11 лютого 2022 року фахівці провідної української кібербезпекової компанії Berezha Security Group (BSG) провели вебінар «AppSec 2022 Skill Tree, що вчити пентестеру в 2022». Цей професійний захід був присвячений представленню та обговоренню необхідних компетентностей фахівців, які потрібні сучасним компаніям у галузі кібербезпеки для влаштування на позицію веб-пентестера.
До вебінару долучилися викладачі кафедри комп’ютерної інженерії та кібербезпеки Житомирської політехніки Олександр Пірог та Андрій Єфіменко, а також студенти 3-го, 4-го курсів бакалаврату і 1-го курсу магістратури спеціальності «Кібербезпека» Богуслав Волинець, Михайло Куліш, Дмитро Тальченко, Ілля Умінський. Варто зазначити, що Олександр Пірог є керівником, а перелічені студенти є активними учасниками кафедрального гуртка Application Security.
Захід проводили засновник компанії BSG Влад Стиран та консультант з кібербезпеки, керівник навчальних програм цієї ж компанії Сергій Короленко. Свої виступи фахівці компанії присвятили аналізу тих знань та навичок, які є необхідними та достатніми для професії пентестера у 2022 р.
Влад Стиран навів статистичну інформацію щодо роботи компанії у минулому році. Сергій Короленко представив дерево необхідних навичок веб-пентестера (Pentester Skill Tree), та навів вимоги щодо його складових, а саме: фундаментальне розуміння операційних систем, комп’ютерних мереж, криптографії, глибоке знання web-технологій (протоколи, сервера, браузери), API, знання та розуміння методологій тестування, перевірки та безпечного кодування (зокрема, знання мов програмування), знання сучасних вразливостей, інструментарію веб-пентестера, хмарних технологій, наявність навичок оцінки ризиків та документування знайдених вразливостей. Також п. Сергій класифікував ці навички за рівнем необхідності саме для претендентів на позицію Junior Web Application Pentester. Під час вебінару відбулося докладне обговорення актуальних навичок веб-пентесту: базові знання, подальша спеціалізація, заглиблення в експертні напрямки.
Участь викладачів та студентів Житомирської політехніки у події надала можливість почути бачення професійної спільноти щодо вимог до навчання в галузі безпеки додатків, розробки безпечного програмного забезпечення, тестування на проникнення. Безумовно отриманий досвід є надзвичайно важливим та корисним і для викладачів, і для студентів, як в контексті провадження освітнього процесу з відповідних освітніх компонент, так і в контексті проведення відповідних досліджень.
Кафедра компʼютерної інженерії та кібербезпеки
P.S. З деталями вебінару можна ознайомитися за посиланням