Jobbroll: Etisk hacker

Video: Does Hacking Require Programming Skills?

Innehåll

White Hat Professionals
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Etiska hackare och penetrationstest
Etiska hackare, social teknik och användarmedvetenhet
Kvalifikationer för etiska hackare

Källa: Daniil Peshkov / Dreamstime.com

Hämtmat:

Etiska hackare utför viktigt arbete för arbetsgivarna genom att simulera attacker och försöka ta reda på hur man kan fylla hackare med svart hatt.

I världen av företagets IT får termen ”etisk hacker” snabbt mark. Men vad gör dessa proffs? Hur ser en dag i livet till en etisk hacker ut?

På en mycket grundläggande nivå är etiska hackare proffs som bryter in i företagssystem för att upptäcka svagheter och sårbarheter.

"Etiska hackare är i huvudsak IT-säkerhetsexperter, som använder sin kunskap för att hacka in system, till exempel servrar och anställdas datorer för att hitta eventuella svagheter i säkerheten som deras arbetsgivare har på plats," säger Ryan Jones, chef för digital marknadsföring på Imaginaire Digital. "De kommer sedan att skapa en rapport om de svagheter som de hittade och ge råd om den bästa handlingen."

"En etisk hacker eller penetrationstestare är en person som testar datorenheter och nätverk som letar efter sårbarheter," tillägger Nathan House, VD och grundare av cybersäkerhetsföretaget StationX. "I stället för att göra detta med skadlig eller kriminell avsikt gör de det för att rapportera sårbarheterna så att de kan fixas." (För att lära dig mer om vad etiska hackare kan göra för organisationer, se hur din organisation kan dra nytta av etisk hackning.)

White Hat Professionals

En annan term för etiska hackare är ”vita hattar.” Till skillnad från svarta hathackare är vita hathackare som internetets artiga inbrottstjuvar - de gör samma saker som svarta hathackare gör, men inte av destruktiva skäl.

"För att vara verkligen säker på att en skyddas bör verkliga attacker hända på ett system från utsidan för att simulera ett verkligt hot, och därför kunna känna igen det och fixa det så snart som möjligt," säger Kaiss Bouali, chef för partner och CTO vid Iodeed. "Det finns företag som är specialiserade på White Hat Hacking, där de har team med speciella hackare som (arbetar med penntestning) och presenterar dig säkerhetsläckorna, stegen som behövs för att fixa dem och de avgifter som de kommer att debitera dig för att fixa dem för dig. ”

Ordet "simulera" är viktigt här.

För att gå tillbaka till inbrottsanalogin, om du har mycket dyra och snygga saker i ditt hem, kan du investera i lås, eller, för att få en extra säkerhetsnivå, kan du hyra någon för att simulera ett inbrott. De kan hitta ett öppet fönster i källaren eller något kryputrymme som gör att de kan komma in i hemmet och stjäla det du har. Men när du investerar i ett simulerat inbrott i förväg, vet du vad du ska fixa för att göra det ännu svårare för obehöriga att få tillgång.

Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv

Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.

Det är vad etisk hacking är i ett nötskal. Det lurar med system för att ta reda på var de svaga punkterna är - så att klienten kan fixa dem och förhindra att verkliga hackningar någonsin uppstår eller skadar system.

Etiska hackare och penetrationstest

Ett av de viktigaste uppgifterna för en etisk hacker är att utföra det som kallas ett "penetrationstest" eller "penntest."

"(Etiska hackare) använder penetrationstest som en del av deras arsenal för att skydda sina kunders system från cyberbrottslighet", säger Karen Franse, kommunikationsstrategigrupp, och talar om hur ett företag som heter SRC Technologies använder ett företag som heter Synack för att lägga ut etisk hacking.

Tänk på detta - företag har ett brett spektrum av automatiseringsverktyg som hjälper dem att fånga sårbarheter i ett system. Digitala verktyg kan söka efter öppna nätverksåtkomstpunkter, problem med ett API, svaga lösenordssystem eller ett antal andra potentiella problem. Men de gör detta på automatiserad basis. Utan en etisk hacker i kaptenstolen finns det ingen mänsklig övervakning.

Den etiska hackaren lägger till det mänskliga inslaget. Han eller hon sitter vid beslutspunkten och de snygga nya säkerhetsverktygen som mjukvaruleverantörer erbjuder fungerar som beslutsstödsprogramvara. Du kan tänka på den etiska hackaren som orkestrator för alla dessa automatiserade verktyg och spåra deras framgångar och misslyckanden med ett starkt öga.

En av de mest grundläggande delarna av penetrationstest är dock rapporteringen som händer efteråt.

Etiska hackare kommer att gå tillbaka till kunder och visa dem exakt vad som hände under penetrationstestet. Om det inträffade ett intrång eller inträngning är den sårbarheten fixad. Detta strammar verkligen omkretsen, tunnar attackytan och skyddar företag från skador.

Etiska hackare, social teknik och användarmedvetenhet

Här är en annan stor del av vad etiska hackare gör.

Termen "social engineering" har använts för att hänvisa till alla dessa hackningsinsatser som försöker få tillgång genom att lura en slutanvändare.

Dessa falska attacker? Socialteknik.

Spear-phishing är en annan vanlig form för social teknik där skadliga parter utgör sig av insiders eller använder andra medel för att försöka locka slutanvändare att ge upp värdefulla data eller nätverksåtkomst. I vissa fall förfalskar de helt enkelt ett lönefönster och får anställda att ge upp sin ekonomiska information.

Allt detta är vanligtvis ganska destruktivt - så företag anställer etiska hackare för att simulera dessa typer av attacker och sedan hitta svaga punkter och rapportera tillbaka. Men nästa och sista steg är utbildning för användarmedvetenhet. Företaget investerar i att visa alla anställda vad de ska se upp för, och de växer en smartare anställdsbas, en arbetskraft som inte är ett märke för alla dessa skrupelfria hackhackar med svart hatt. (Kan etiska hackare komma i lagliga problem när de gör sina jobb? Läs mer i Behöver etiska hackare lagligt skydd?)

Kvalifikationer för etiska hackare

I själva verket finns kvalifikationer i överflöd i världen av etisk hacking. Företag vill veta att yrkesverksamma är väl erfarna och licensierade för att genomföra penetrationstester och göra andra typer av säkerhetsarbeten med vit hatt.

En sak som företag ofta begär är att etiska hackare är skickliga inom de tre kritiska delarna av internet: ytweb, djup web och mörk web. Detta mediumstycke visar hur dessa tre sektioner på webben skiljer sig åt och vad det betyder för säkerhetsarbetare.

Det finns också taktiktekniker och förfaranden eller TTP, ett protokoll för certifiering av etisk hacking samt OSINT-certifiering (Open Source Intelligence).

Andra kvalifikationer inkluderar:

Certified Ethical Hacker (CEH)
GIAC Certified Incident Handler (GCIH)
GIAC Cyber Threat Intelligence (GCTI)

Etiska hackare arbetar på förgrunden för säkerhetskonditionering för företag, och i det stora planen av saker kan de vara avgörande för att skydda en organisation från hot.