Steeds meer hoogopgeleide jongeren kiezen voor een professionele carrière als ethisch hacker bij een cybersecurity-bedrijf. In deze rol proberen ze bedrijven te helpen met de bescherming tegen cyberaanvallen. Maar hoe zit het met de kwaliteitseisen voor deze nieuwe generatie ethische hackers en hoe zorg je dat je als security-bedrijf de beste specialisten levert aan klanten? Security-specialist Matthijs Melissen is verantwoordelijk voor het opleiden van nieuwe ethische hackers bij Computest Security. Hij legt uit hoe het opleidingstraject is vormgegeven en waarom Computest security-specialisten alleen inzet bij klanten als ze bewezen hebben dezelfde resultaten te vinden als ervaren testers.
Intensief opleidingstraject
Zodra mensen zijn aangenomen bij Computest beginnen ze aan een intensief opleidingstraject van drie tot zes maanden. Melissen: “De achtergronden van onze nieuwe mensen verschillen soms behoorlijk. Ze kunnen van een cybersecurity-opleiding komen, maar ook van hele andere opleidingen zoals lucht- en ruimtevaarttechniek of wiskunde. Regelmatig nemen we ook ontwikkelaars aan die willen doorgroeien naar security-specialist, oftewel ethisch hacker. Wat altijd overeenkomt, is dat ze minimaal een HBO of Universitaire opleiding hebben en dat ze op een systematische manier kunnen denken. Tijdens ons opleidingstraject kijken we of ze deze vaardigheden ook daadwerkelijk in de praktijk kunnen laten zien.”
Opleidingstraject in vier fases
Het standaard opleidingstraject voor junior security-specialisten in opleiding bestaat uit vier fases. Zij moeten alle fases succesvol doorlopen voordat ze aan de slag kunnen voor Computest-klanten.
Fase 1: Ontwikkelen van een webapplicatie
In deze fase leren de security-specialisten in opleiding hoe ze zelf webapplicaties kunnen ontwikkelen. Zo leren ze hoe ontwikkelaars denken bij het bouwen van een applicatie. Dat is belangrijke kennis voor als je in een latere fase onderzoek doet naar mogelijke kwetsbaarheden in een applicatie.
Fase 2: Intensieve security-training
Tijdens een klassikale training van drie weken leren de deelnemers hoe security werkt en hoe hacken in zijn werk gaat. Security-specialisten in opleiding krijgen oefenopgaven die ze met de hulp van ervaren trainers leren oplossen. Als afsluiting van deze fase moeten ze een aantal challenges halen waarbij ze bekende kwetsbaarheden moeten vinden in bestaande software. Deze challenges zijn te vinden in een speciaal trainingsportaal dat Computest hiervoor heeft ingericht. Ze mogen pas door naar de volgende fase van het opleidingstraject als ze al deze challenges succesvol hebben afgerond.
Fase 3: Schaduwtesten
Nu wordt het tijd voor het echt spannende werk. De ethisch hackers in spé voeren dezelfde security-testen uit als de ervaren ethische hackers van Computest. Na afloop wordt gekeken of de resultaten overeenkomen met die van de ervaren specialisten. Er wordt uitgebreid geëvalueerd om zo de kennis van de specialisten in opleiding naar een nog hoger niveau te tillen. Deelnemers moeten deze testen minimaal vijf keer succesvol doorlopen voordat ze door mogen naar de laatste fase van het traject.
Fase 4: Testen voor klanten
Pas in deze fase gaat een specialist in opleiding aan de slag voor Computest-klanten. Dan worden alle tests die ze uitvoeren eerst nog gecheckt door ervaren hackers voor ze naar de klant gaan zodat de kwaliteit van de security-tests altijd gegarandeerd is.
Meer dan alleen techniek
Naast alle technische vaardigheden die de specialisten in opleiding opdoen, leren ze ook hoe ze klanten zo goed mogelijk kunnen helpen, hoe ze een goede rapportbespreking moeten uitvoeren of hoe ze de vertaalslag moeten maken van de techniek en naar de praktijk.
Pas als alle fases van het opleidingstraject zijn afgerond, kunnen de nieuwe security-specialisten zelfstandig aan de slag voor Computest-klanten. En dat lukt niet iedereen. Tot een kwart van de hackers in opleiding valt af tijdens het opleidingstraject van Computest. Door dit intensieve trainingstraject kan Computest klanten echter wel altijd garanderen dat ze werken met ervaren security-professionals van topkwaliteit die gegarandeerd goede testen afleveren.
Altijd blijven leren
Na afronding van het officiële opleidingstraject, blijven de security-specialisten zich door ontwikkelen. In het kader van kwaliteitsgarantie worden door ervaren ethische hackers blijvende kwaliteitscontroles uitgevoerd na iedere zelfstandig uitgevoerde test door een junior security-specialist. Junior ethische hackers blijven zo leren van meer ervaren mensen en voor Computest-klanten blijft de kwaliteit altijd gegarandeerd. Ook intern wordt er veel aan gedaan om de kennis van security-specialisten up-to-date te houden. Zo worden er regelmatig kennissessies georganiseerd en wordt er via diverse communicatiekanalen informatie gedeeld over de nieuwste ontwikkelingen op security-gebied.
Kwaliteitsgarantie voor Computest-klanten
Matthijs Melissen over het belang van een intensief trainingstraject voor ethisch hackers: “Wij vinden dat onze klanten altijd moeten kunnen vertrouwen op de kwaliteit van onze security-testen. Computest heeft op dat gebied een sterke reputatie hoog te houden. We willen dan ook niet dat door onervarenheid belangrijke kwetsbaarheden worden gemist of dat er teveel aandacht en tijd wordt besteed aan kwetsbaarheden die geen écht probleem vormen. Daarom steken we zoveel tijd en energie in het zo goed mogelijk opleiden van onze nieuwe mensen.”
