Who is dark?
Связаться
Логин
Пароль

Кто такой этичный хакер

1 апр 2021
#Хакеры
Этичный хакер, также называемый хакером в белой шляпе, является экспертом по информационной безопасности, который систематически пытается проникнуть в компьютерную систему
Этичный хакер, также называемый хакером в белой шляпе, является экспертом по информационной безопасности, который систематически пытается проникнуть в компьютерную систему, сеть, приложение или другой вычислительный ресурс от имени своих владельцев - и с их разрешения - для поиска брешей в безопасности, которые может использовать злонамеренный хакер.

Целью этического взлома является оценка безопасности и выявление уязвимостей в системах, сетях или системной инфраструктуре. Сюда входит поиск и попытка использования любых уязвимостей для определения возможности несанкционированного доступа или других злонамеренных действий.

Этичные хакеры используют свои навыки и многие из тех же методов и техник для тестирования и обхода ИТ-безопасности организаций, что и их неэтичные коллеги, которых называют хакерами в черной шляпе. Однако вместо того, чтобы использовать в своих интересах какие-либо уязвимости, этические хакеры документируют их и дают советы по их исправлению, чтобы организации могли усилить безопасность сетевой инфраструктуры.

Этичные хакеры обычно обнаруживают уязвимости в небезопасных конфигурациях системы, известных и неизвестных аппаратных или программных уязвимостях.

Любая организация у которой есть сетевая инфраструктура подключенная к Интернету, или Компания предоставляющая онлайн-услуги, должна рассмотреть возможность проведения тестирования на проникновение, проводимого этическими хакерами, для того, чтобы предпринять комплекс рекомендаций для дальнейшей защиты системы.


Использование этичного взлома

Есть несколько способов, которыми этические хакеры могут помочь организациям, в том числе:

Поиск уязвимостей. Этичные хакеры помогают компаниям определить, какие из их мер ИТ-безопасности эффективны, какие необходимо обновить, а какие содержат уязвимости, которые могут использовать злоумышленники. Когда этические хакеры заканчивают оценку систем организации, они сообщают руководству компании об уязвимых областях, например, об отсутствии достаточного шифрования паролей, небезопасных приложениях или открытых системах, на которых запущено не аутентичное программное обеспечение. Организации могут использовать данные рекомендации, чтобы принимать обоснованные решения о том, где и как улучшить свою безопасность для предотвращения кибератак.

Демонстрация методов, используемых киберпреступниками. Эти демонстрации предоставляют руководителям предприятий методы взлома, которые злоумышленники используют для атак на их системы, нанося при этом ущерб их бизнесу. Руководители и сотрудники предприятий, которые досконально знают методы, которые злоумышленники используют для взлома их систем, могут лучше предотвратить это Зло.

Помогаем подготовиться к кибератаке. Кибератаки могут нанести вред или разрушить бизнес, особенно малый бизнес. Однако большинство компаний совершенно не готовы к кибератакам. Этичные хакеры понимают, как действуют злоумышленники, и знают, как эти злоумышленники будут использовать новую информацию и методы для атаки на системы. Специалисты по безопасности, которые работают с этичными хакерами, могут лучше подготовиться к будущим атакам, поскольку они могут  оперативнее реагировать на постоянно меняющийся характер сетевых угроз.


Этичные методы взлома

Этичные хакеры обычно используют те же хакерские навыки, которые злоумышленники используют для атак на предприятия. Некоторые из этих методов взлома включают:

Сканирование портов на предмет уязвимостей. Этичные хакеры используют инструменты сканирования портов, такие как Nmap, Nessus или Wireshark, для сканирования систем компании, выявления открытых портов, изучения уязвимостей каждого порта и принятия корректирующих мер.

Тщательный анализ процессов установки исправлений, чтобы убедиться, что они не вносят новых уязвимостей в обновленное программное обеспечение, которые могут быть использованы.

Выполнение анализа и прослушивания сетевого трафика с помощью соответствующих инструментов.

Попытки обойти системы обнаружения вторжений, системы предотвращения вторжений, приманки и брандмауэры.

Этичные хакеры также полагаются на методы социальной инженерии, чтобы манипулировать конечными пользователями и получать информацию о вычислительной среде организации. Подобно хакерам в черной шляпе, этические хакеры роются в публикациях в социальных сетях или на GitHub, вовлекают сотрудников в фишинговые атаки по электронной почте или перемещаются по помещениям с буфером обмена, чтобы использовать уязвимости в физической безопасности. Однако существуют методы социальной инженерии, которые этические хакеры не должны использовать, такие как физические угрозы сотрудникам или другие виды попыток вымогательства доступа или информации.


Как стать этичным хакером

Для этического хакера не существует стандартных критериев образования, поэтому организация может установить свои собственные требования для этой должности. Тем, кто заинтересован в карьере этичного хакера, следует рассматривать степень бакалавра или магистра в области информационной безопасности, информатики или даже математики как прочную основу.

Лица, не планирующие поступать в колледж, могут подумать о карьере в области информационной безопасности в армии. Многие организации считают военное прошлое плюсом для найма сотрудников службы информационной безопасности, а некоторые организации обязаны нанимать людей с допусками к секретным службам.

Другие технические предметы, включая программирование, создание сценариев, создание сетей и аппаратную инженерию, могут помочь тем, кто делает карьеру этичных хакеров, предлагая фундаментальное понимание базовых технологий, которые образуют системы, над которыми они будут работать. Другие соответствующие технические навыки включают системное администрирование и разработку программного обеспечения.


Сертифицированные этические хакеры

Существует ряд сертификатов этического взлома, а также ИТ-сертификатов, связанных с безопасностью, которые могут помочь людям стать этическими хакерами, в том числе:

Сертифицированный этический хакер (CEH): это независимая от поставщика сертификация от Совета ЕС, одного из ведущих органов по сертификации. Этот сертификат безопасности, который подтверждает, что человек знает о сетевой безопасности, лучше всего подходит для роли тестера на проникновение. Этот сертификат охватывает более 270 технологий атак. Предварительные условия для этого сертификата включают посещение официального обучения, предлагаемого Советом ЕС или его филиалами, и наличие не менее двух лет опыта работы в области информационной безопасности.

Сертифицированный аудитор информационных систем (CISA): этот сертификат предлагается ISACA, некоммерческой независимой ассоциацией, которая защищает профессионалов, занимающихся информационной безопасностью, гарантией, управлением рисками и корпоративным управлением. Экзамен подтверждает знания и навыки профессионалов в области безопасности. Чтобы претендовать на эту сертификацию, кандидаты должны иметь пятилетний профессиональный опыт работы в области аудита, контроля или безопасности информационных систем.

Сертифицированный менеджер по информационной безопасности (CISM): CISM - это расширенная сертификация, предлагаемая ISACA, которая обеспечивает проверку для лиц, продемонстрировавших глубокие знания и опыт, необходимые для разработки и управления программой корпоративной информационной безопасности. Сертификация предназначена для менеджеров по информационной безопасности, начинающих менеджеров или ИТ-консультантов, которые поддерживают управление программами информационной безопасности.

GIAC Security Essentials (GSEC): этот сертификат, созданный и управляемый организацией Global Information Assurance Certification, предназначен для профессионалов в области безопасности, которые хотят продемонстрировать свою квалификацию для практических ролей в ИТ-системах в отношении задач безопасности. Кандидаты должны продемонстрировать, что они понимают информационную безопасность, выходящую за рамки простой терминологии и понятий.