Il mio percorso nella cybersecurity non e iniziato costruendo piattaforme. E iniziato cercando di romperle. Il penetration testing ti insegna a pensare come un attaccante - a cercare il punto debole, la misconfiguration, l'assunzione non verificata. Quando poi passi a costruire sistemi difensivi, quell'esperienza offensiva diventa il tuo superpotere.
Mi sono formato negli Stati Uniti al College of Southern Maryland, dove il focus era hands-on. Non teoria astratta - laboratori reali, CTF, scenari di attacco e difesa. Ho ottenuto il ranking nazionale nella National Cyber League. Ma e stato tornando in Italia, lavorando con PMI reali che avevano problemi di sicurezza reali e budget limitati, che ho capito che il pentesting da solo non bastava.
La transizione
Trovare vulnerabilita e importante. Ma chi le corregge? Chi costruisce l'infrastruttura che le previene? Ho iniziato a chiedermi: e se usassi la mia mentalita da pentester per costruire sistemi che sono difficili da attaccare by design? Non perche seguono una checklist di compliance, ma perche sono stati progettati da qualcuno che sa come vengono attaccati.
Ogni piattaforma che costruisco porta tracce della mia esperienza offensiva. In Presidio, le regole di detection sono scritte da chi sa come un attaccante cerca di evaderle. In Mirage, gli honeypot sono progettati da chi sa cosa un attaccante cerca quando fa ricognizione. In Valta, lo scoring di rilevanza tiene conto di come le vulnerabilita vengono effettivamente sfruttate, non solo del punteggio CVSS teorico.
Non consiglio a tutti di seguire il mio stesso percorso. Ma consiglio fortemente a chiunque costruisca sistemi difensivi di passare del tempo nel lato offensivo. Non devi diventare un pentester a tempo pieno - ma capire le tecniche di attacco ti rende un difensore incomparabilmente migliore.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →