PuraSec groeit! Het aantal opdrachten neemt flink toe en onze hackers kunnen wel wat ondersteuning gebruiken. Op dit moment bestaat het technische team uit een mix van junior en de meer ervaren pentesters met goede communicatie skills. Ben jij op zoek naar een hele gave baan als hacker? Heb je al wat ervaring of ben je in vrije tijd volop bezig met CTFs of CVDs? Wil je klanten digitaal veiliger maken en verlies je daarbij hun bedrijfsdoelstellingen niet uit het oog? Dan horen we heel graag van je. Lees hieronder hoe een gemiddelde dag er bij ons uit ziet!
🕤 08:42 Je klapt je laptop open, je opent je mailbox en verwijdert een 'oefen-phishing-mail', want die spot jij direct. Ook de stagiair heeft een verdachte mail gekregen, en komt naar je toe. Samen met hem analyseer je de e-mail en de twijfel was terecht, het was een phishing mail, goed gedaan!
🕘 08:55 Een collega auditor komt naar jou toe en vraagt of jij met haar mee kan kijken of de encryptie in de door hun te auditen applicatie voldoet. Je vertelt op eenvoudige wijze in basislijnen waarom deze encryptie voldoet, onder het genot van een lekkere kop koffie.
🕥 09:28 Met Repeater in BurpSuite ben je IDORS aan het checken op de webapplicatie van het project waar je op zit, omdat je haast zeker weet dat daar iets niet goed zit. Na een tijd vind je een manier om alle gevoelige data uit de webapplicatie van de klant te downloaden. Je belt de technisch specialist bij de klant en waarschuwt die direct. Zo zijn zij direct geholpen, de uitgebreide 'Proof of Concept' bespreek je later met hen in de rapportage en pentesting review. Je gaat verder met jouw pentest.
🕚 11:01 Iemand schiet op jou met een Nerfgun, dit laat je niet gebeuren en je vuurt terug. Er ontstaat kortstondig gevecht waarbij de pijlen in het rond vliegen. Jouw leidinggevende heeft een minigun, gelukkig heeft die niets gezien!
🕛 11:55 In je agenda staat een technische intake gepland voor een volgende klant. Samen met hen bespreek je in een videocall de details en maak je een inschatting van de te testen omgeving. Wie is hierin het beste en hoeveel tijd hebben wij nodig? Samen met de projectleider bespreek je een planning die aansluit op de wensen van de klant, en de mogelijkheden bij PuraSec.
🕜 12:36 Je loopt naar de keuken en haalt uit de voorraadkast een tosti of een bapao. Je eet die met chilisaus, waarom? Omdat het kan. Morgen kook je een gezond eitje of neem je een andere healthy-snack. Volgende week is er een pizzasessie, dus nog maar even rustig aan!
🕑 13:37 Zojuist heb je SSH-reverse tunnel opgezet waarmee je toegang hebt gekregen tot een admin panel binnen de kantooromgeving van de klant. Je schreeuwt net iets te hard van blijdschap. Gelukkig laten je collega's hun Nerfguns rusten en word je niet beschoten.
🕒 15:03 Na een aantal dagen pentesten ben je nu helemaal klaar. Je begint aan het maken van de rapportage. Na ongeveer een uur is het goed geweest, je leest (en leert van) een aantal blogs op internet over de eerste 'Proof of Concept' van een nieuwe exploit is gepubliceerd.
🕔 17:10 Je vinkt wat taken op je checklist af en checkt de planning voor de komende tijd. Je loopt met wat collega's de deur uit terwijl je enthousiast zit te vertellen over een buffer overflow die je zelf ook nog niet helemaal snapt. Je collega's vragen of je vanavond mee doet met de online CTF. Dit keer doe je niet mee, je hebt het vrij druk gehad deze week. Dat maakt niet uit, want het moet wel leuk blijven!
Risk assessmentHet is niet eenvoudig om te bepalen wat er nodig is om je organisatie te beschermen tegen diverse risico’s op het gebied van informatiebeveiliging zoals ransomware aanvallen, phishing of het stelen van data door criminelen. Inzicht in risico’s en de relatie met de doelstellingen van de organisatie zijn essentieel om de juiste acties te definiëren en prioriteiten te bepalen. Een risk assessment helpt met het verkrijgen van dit inzicht zodat gestart kan worden met het verbeteren van de informatiebeveiliging, op een manier die bij de organisatie past.
ISO 27001Een goed beleid is de basis voor het op orde krijgen van je cybersecurity. Het is belangrijk dat het beleid is afgestemd op de risico’s maar ook de werkwijze van je bedrijf. Zo zorg je dat processen en procedures daadwerkelijk hun doel dienen en ook worden toegepast.
Security officer as a serviceJe kunt veel expertise inhuren voor zowel de korte als de lange termijn, maar het belangrijkste is om ook binnen je eigen organisatie zoveel mogelijk kennis te borgen. Daarmee wordt de organisatie weerbaarder en kunnen onderbouwde keuzes worden gemaakt op het gebied van cybersecurity.
PentestenVeel problemen kunnen worden voorkomen door het goed inregelen van de technische beveiliging binnen een organisatie. Het is hierbij belangrijk om rekening te houden met de risico’s van de organisatie en na te denken over realistische aanvalsscenario’s. Vervolgens kan een goed plan worden gemaakt om hier maatregelen tegen te treffen en deze te testen.
