Vai trò công việc: Hacker đạo đức

NộI Dung

• Chuyên viên mũ trắng
• Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
• Tin tặc đạo đức và kiểm tra thâm nhập
• Tin tặc đạo đức, Kỹ thuật xã hội và Nhận thức người dùng
• Trình độ chuyên môn cho tin tặc đạo đức

Nguồn: Daniil Peshkov / Dreamstime.com

Lấy đi:

Các tin tặc đạo đức thực hiện công việc quan trọng đối với các nhà tuyển dụng bằng cách mô phỏng các cuộc tấn công và cố gắng tìm ra cách để chặn các hacker mũ đen.

Trong thế giới của CNTT doanh nghiệp, thuật ngữ tin tặc đạo đức của người Hồi giáo đang nhanh chóng có được chỗ đứng. Nhưng những chuyên gia này làm gì? Một ngày trong cuộc sống của một hacker đạo đức trông như thế nào?

Ở mức độ rất cơ bản, tin tặc đạo đức là những chuyên gia đột nhập vào hệ thống của công ty để phát hiện ra điểm yếu và lỗ hổng.

Theo Ryan Jones, giám đốc tiếp thị kỹ thuật số tại Imaginaire Digital, cho biết, tin tặc đạo đức là những chuyên gia bảo mật CNTT, những người sử dụng kiến ​​thức của mình để hack vào các hệ thống, chẳng hạn như máy chủ và máy tính của nhân viên để tìm ra bất kỳ điểm yếu nào trong bảo mật mà chủ nhân của họ có. Sau đó, họ sẽ tạo một báo cáo về những điểm yếu mà họ tìm thấy và tư vấn cho quá trình hành động tốt nhất.

Một tin tặc đạo đức hoặc người thử nghiệm thâm nhập là một người kiểm tra các thiết bị máy tính và mạng tìm kiếm các lỗ hổng bảo mật, còn cho biết, House House, CEO và người sáng lập của công ty an ninh mạng StationX. Thay vì làm điều này với mục đích xấu hoặc tội phạm, họ đang làm điều đó để báo cáo các lỗ hổng để họ có thể khắc phục. Để tìm hiểu thêm về những tin tặc đạo đức có thể làm cho các tổ chức, hãy xem Tổ chức của bạn có thể hưởng lợi từ việc hack đạo đức như thế nào.)

Chuyên viên mũ trắng

Một thuật ngữ khác dành cho tin tặc đạo đức là mũ trắng., Trái ngược với tin tặc mũ đen, tin tặc mũ trắng giống như những tên trộm lịch sự trên Internet - chúng đã thực hiện một số điều tương tự mà tin tặc mũ đen đang làm, nhưng không phải vì lý do phá hoại.

Để có thể thực sự chắc chắn về một người đang được bảo vệ, các cuộc tấn công thực sự phải xảy ra trên một hệ thống từ bên ngoài để mô phỏng một mối đe dọa thực sự, và do đó có thể nhận ra nó và khắc phục nó càng sớm càng tốt, Kaiss Bouali, đối tác quản lý và CTO tại Iodeed. Có những công ty chuyên về White Hat Hacking, nơi họ có các nhóm tin tặc đặc biệt (làm việc kiểm tra bút) và giới thiệu cho bạn các rò rỉ bảo mật, các bước cần thiết để khắc phục chúng và các khoản phí mà họ sẽ tính phí cho bạn để khắc phục họ cho bạn.

Từ mô phỏng từ mô phỏng là quan trọng ở đây.

Để quay trở lại sự tương tự của kẻ trộm, nếu bạn có nhiều thứ đắt tiền và lạ mắt trong nhà, bạn có thể đầu tư vào ổ khóa, hoặc để có thêm một mức độ bảo mật, bạn có thể thuê một người nào đó mô phỏng vụ trộm. Họ có thể tìm thấy một cửa sổ mở trong tầng hầm hoặc một số không gian thu thập thông tin sẽ cho phép họ vào nhà và lấy cắp những gì bạn có. Nhưng khi bạn đầu tư vào một vụ trộm mô phỏng trước đó, bạn sẽ biết phải sửa gì để khiến các bên trái phép khó có thể truy cập hơn.

Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn

Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.

Tóm lại, những gì hack đạo đức là một cách ngắn gọn. Nó lừa đảo xung quanh với các hệ thống để tìm ra điểm yếu ở đâu - để khách hàng có thể khắc phục chúng và ngăn chặn các vụ hack thực sự xảy ra hoặc làm hỏng hệ thống.

Tin tặc đạo đức và kiểm tra thâm nhập

Một trong những công việc chính của một hacker đạo đức là thực hiện những gì mà người ta gọi là một bài kiểm tra thâm nhập của YouTube

Karen (tin tặc đạo đức) sử dụng thử nghiệm thâm nhập như một phần trong kho vũ khí của họ để bảo vệ khách hàng của họ khỏi hệ thống tội phạm mạng, ông nói, Karen Franse thuộc Nhóm chiến lược truyền thông, nói về cách một công ty có tên SRC Technologies sử dụng một công ty có tên là Synack để thuê ngoài đạo đức.

Hãy nghĩ về điều này - các công ty có một loạt các công cụ tự động hóa để giúp họ nắm bắt các lỗ hổng trong một hệ thống. Các công cụ kỹ thuật số có thể quét các điểm truy cập mạng mở, các sự cố với API, hệ thống mật khẩu yếu hoặc bất kỳ vấn đề tiềm ẩn nào khác. Nhưng họ làm điều này trên cơ sở tự động. Không có một hacker đạo đức trong chiếc ghế đội trưởng, ở đó, không có sự giám sát của con người.

Các hacker đạo đức cho biết thêm yếu tố con người. Anh ấy hoặc cô ấy ngồi ở điểm quyết định và các công cụ bảo mật mới gọn gàng mà các nhà cung cấp phần mềm cung cấp đóng vai trò là phần mềm hỗ trợ quyết định. Bạn có thể nghĩ về hacker đạo đức là người điều phối tất cả các công cụ tự động này, phát hiện ra những thành công và thất bại của họ bằng một con mắt sắc sảo.

Tuy nhiên, một trong những phần cơ bản nhất của kiểm tra thâm nhập là báo cáo xảy ra sau đó.

Các tin tặc đạo đức sẽ quay lại với khách hàng và cho họ thấy chính xác những gì đã xảy ra trong quá trình kiểm tra thâm nhập. Nếu có vi phạm hoặc thâm nhập, lỗ hổng đó đã được sửa. Điều này thực sự thắt chặt chu vi, làm sạch bề mặt tấn công và bảo vệ các công ty khỏi bị tổn hại.

Tin tặc đạo đức, Kỹ thuật xã hội và Nhận thức người dùng

Ở đây, một phần lớn khác của những tin tặc đạo đức làm.

Thuật ngữ kỹ thuật xã hội trực tuyến đã được sử dụng để chỉ tất cả những nỗ lực hack nhằm cố gắng truy cập bằng cách lừa người dùng cuối.

Những cuộc tấn công giả mạo? Kỹ thuật xã hội.

Spear-phishing là một hình thức phổ biến khác của kỹ thuật xã hội nơi các bên độc hại mạo danh người trong cuộc hoặc sử dụng các phương tiện khác để cố gắng lôi kéo người dùng cuối từ bỏ dữ liệu có giá trị hoặc thông tin truy cập mạng. Trong một số trường hợp, họ chỉ cần giả mạo một cửa sổ bảng lương và khiến nhân viên từ bỏ thông tin tài chính của họ.

Tất cả điều này thường khá phá hoại - vì vậy các công ty thuê các hacker đạo đức để mô phỏng các loại tấn công này, sau đó tìm điểm yếu và báo cáo lại. Nhưng bước tiếp theo và cuối cùng là đào tạo nhận thức người dùng. Công ty đầu tư vào việc chỉ cho mọi nhân viên những gì cần chú ý và họ phát triển một cơ sở nhân viên tiết kiệm hơn, một lực lượng lao động không phải là dấu ấn cho tất cả các tin tặc mũ đen vô đạo đức này. (Tin tặc đạo đức có thể gặp rắc rối pháp lý trong khi thực hiện công việc của mình không? Tìm hiểu thêm trong Do tin tặc đạo đức có cần bảo vệ pháp lý không?)

Trình độ chuyên môn cho tin tặc đạo đức

Trong thực tế, trình độ rất nhiều trong thế giới hack đạo đức. Các công ty muốn biết rằng các chuyên gia có nhiều kinh nghiệm và được cấp phép để thực hiện các bài kiểm tra thâm nhập và thực hiện các loại công việc bảo mật mũ trắng khác.

Một điều mà các công ty thường yêu cầu là các tin tặc đạo đức phải có kỹ năng trong ba phần quan trọng của internet: web bề mặt, web sâu và web tối. Phần Medium này cho thấy ba phần của web này khác nhau như thế nào và điều đó có nghĩa gì đối với các chuyên gia bảo mật.

Ngoài ra, còn có các kỹ thuật và thủ tục chiến thuật hay TTP, một giao thức để xác nhận việc hack đạo đức, cũng như chứng nhận Mã nguồn mở (OSINT).

Các bằng cấp khác bao gồm:

• Hacker đạo đức được chứng nhận (CEH)
• Trình xử lý sự cố được chứng nhận GIAC (GCIH)
• Trí thông minh đe dọa mạng GIAC (GCTI)

Các tin tặc đạo đức làm việc trong đội tiên phong về điều hòa an ninh cho các công ty, và trong kế hoạch lớn về những điều họ có thể sống còn trong việc bảo vệ một tổ chức khỏi các mối đe dọa.