Darba loma: ētiskais hakeris

Video: Ethical Hacking Career | Ethical Hacker Jobs & Salary | Cybersecurity Course | Edureka

Saturs

Baltas cepures profesionāļi
Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
Ētiskie hakeri un iespiešanās pārbaude
Ētiskie hakeri, sociālā inženierija un lietotāju informētība
Ētisko hakeru kvalifikācijas

Avots: Daniils Peškovs / Dreamstime.com

Izņemšana:

Ētiskie hakeri veic svarīgu darbu darba devējiem, imitējot uzbrukumus un mēģinot izdomāt, kā sagraut melno cepuru hakerus.

Uzņēmējdarbības IT pasaulē termins “ētiskais hakeris” ātri kļūst populārs. Bet ko šie profesionāļi dara? Kā izskatās diena ētiskā hakera dzīvē?

Pašā pamata līmenī ētiskie hakeri ir profesionāļi, kuri iejaucas korporatīvajās sistēmās, lai pamanītu vājās vietas un ievainojamības.

“Ētiskie hakeri būtībā ir IT drošības eksperti, kuri savas zināšanas izmanto, lai uzlauztu sistēmas, piemēram, serverus un darbinieku datorus, lai atrastu visas viņu darba devēja drošības nepilnības,” saka Raiens Džounss, Imaginaire Digital digitālā mārketinga vadītājs. "Viņi tad izveidos ziņojumu par atklātajām nepilnībām un ieteiks labāko rīcību."

“Ētisks hakeris vai iespiešanās testeris ir persona, kas testē datoru ierīces un tīklus, meklējot ievainojamības,” piebilst Nathan House, kiberdrošības uzņēmuma StationX izpilddirektors un dibinātājs. “Tā vietā, lai to izdarītu ar ļaunprātīgu vai noziedzīgu nodomu, viņi to dara, lai ziņotu par ievainojamībām, lai tās varētu novērst.” (Lai uzzinātu vairāk par to, ko ētiski hakeri var dot organizācijām, skatiet sadaļu Kā jūsu organizācija var gūt labumu no ētiskas hakeru iegūšanas.)

Baltas cepures profesionāļi

Vēl viens ētisko hakeru termins ir “baltas cepures”. Atšķirībā no melnās cepures hakeriem, baltās cepures hakeri ir līdzīgi interneta pieklājīgajiem zagļiem - viņi dara tās pašas lietas, ko dara melnās cepures hakeri, bet ne iznīcinošu iemeslu dēļ.

“Lai būtu patiesi pārliecināts, ka kāds tiek aizsargāts, reāliem uzbrukumiem jānotiek sistēmai no ārpuses, lai simulētu reālus draudus, un tāpēc jāspēj tos atpazīt un novērst pēc iespējas ātrāk,” saka Kaiss Bouali, vadošais partneris un CTO at Iodeed. “Ir firmas, kas specializējas White Hat Datorurķēšanā, kur ir speciālu hakeru komandas, kas (strādā ar pildspalvu pārbaudi) un iepazīstina jūs ar drošības noplūdēm, soļiem, kas nepieciešami to novēršanai, un maksām, kuras viņi iekasēs no jums, lai labotu. tos tev. ”

Šeit svarīgs ir vārds “simulēt”.

Lai atgrieztos pie ielaušanās signalizācijas analoģijas, ja jūsu mājās ir daudz dārgu un izdomātu lietu, varat ieguldīt slēdzenēs vai, lai iegūtu papildu drošības līmeni, jūs varētu nolīgt kādu, kas imitētu ielaušanos. Viņi, iespējams, pagrabā atradīs atvērtu logu vai kādu pārmeklēšanas vietu, kas ļaus viņiem iekļūt mājās un nozagt to, kas jums ir. Bet, iepriekš ieguldot modelētā laupīšanā, jūs zināt, kas jālabo, lai neatļautām personām būtu vēl grūtāk piekļūt.

Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi

Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.

Tas ir tas, kas īsumā ir ētiska uzlaušana. Tā ir muļķība ar sistēmām, lai noskaidrotu vājās vietas - lai klients varētu tās novērst un novērstu reālu uzlaušanas iespēju, kas rodas vai sabojā sistēmas.

Ētiskie hakeri un iespiešanās pārbaude

Viens no ētiskā hakera galvenajiem uzdevumiem ir veikt tā saukto “iespiešanās testu” vai “pildspalvas testu”.

“(Ētiskie hakeri), lai aizsargātu klientu sistēmas no kibernoziegumiem, izmanto izplatības testēšanu kā daļu no sava arsenāla,” saka Karena Franse no Komunikācijas stratēģijas grupas, runājot par to, kā uzņēmums ar nosaukumu SRC Technologies izmanto firmu ar nosaukumu Synack, lai ētisko hakeru nodošanu ārpakalpojumos.

Padomājiet par to - uzņēmumiem ir plašs automatizācijas rīku spektrs, kas viņiem palīdz novērst sistēmas ievainojamības. Digitālie rīki, iespējams, meklē atvērtā tīkla piekļuves punktus, problēmas ar API, vājas paroļu sistēmas vai jebkuru citu potenciālu problēmu. Bet viņi to dara automatizēti. Bez ētiska hakera kapteiņa krēslā nav cilvēku uzraudzības.

Ētiskais hakeris piebilst, ka tas ir cilvēka elements. Viņš vai viņa sēž lēmuma pieņemšanas brīdī, un glītie jaunie drošības rīki, kurus piedāvā programmatūras pārdevēji, darbojas kā lēmumu atbalsta programmatūra. Jūs varat domāt par ētisko hakeru kā visu šo automatizēto rīku orķestri, ar dedzīgu aci pamanot to panākumus un neveiksmes.

Tomēr viena no iespiešanās testēšanas pamatvienībām ir ziņošana, kas notiek pēc tam.

Ētiskie hakeri atgriezīsies pie klientiem un parādīs viņiem tieši to, kas notika iespiešanās testa laikā. Ja ir noticis pārkāpums vai izplatība, šī ievainojamība tiek novērsta. Tas patiešām savelk perimetru, saīsina uzbrukuma virsmu un aizsargā uzņēmumus no kaitējuma.

Ētiskie hakeri, sociālā inženierija un lietotāju informētība

Šeit ir vēl viena liela daļa no ētisko hakeru darbības.

Termins “sociālā inženierija” tika izmantots, lai apzīmētu visus tos uzlaušanas centienus, kuri mēģina piekļūt, maldinot gala lietotāju.

Tie krāpšanās uzbrukumi? Sociālā inženierija.

Pikšķerēšana ir vēl viena izplatīta sociālās inženierijas forma, kurā ļaunprātīgas personas uzdodas par iekšējām personām vai izmanto citus līdzekļus, lai mēģinātu pievilināt galalietotājus atteikties no vērtīgiem datiem vai tīkla piekļuves akreditācijas datiem. Dažos gadījumos viņi vienkārši krāpj algas lapu un liek darbiniekiem atteikties no finanšu informācijas.

Tas viss parasti ir diezgan postoši - tāpēc uzņēmumi nolīgst ētiskus hakerus, lai modelētu šāda veida uzbrukumus, un pēc tam atrod vājās vietas un ziņo par tiem. Bet nākamais un pēdējais solis ir lietotāju informētības apmācība. Uzņēmums iegulda, lai parādītu katram darbiniekam, no kā jāpievērš uzmanība, un viņi audzē taupīgāku darbinieku bāzi - darbaspēku, kas nav atzīme par visiem šiem negodīgajiem melno cepuru hakeriem. (Vai ētiskie hakeri, veicot darbu, var nonākt juridiskās nepatikšanās? Uzziniet vairāk sadaļā Vai ētiskajiem hakeriem nepieciešama tiesiskā aizsardzība?)

Ētisko hakeru kvalifikācijas

Faktiski ētiskās uzlaušanas pasaulē ir daudz kvalifikācijas. Uzņēmumi vēlas zināt, ka speciālistiem ir liela pieredze un licence veikt iespiešanās testus un veikt cita veida balto cepuru drošības darbus.

Viena lieta, ko uzņēmumi bieži pieprasa, ir ētisko hakeru prasme trijās interneta kritiskajās daļās: virsējā tīmeklī, dziļajā tīmeklī un tumšajā tīmeklī. Šis vidējais gabals parāda, kā atšķiras šīs trīs tīmekļa sadaļas un ko tas nozīmē drošības profesionāļiem.

Ir arī taktikas paņēmieni un procedūras jeb TTP, ētiskas uzlaušanas akreditācijas protokols, kā arī Open Source Intelligence (OSINT) sertifikācija.

Pie citām kvalifikācijām pieder:

Sertificēts ētiskais hakeris (CEH)
GIAC sertificēts negadījumu apstrādātājs (GCIH)
GIAC kiberdraudu izlūkdati (GCTI)

Ētiskie hakeri strādā pie priekšnoteikuma uzņēmumu drošības uzlabošanai, un plašajā lietu shēmā tie var būt svarīgi, lai aizsargātu organizāciju no draudiem.