Pentesting OT omgevingen

Wilde je altijd al een pentester worden?

Niet echt. Ik ben afgestudeerd met een diploma Informatica en Technologie. Op dat moment had ik geen idee wat ik voor de kost wilde doen. Ik besloot naar een technische school te gaan en specialiseerde me gaandeweg in informatica. Dankzij mijn vriendenkring, medestudenten die net terug waren van stage of oud-studenten, ontdekte ik cybersecurity en meer specifiek pentesting.

Wat sprak je aan in hun verhalen?

Ik was gefascineerd door het idee van penetration testing. Het gedrag van een hacker legaal reproduceren, is een origineel concept. Ik hield ook van het idee om een ​​bedrijf te helpen, om technische expertise in te brengen en tegelijkertijd de oorspronkelijke benadering van ethisch hacken te behouden.

Je kwam in 2016 bij Orange Cyberdefense* als afstudeerstagiair. Wat was je missies in die tijd?

De eerste twee maanden stonden in het teken van training. Daarna werkte ik aan intrusion testen in een industriële omgeving. Dit was het onderwerp van mijn scriptie. Ik hielp het team om methodologieën te creëren en precieze controlepunten te identificeren. Tot slot vergezelde ik senior pentesters in hun missies. In deze laatste fase heb ik de tijdens deze stage opgedane kennis in een professionele context kunnen toepassen.
*Na de overname van Lexsi door Orange Cyberdefense in 2016

Waarom heb je je gespecialiseerd in industriële cyberbeveiliging?

Ik had al enige kennis over industriële apparatuur uit mijn bachelor. Ook industriële cybersecurity vereist een bijzondere aanpak: de meeste apparatuur is verouderd en niet erg goed bestand tegen aanvallen en dus intrusions tests. Onze technische audits zijn in staat om de machines buiten bedrijf te stellen, wat geen optie is. De productie moet in ieder geval doorgaan. We moeten dus innoveren, andere manieren vinden om dingen te doen.

De industriesector is momenteel erg dynamisch: steeds meer industriële groepen willen hun beveiligingsniveau verbeteren en doen een beroep op bedrijven als Orange Cyberdefense om hen daarbij te helpen. Bij het veiligstellen van industriële activa staat er veel op het spel: een echte cyberaanval op een kerncentrale of een hydraulische dam kan verwoestende gevolgen hebben.

Kwam het beeld dat je destijds had van het werk van de pentester overeen met wat je vandaag ervaart?

De verhalen die ik over het werk hoorde, leken erg op wat ik vandaag ervaar, vooral aan de technische kant. Wat ik niet had verwacht waren de andere taken: pre-sales meetings, verkoopvoorstellen, enz. Wij regelen alles wat er gebeurt voor en na de intrusion tests. Onze expertise moet hand in hand gaan met de behoeften van elke klant, zodat we op het juiste moment beschikbaar kunnen zijn. Een deel van ons werk is dus ook projectmanagement. Inmiddels waardeer ik deze cross-functionele benadering van alle stadia van een penetration test, van de kwalificatie van de behoeften tot het eindrapport.

Hoe ziet een dag in jouw leven er uit?

Geen twee weken zijn hetzelfde. Mijn missies zijn zeer divers. Het kan een penetration test zijn op een mobiele applicatie, een commerciële website, het interne netwerk van een klant, en meer originele diensten zoals educatieve phishing-campagnes of inbraakpogingen in de gebouwen van een klant.

Daarnaast ben ik trainer in intrusion testing. Ik begeleid jonge profielen bij hun ontwikkeling in technische vakken. Ik leid ook speciale trainingssessies voor onze klanten om ze, door te oefenen, kennis te laten maken met de leuke kant van penetration testing.

Wat vind je het leukst aan je baan?

Er is geen enkele missie die ik leuker vind dan een andere. Ik vind het vooral leuk dat ik kan variëren en van de een naar de ander kan gaan. Mijn weken zijn niet hetzelfde, en ik ben gehecht aan deze veelheid.

Ik geniet vooral van het delen van kennis: of het nu op de locatie van een klant is nadat ik ze heb geholpen hun beveiligingsniveau te verbeteren of de jongere leden van mijn afdeling te hebben gecoacht, ik vind het heerlijk om technische onderwerpen te bespreken en door te geven.

Hoe zou je de cultuur op de afdeling omschrijven?

De cultuur is relatief jong: de meesten van ons zijn tussen de 25 en 30 jaar oud. Er is een uitstekende verstandhouding, wat belangrijk is omdat we heel veel samenwerken. Kennis delen is heel belangrijk: dit is iets wat me het meest opviel toen ik aankwam. Elke keer dat een pentester terugkeert van een opdracht, geeft hij of zij door wat ze hebben geleerd, de nieuwe technieken die ze hebben ontdekt. De missies worden vaak in paren gedaan, waardoor we onze vaardigheden op unieke onderwerpen kunnen vergroten. Onlangs heeft een van hen me in staat gesteld om te leren over code-auditing.

Welk advies zou je geven aan iemand die pentester wil worden?

Je moet volhardend zijn, niet bang om tijd te besteden aan onderzoeken, kijken zonder ontmoedigd te raken. Onlangs kostte het me drie dagen om een ​​kwetsbaarheid te benutten. Ik wist dat ik een manier zou vinden en gaf niet op. Motivatie is essentieel, want pentesten is vooral een baan voor liefhebbers.

Ook moet je niet bang zijn om met een bescheiden technisch niveau te beginnen. Stages stellen je in staat om je vaardigheden snel te vergroten, je wordt ondergedompeld in pentesting. Zelfs zonder het te beseffen leer je door gewoon in contact te zijn met anderen.

* Voornaam is aangepast.