Dita, warum ist es wichtig, über die Qualität der Rekrutierung beim Ethical Hacking zu sprechen?
Ich möchte dies am Beispiel eines Penetrationstests, beispielsweise einer mobilen Anwendung, erläutern. Wenn ein Kunde den Penetrationstest seiner Anwendung an zwei verschiedene Anbieter im gleichen Umfang vergibt, wird er höchstwahrscheinlich zwei unterschiedliche Ergebnisse erhalten, die von der Kompetenz des ethischen Hackers abhängen, der den Test durchgeführt hat. Beide Anbieter werden einen vollständigen Penetrationstest abliefern, aber die Frage ist, wie breit, tief und kritisch ihr Ansatz ist. Wie umfassend und gut ausgearbeitet wird der Bericht sein, der auch Empfehlungen enthält, und wie wird er dem Kunden vermittelt werden können?
Was sollten die Kunden unter Kompetenzen verstehen, wenn sie von ihnen sprechen?
Penetrationstests sind keine Disziplin, die von allen in gleicher Weise gesehen wird. Vielmehr handelt es sich um eine Wissenschaft, bei der das Ergebnis direkt davon abhängt, wie erfahren der ethische Hacker ist, welchen technischen Hintergrund er hat, ob er über konzeptionelle und kritische Denkfähigkeiten verfügt, wie er sich über die aktuellen Nachrichten und Trends im Bereich der weltweit gefundenen Schwachstellen auf dem Laufenden hält usw. Dies und vieles mehr bestimmt, ob er in der Lage sein wird, bei der Erkundung des getesteten Gebiets eine versteckte Schwachstelle für den Kunden zu entdecken oder ob er nach einiger Zeit in eine andere Richtung gehen wird. Das mag eine gute Sache sein oder auch nicht. Wenn also zwei oder mehr Hacker mit den oben genannten Kompetenzen bei einem Penetrationstest-Projekt zusammenkommen, ist dies eine Voraussetzung für einen wirklich guten Penetrationstest für den Kunden.
Zusätzlich zu den technischen Fähigkeiten sind auch die Kommunikationsfähigkeit und das Kompetenzmanagement sehr wichtig. Auf der Basis professioneller, rechtzeitiger und gut gewählter Kommunikation können Pentester und Auftraggeber bereits in der Vorbereitungsphase des Penetrationstests verschiedene Mängel ausbügeln, sodass dessen Beginn und Verlauf möglichst reibungslos verläuft, was letztlich der Qualität zugutekommt und für den Auftraggeber auch kostengünstig ist.
Worin besteht also der Zusammenhang mit der Einstellung von Personal?
Der Rekrutierungsprozess und die Qualität des Teams und folglich auch der erbrachten Dienstleistung sind miteinander verbunden. Ein sorgfältig durchgeführter Rekrutierungsprozess legt den Grundstein für ein qualitativ hochwertiges Team, während ein gut zusammengestelltes Team wertvolle Informationen für die korrekte Durchführung der Rekrutierung liefert. Somit erhält der Kunde ein starkes und kompetentes Team, das an seinem Projekt arbeitet.
Welches sind die Hauptpfeiler, die Ihnen helfen, diese guten Leute aus dem Kundenmarkt herauszuholen?
Kommen wir auf das CTF zu sprechen. Wie hoch ist die Erfolgsquote beim Abschluss?
Etwa 7 %. Letztes Jahr wurde 98 Bewerbern das CTF zur Verfügung gestellt, und von diesen schafften es 7 zum anschließenden Fachgespräch.
Das ist eine ziemlich strenge Prüfung, was ist der Grund dafür?
Der Inhalt unserer CTF ist eine Abfolge von Aufgaben, die auf häufig auftretenden Schwachstellen in der Welt und aus realen Tests beruhen. Im Vergleich zu einem Penetrationstest hat das CTF:
Muss ich als Bewerber also 2 bis 5 Tage in die Erledigung der technischen Aufgaben investieren, bevor ich eingestellt werde?
Ja, das ist richtig.
Aus dem Feedback unserer Bewerber wissen wir, dass das Auswahlverfahren selbst eine Erfahrung ist, und selbst wenn wir nicht mit ihnen zusammenarbeiten, nehmen sie eine Menge wertvoller Erkenntnisse und Erfahrungen mit, auf denen sie dann aufbauen können.
Verstehe ich das richtig, dass die Kunden nur Seniors für ihre Projekte erwarten können
Das wäre eine schöne Idee und wir würden sie gerne verwirklichen, aber im Hinblick auf den Preis pro Penetrationstest wäre das für den Kunden unrealistisch, und die Kapazität des Personalmarktes passt nicht dazu.
Aus diesem Grund arbeiten wir auch mit mittleren oder Junior-Ethical-Hackern, die zunächst als Schatten von erfahreneren Kollegen an Projekten arbeiten. Wir weisen ihnen erst dann eigenständig Projekte zu, wenn sie nach internen Maßstäben die notwendige Erfahrung erreicht haben. Die Dauer dieser Zwischenphase ist bei jedem unterschiedlich. Natürlich trägt auch das Auswahlverfahren, das sie durchlaufen haben, dazu bei, diese Zwischenphase zu beschleunigen.
Was erhöht Ihrer Meinung nach die Qualität eines Teams in der Zeit nach der Einstellung
Eine sehr wichtige Einstiegskompetenz, auf die wir bei der Auswahl achten, ist die Motivation und die Bereitschaft, zu lernen und sich weiterzuentwickeln, denn Fachwissen ist einer der Bausteine von Citadelo. Wir investieren auf verschiedene Weise in die Entwicklung unserer Hacker, sei es durch unsere interne CTF-Plattform, Schulungen, Zertifizierungen oder Konferenzen.
Angesichts des Mangels an ethischen Hackern auf dem Markt muss der Aufbau eines solchen Expertenteams das Risiko bergen, von der Konkurrenz überboten zu werden.
Ja, das stimmt. Unsere Wettbewerber haben unsere ethischen Hacker im Fadenkreuz und versuchen ständig, sie für sich zu gewinnen. Natürlich lässt sich die Fluktuation, aus welchen Gründen auch immer, nicht zu 100 % verhindern, aber wir schaffen es trotzdem, einen relativ hohen Altersdurchschnitt zu halten. In einigen Fällen kommt es sogar vor, dass einige von ihnen nach einer Weile zu Citadelo zurückkehren, und das ist einer der Momente, in denen wir die Bestätigung haben, dass wir das Richtige tun.
Gibt es eine Möglichkeit für die Kunden, die Qualität des Teams im Voraus zu überprüfen?
Ja, das können sie sicherlich. Als ersten Schritt können sie, wenn sie das Unternehmen nicht kennen, die Website des Unternehmens besuchen, auf der es Qualitätsindikatoren wie Referenzen, Fallstudien und CVEs, die eine Art Qualitätsschau darstellen, oder Lebensläufe der Teammitglieder veröffentlicht haben sollte. Bei Citadelo zum Beispiel fügen wir dem Angebot detaillierte Lebensläufe von vorausgewählten ethischen Hackern bei, damit die Kunden sehen können, wer an ihrem Projekt arbeiten kann. Die Kunden können auch selbst eine Vorschau auf den Lebenslauf anfordern.
Was sind CVEs?
Sie werden veröffentlicht und beschreiben neu entdeckte Schwachstellen in weltweit genutzter Software und Anwendungen. Eine von ethischen Hackern neu entdeckte CVE ist ein großer Fang für sie, da sie zu einer Datenbank beitragen, die von der ganzen Welt eingesehen werden kann, und so dazu beitragen, die Nutzer dieser Software zu schützen. Sobald unser ethischer Hacker eine solche Schwachstelle entdeckt, folgen wir unserer etablierten Offenlegungspolitik, die zur Veröffentlichung von Schwachstellen wie dieser in der CVE-Datenbank führt.
Citadelo hat derzeit einen Eintrag in der CVE-Datenbank für 18 identifizierte Sicherheitslücken. Um Ihnen eine Vorstellung davon zu geben, können Sie sich diese 3 von Andrej ansehen, oder vielleicht eine andere, die in unserem Blog aufgeführt ist. Jedes Mal, wenn wir eine Sicherheitslücke wie diese finden, ist das für uns ein Hacker-Feiertag, den wir feiern.
Gibt es etwas, das Sie abschließend sagen möchten?
Ich möchte sagen, dass ein gut durchgeführter Einstellungsprozess zwar nicht die einzige Komponente eines Qualitätsteams ist, aber die erste. Wir von Citadelo definieren uns auf dem Markt über die Tatsache, dass ethisches Hacking unser Kerngeschäft ist, daher ist eine sorgfältige Kompetenzüberprüfung der Schlüssel. Außerdem haben wir ein breites Spektrum an Kunden und müssen in der Lage sein, auf ihre Bedürfnisse so zu reagieren, wie sie es von uns erwarten. Aus diesem Grund muss der Einstellungsprozess darauf zugeschnitten sein, damit wir Kollegen gewinnen können, die sich mit uns identifizieren und sich gemeinsam mit uns und unseren Kunden im Rahmen dieser Aufgabe weiterentwickeln wollen.
Ob Sie nun Penetrationstests durchführen oder dies für die Zukunft planen, setzen Sie sich mit uns in Verbindung, um zu besprechen, was wir für Sie tun können.
