyg för test av främst webbapplikation, nätverk och Microsoft-baserade arkitekturer. Utbildningen syftar även till att skapa förståelse för vilket värde ett penetrationstest har för kunden. Målet är att kursdeltagarna, med viss handledning, ska kunna genomföra penetrationstest av en webbapplikation och göra sårbarhetsanalyser. De ska känna till vedertagna standarder med fokus på OWASP web Security Testing guide, kunna hantera Linux i sitt arbete och vara bekväma med de viktigaste verktygen som Kali Linux, Burp Suite Metasploit, Covenant, Bloodhound, Mimikatz och Nessus.
Eleverna ska även kunna dokumentera resultatet från ett pentest, så att både tekniker och ledning kan förstå resultatet utifrån olika perspektiv. Kursen avslutas med att eleverna genomför ett skarp pentest, dokumenterar resultatet och föredrar det för kunden. Efter utbildningen ska de ha förutsättningar för att kunna avlägga en OSCP-examen (Offensive Security Certified Professional) – en certifiering för penetrationstester.
Vi passar på att prata med några av eleverna vid ett av kurstillfällena på pentestakademin. Dagens uppgift är att få upp sin egen labbmaskin och börja testa en webbapplikation.
– Härligt att vara i gång, tycker Marcus Söder, IT-säkerhetstekniker. Nu längtar jag efter att få grotta ned mig kring nätverk och få bättre kunskap inom det området.
Adrian Aparisi, även han IT-säkerhetstekniker ser fram emot att få fördjupa sig inom infrastruktur, pivotering och rättighetseskalering.
– Men det ska också bli kul att damma av kunskaperna i hur man bootar upp ett VM (Virtual Machine) och börja skriva Unix-kommandon, tycker han.
Damir Tuhcic, junior säkerhetstekniker, deltar också i pentestakademin, innan han ens har hunnit börja arbeta på CAG Engvall Security.
– För mig är allt väldigt nytt och jag lär mig hela tiden nya saker. Det är en av anledningarna till att jag börjar på CAG Engvall Security.
Många vill få rutin på pentestning, hitta sin arbetsgång, lära sig knep och olika sätt att angripa sårbarheter.
– Jag har arbetat med utveckling och test, men här är det ju helt ny mark. Det kommer att ta en stund att komma på knepen. Akademin är så nyttig, alla har olika bakgrund och kan olika saker. Här delar vi våra erfarenheter och hjälper varandra, säger Adrian Aparisi.
En viktig del av en pentestares arbete är att skriva en lättförståelig rapport utifrån vilken sedan relevanta beslut ska fattas.
– Det handlar om att hitta en bra nivå på rapporten, säger Adrian Aparisi. Vi ska kunna beskriva på ett tydligt sätt vilka sårbarheter och hot som finns, och dessutom kunna ge verksamheten vägledning om vad som måste hanteras. Det är vår uppgift att göra rapporten så pass tydlig, så att rätt åtgärder kan vidtas så att man kan stå bättre rustad vid ett angrepp.
Projekt: CAG Pentestakademi, en utbildning för att ytterligare stärka CAG:s leveransförmåga av pentester (penetrationstester).
Period: Våren 2022, 10 tillfällen.
Ny akademi startar hösten 2022.
Kort om pentest: Tester som i huvudsak identifierar och utvärderar sårbarheter i system. Syftet är att öka förmågan att stå emot cyberangrepp.
Ansvarig: Lennart Engvall, senior konsult CAG Engvall Security
Bolag: CAG Engvall Security
Mattias Hjorth
VD
CAG Security
+46 (0)73 140 00 02