Для большинства обывателей нашей бескрайней страны хакеры прочно ассоциируются с кибер преступниками. Однако крупнейшие университеты ведущих стран в мире давно уже выпускают "белых хакеров", специалистов ИБ занимающихся почти тем же, чем и их более известные "темные" коллеги. Более того в России как несколько лет не является экзотикой такая квалификация, как Certificated Ethical Hacker (CEH). Это профессиональный курс подготовки специалистов в области информационной безопасности, подтверждаемый экзаменом EC-Council и считающийся весьма авторитетным.
В сегодняшней публикации мы чуть поподробнее поговорим о концепции white hack, так же заглянем в особенности проведения сертификации CEH, а в конце статьи мы приводим ссылку на Гид по Certified Ethical Hacker v9 Course
Понятие этичного хакинга
Большинство людей привыкли ассоциировать хакеров с преступниками, вредителями, и мошенниками в ИТ-индустрии, одним словом, как угрозу для безопасности любого личного или корпоративного ресурса расположенного в цифровом мире. Однако для России уже несколько лет не является экзотикой такая квалификация, как Certificated Ethical Hacker (CEH) — «сертифицированный этичный хакер». Суть профессии весьма схожа с тем чем занимаются настоящие хакеры-преступники: умение находить уязвимости в информационных системах, но в отличии от своих "темных" коллег использовать их не для взлома, а для устранения проблем с безопасностью.
Этичный хакер или белый хакер, а также на сетевом сленге белая шляпа (от англ. White hat) — специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем. В отличие от чёрных шляп (чёрных хакеров), белые хакеры ищут уязвимости на добровольной основе или за плату (программы bug bounty) с целью помочь разработчикам сделать их продукт более защищённым.
Этичного хакера нанимают как правило крупные ИТ-компании для атаки на собственные сайты и локальные сети. Симулируя атаки из интернета или со стороны внутреннего источника, он находит слабые места в сети компании и определяет приоритеты в устранении самых серьезных угроз для их сетей, а также предлагает свои решения по устранению.
В качестве классического примера можно привести Кевина Митника, который в конце прошлого века являлся самым знаменитым и разыскиваемым компьютерным хакеро. Он смог взломать системы, принадлежавшие таким компаниям, как Motorola, Nokia, Sun Microsystems, NEC, а так же систему наземного транспорта Лос-Анджелеса. Митника поймали в 1995 году и приговорили к 9 годам тюрьмы, специально оговорив, что он не будет иметь права доступа к любому аппарату, технологически превосходящему стационарный телефон, в течение нескольких лет после своего освобождения.
Митник еще находясь за решеткой, смекнул что, не нарушая в будущем закон, можно сделать хороший бизнес на ловле себе подобных. Что и воплотил в жизнь, выйдя на свободу. Он создал компанию Mitnick Security, где даёт консультации для корпоративных сетей по вопросам информационной безопасности, а также выступает по всему миру с лекциями о том, как бороться с хакерами.
Программы поиска уязвимостей bug bounty
Такой вид заработка, как поиск уязвимостей за вознаграждение, приобрел немалую популярность в последние годы и уже выделился в отдельную область занятости для специалистов информационной безопасности. Все больше компаний присоединяются к таким программам, получившим название bug bounty.
Чем же так привлекательны программы bug bounty для компаний? Большую роль здесь играет экономический фактор. Совокупная стоимость bug bounty для организации окажется значительно дешевле, чем найм отдельных специалистов для проведения аудита информационной безопасности и тестов на проникновение. Кроме того, такая кампания чаще всего окажется более эффективной. Многочисленные багхантеры (так называют людей, занимающихся поиском уязвимостей) за короткий срок проверят сервис на практически все возможные уязвимости.
Публичный поиск уязвимостей приносит финансовую выгоду не только компаниям, но и исследователям. Для опытных профессионалов программы bug bounty являются неплохим средством заработка. Известный российский багхантер Иван Григоров в своем интервью порталу «Хабрахабр» рассказывал, что специалисты, занимающиеся поиском уязвимостей на постоянной основе, способны зарабатывать своим ремеслом до 25 тысяч долларов в месяц, и это далеко не предел.
Подобной инициативой заинтересовались даже российские государственные ведомства — об этом газете «Известия» рассказал в майском интервью замминистра связи Алексей Соколов. Представители Минкомсвязи думают о запуске bug bounty для программ из реестра отечественного ПО и сейчас находятся в процессе обсуждения этой возможности с представителями отрасли.
Certified Ethical Hacker
Сертификация Certified Ethical Hacker сегодня признана во всем мире и подтверждает у кандидата наличие соответствующего уровня знаний в сфере безопасности этичного хакинга. Сертифицированный этичный хакер является квалифицированным специалистом, который понимает и знает, как искать слабые места и уязвимости в целевых системах и использует те же знания и инструменты, что и хакер.
Одобренный Министерством обороны США сертифицированный экзамен EC-Council CEH является одним из ведущих вариантов сертификации для специалистов ИТ-безопасности.
После успешной сдачи экзамена кандидаты получают статус этичного хакера. Экзамен состоит из 150 тестовых вопросов и длится 4 часа.
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.