Da SOC Analyst a Penetration Tester: una transizione realistica

Perché questa transizione funziona

I SOC analyst sono meglio posizionati per la sicurezza offensiva di quanto pensino. Capisci già come appaiono gli attacchi nei log, come falliscono le detection e come si muovono le indagini sotto pressione. La transizione non è imparare ad attaccare da zero. È imparare a produrre deliberatamente gli artefatti che indagavi.

Il cambio di mentalità è reale ma limitato. Il lavoro offensivo premia pazienza, enumerazione metodica e scrittura di report più dell'energia "hacker". La maggior parte di questi tratti esiste già in buoni SOC analyst. Se sei ancora più all'inizio della tua carriera difensiva, il percorso di carriera SOC analyst e il percorso da Security+ a OSCP descrivono lo stadio precedente.

Perché l'esperienza difensiva ti rende un ingegnere offensivo migliore

I pentester junior più solidi nel mercato UE oggi sono raramente fresh giocatori CTF. Sono ex SOC che portano tre cose alla sedia offensiva: conoscenza di cosa viene loggato, conoscenza di cosa viene perso e la disciplina di mettere per iscritto. Quando hai passato dodici mesi a triagiare alert Defender, parsare catene Sysmon event ID 1, 3 e 11 e costruire regole Sigma, sai già quale invocazione di Mimikatz produce quale evento e quale bypass AMSI lascia quale traccia.

Quella alfabetizzazione in detection si trasforma in valore operatore nel momento in cui entri nell'ambiente di un cliente. Smetti di scegliere tecniche perché sono famose e inizi a sceglierle perché si adattano alla postura SOC che hai di fronte. Sai che un beacon Cobalt Strike di default sarà preso dalla metà degli EDR venduti in Europa. Sai che la collection di default di BloodHound genera traffico LDAP su cui qualsiasi detection engineer ragionevole alza un alert. Sai quali richieste Kerberoasting sembrano rumorose e quali si confondono con normale attività di service ticket. Niente di tutto ciò è in un syllabus, ma tutto è sul tavolo a ogni colloquio offensivo.

Lo stack offensivo che ti manca (e come costruirlo)

Tratta lo stack offensivo come cinque superfici distinte. Non padroneggerai tutte e cinque prima del tuo primo ruolo, ma dovresti dimostrare competenza operativa su tre.

Web application. OWASP Top 10 è il pavimento, non il soffitto. L'OWASP Web Security Testing Guide (WSTG) è la metodologia su cui le vere consulenze mappano il loro lavoro. PortSwigger Web Security Academy è il lab che ti rende fluente con Burp Suite, incluso il lavoro manuale di proxy, Intruder, il workflow Repeater ed estensioni come Autorize e Logger++. Piano: completare i lab apprentice e practitioner e superare l'esame Burp Suite Certified Practitioner.

Active Directory. Qui vivono la maggior parte degli engagement interni. Devi capire Kerberos, NTLM, abusi di ACL, abusi di GPO, attacchi ad Active Directory Certificate Services (ESC1 a ESC8) e relazioni di trust. I moduli stile CRTP e CRTS di HackTheBox Academy coprono il terreno. PNPT di TCM Security e CRTP di Altered Security sono certificazioni adiacenti credibili.

Rete e infrastruttura. Enumerazione riflessa, exploitation di servizi, post-exploitation, pivoting con Chisel o Ligolo. OffSec PEN-200 e OSCP sono le destinazioni ovvie.

Mobile e thick client. Una superficie più piccola, ma differenziante. Frida, Objection, MobSF e l'OWASP Mobile Application Security Verification Standard (MASVS) formano il toolkit.

Cloud. I percorsi d'attacco AWS, Azure e GCP appaiono sempre più in engagement scoped. PwnedLabs, CloudGoat e i moduli Azure AD di Pentester Academy sono i percorsi formativi abituali.

La sequenza di lab che i recruiter riconoscono

Esiste una progressione di lab riconoscibile di cui gli hiring manager nelle consulenze UE si fidano davvero. È così: moduli HackTheBox Academy per costruire la tecnica, path TryHackMe per costruire l'ampiezza, OffSec Proving Grounds Practice per costruire metodologia stile OSCP, poi tempo nel lab PEN-200 prima del tentativo OSCP. Aggiungi 5 a 10 macchine retired di HackTheBox al mese con write-up markdown completi salvati in un repository pubblico. I write-up contano quanto le macchine. L'hiring pentest è una delle poche nicchie security in cui un portfolio pubblico GitHub di lavoro di lab muove l'ago, perché l'hiring manager può leggere la tua metodologia prima di incontrarti.

eJPT vs CPTS vs OSCP: scegliere la tua prima certificazione offensiva

Tre credenziali dominano la decisione della prima certificazione. L'eLearnSecurity Junior Penetration Tester (eJPT) è la più economica e accessibile: un esame pratico basato su scenari che dimostra che sai enumerare, exploitare e pivotare a livello junior. Un segnale CV solido per un SOC analyst che punta alla sua prima rotazione interna in red team.

Il HackTheBox Certified Penetration Testing Specialist (CPTS) sta un livello sopra. Più rigoroso dell'eJPT, costa meno dell'OSCP, con la profondità pratica che le consulenze europee riconoscono sempre più. L'esame è un pentest di 10 giorni con report scritto. La prova generale OSCP più vicina che si possa comprare.

OSCP di Offensive Security rimane il badge più riconosciuto nei mercati UE e UK. PEN-200 più due o tre mesi di tempo di lab dedicato è il percorso credibile. CEH (EC-Council) e PenTest+ (CompTIA) stanno accanto come opzioni a risposta multipla, utili per datori di lavoro guidati dalla compliance e per il lavoro governativo, ma con meno peso operatore di OSCP. Vedi la guida alla certificazione OSCP, CEH e la base Security+ per il contesto.

Percorsi d'attacco Active Directory che devi padroneggiare

Dovresti poter spiegare a un hiring manager questi percorsi senza note. Accesso iniziale tramite Kerberoasting o ASREPRoasting da un account a basso privilegio. Movimento laterale con PsExec, WMIExec e SMBExec sotto un hash NT rubato. Lettura di grafi BloodHound, incluse le query di percorso più breve verso Domain Admins e l'abuso di GenericAll, GenericWrite, WriteOwner e WriteDacl su oggetti user, group e computer. Abuso di constrained delegation, resource-based constrained delegation (RBCD), unconstrained delegation. Attacchi ad Active Directory Certificate Services, in particolare ESC1 e ESC8. DCSync contro un domain controller con diritti di replica. Operazioni Mimikatz: sekurlsa::logonpasswords, lsadump::dcsync, lsadump::lsa, kerberos::golden e gli equivalenti paralleli di Rubeus. Pass-the-ticket e overpass-the-hash. Il rovescio difensivo è ciò che porti dal SOC: quale di queste accende quale log.

Metodologia di pentest web (PTES + OWASP WSTG)

Il Penetration Testing Execution Standard (PTES) e l'OWASP Web Security Testing Guide (WSTG) sono i due riferimenti metodologici a cui i tuoi report devono mappare. PTES ti dà le sette fasi (pre-engagement, intelligence gathering, threat modelling, vulnerability analysis, exploitation, post-exploitation, reporting). WSTG ti dà i casi di test. Un pentest web credibile copre information gathering, configuration e deployment management, identity management, authentication, authorisation, session management, input validation, error handling, cryptography, business logic e client-side testing. Burp Suite Pro è il cavallo da tiro. Saper craftare manualmente request in Repeater vale più che saper scansionare con Active Scan.

Scrivere report è il 50% che nessuno allena

Metà di un engagement pentest reale è scrittura. Il deliverable è un documento che legge prima un dirigente, poi uno sviluppatore in dettaglio, poi un auditor più tardi. Ogni finding necessita un titolo chiaro, una sezione evidence con screenshot ed esempi di request e response, una valutazione CVSS o di rischio con giustificazione, una dichiarazione di impatto business in linguaggio piano e una guida di remediation che il team di sviluppo o piattaforma possa effettivamente implementare. L'esame OSCP di OffSec lo testa direttamente: 24 ore di testing seguite da 24 ore di reporting. La maggior parte dei tentativi falliti sono fallimenti di reporting, non di exploitation. Pratica la scrittura di report per il tuo lavoro su TryHackMe e HackTheBox e fallo rivedere a un peer. I sample sul tuo GitHub verranno letti.

Piano realistico di transizione a 12 mesi

Mesi 1 a 3: lab apprentice e practitioner di PortSwigger Web Security Academy, esame Burp Suite Certified Practitioner, eJPT. Mesi 4 a 6: moduli AD di HackTheBox Academy, 20 a 30 macchine retired easy e medium di HackTheBox con write-up, fluidità con BloodHound e Mimikatz su un lab AD casalingo. Mesi 7 a 9: OffSec Proving Grounds Practice (40 a 60 macchine), iscrizione a PEN-200, tentativo CPTS come prova generale credibile per OSCP. Mesi 10 a 12: esame OSCP, candidature mirate a team red team interni e consulenze Big Four cyber, CRTO o OSWA come segnale di follow-up. Il percorso completo verso la sedia offensiva è riassunto nella guida di carriera pentester.

Realtà salariale: SOC verso pentest junior verso pentest senior in UE

Gli stipendi SOC L1 in UE cadono tipicamente nella fascia EUR 32.000 a 40.000, con hub come Madrid, Lisbona e Varsavia all'estremità bassa e Monaco, Amsterdam e Dublino in alto. Un ruolo da junior penetration tester atterra di solito tra EUR 40.000 e 55.000, il che significa che il salto immediato è reale ma modesto. La curva diverge in fretta: pentester mid-level con OSCP e due o tre anni di esperienza in engagement raggiungono comunemente EUR 55.000 a 75.000, e i pentester senior o red team lead con OSCP, CRTO e OSEP superano EUR 80.000 nella maggior parte delle capitali UE e frequentemente superano EUR 100.000 in Svizzera, nei paesi nordici e in parti del Regno Unito. Confronta con i risultati salariali del bootcamp e se il bootcamp ne vale la pena per il contesto della fondazione.

Dove si inserisce il bootcamp

Se stai ancora costruendo i fondamentali difensivi, il Bootcamp Cybersecurity Unihackers copre la base SOC che rende realistica questa transizione. Il modulo pentesting del bootcamp (m10) introduce tecnica offensiva contro lo stesso stack che difendi in m7 e m8. Vedi il dettaglio del programma per il dettaglio dei moduli.

Blocchi comuni

Tre pattern spiegano la maggior parte delle transizioni bloccate. Collezionare strumenti senza pratica di report. Conoscere gli strumenti pesa meno che saper scrivere ciò che hai trovato. I pentester assunti sono quelli i cui report si leggono chiari. Saltare web e AD. La maggior parte del pentest interno tocca entrambi. Evitarne uno riduce drasticamente il pool di ruoli. Tentare OSCP troppo presto. OSCP premia metodologia e resistenza, non skill bruta. Accumula prima abbastanza ore di lab, altrimenti brucerai il tentativo.

La transizione è limitata e credibile se la tratti come una costruzione deliberata di dodici mesi, non come un rebranding.