職種:倫理的ハッカー

著者: Laura McKinney
作成日: 3 4月 2021
更新日: 26 六月 2024
Anonim
Lotus-Born Master: The Shambhala Access Code || Guru Padmasambhava, Guru Rinpoche ||
ビデオ: Lotus-Born Master: The Shambhala Access Code || Guru Padmasambhava, Guru Rinpoche ||

コンテンツ


出典:Daniil Peshkov / Dreamstime.com

取り除く:

倫理的なハッカーは、攻撃をシミュレートし、ブラックハットハッカーを阻止する方法を見つけようとすることにより、雇用主にとって重要な仕事を行います。

エンタープライズITの世界では、「倫理的ハッカー」という用語が急速に普及しています。しかし、これらの専門家は何をしますか?倫理的なハッカーの人生の1日はどのように見えますか?

非常に基本的なレベルでは、倫理的なハッカーは、弱点や脆弱性を見つけるために企業システムに侵入する専門家です。

「倫理的なハッカーは本質的にITセキュリティの専門家であり、知識を使ってサーバーや従業員のコンピューターなどのシステムをハッキングし、雇用主が保有するセキュリティの弱点を見つけます」とImaginaire DigitalのデジタルマーケティングエグゼクティブのRyan Jones氏は言います。 「その後、彼らは発見した弱点に関するレポートを作成し、最善の行動方針をアドバイスします。」

「倫理的なハッカーまたはペネトレーションテスターは、コンピューターデバイスとネットワークをテストして脆弱性を探す人です」と、サイバーセキュリティ企業StationXのCEO兼創設者であるNathan House氏は付け加えます。 「悪意のある目的や犯罪目的でこれを行うのではなく、脆弱性を報告して修正するようにします。」(組織に対して倫理的ハッカーができることの詳細については、組織が倫理的ハッキングから利益を得る方法を参照してください。)

ホワイトハットプロフェッショナル

倫理的ハッカーの別の用語は「ホワイトハット」です。ブラックハットハッカーとは対照的に、ホワイトハットハッカーはインターネットの丁寧な強盗のようなものです。ブラックハットハッカーと同じことをいくつか行いますが、破壊的な理由はありません。

「1つが確実に保護されるようにするには、実際の脅威をシミュレートするために外部からシステムに実際の攻撃を行う必要があります。したがって、それを認識してできるだけ早く修正できるようにします。」 IodeedのCTO。 「White Hat Hackingに特化した企業があります。そこでは、セキュリティリーク、修正に必要な手順、修正にかかる料金を提示する特別なハッカーのチームがあります(ペンテストに取り組んでいます)あなたのために。」


ここでは「シミュレート」という言葉が重要です。

強盗の類推に戻ると、家に高価で派手なものがたくさんある場合は、ロックに投資するか、セキュリティのレベルを上げるために、強盗をシミュレートするために誰かを雇うことができます。地下室やクロールスペースで開いているウィンドウを見つけて、家に侵入して持ち物を盗むことができます。しかし、事前にシミュレートされた強盗に投資する場合、不正な第三者がアクセスするのをさらに困難にするために何を修正するかを知っています。

バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド

誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。

要するに、これは倫理的なハッキングです。弱点がどこにあるのかを把握するためにシステムにだまされています。これにより、クライアントはそれらを修正し、システムが実際にハッキングされたり損傷したりするのを防ぐことができます。

倫理的ハッカーと侵入テスト

倫理的なハッカーの主な仕事の1つは、いわゆる「侵入テスト」または「ペンテスト」を実行することです。

「(倫理的ハッカー)クライアントのシステムをサイバー犯罪から保護するための武器の一部として侵入テストを使用しています」と通信戦略グループのKaren Franseが言います。

これについて考えてみてください。企業には、システムの脆弱性をキャッチするための幅広い自動化ツールがあります。デジタルツールは、オープンネットワークアクセスポイント、APIの問題、弱いパスワードシステム、またはその他の潜在的な問題をスキャンします。しかし、彼らはこれを自動化して行います。船長の椅子に倫理的なハッカーがいなければ、人間の監視はありません。

倫理的なハッカーは、その人間の要素を追加します。彼または彼女は決定点に座っており、ソフトウェアベンダーが提供するきちんとした新しいセキュリティツールは、意思決定支援ソフトウェアとして機能します。これらすべての自動化ツールのオーケストレーターとして倫理的ハッカーを考え、鋭い目で成功と失敗を見つけます。


ただし、侵入テストの最も基本的な部分の1つは、その後に行われるレポートです。

倫理的なハッカーはクライアントに戻り、侵入テスト中に何が起こったかを正確に示します。侵害または侵入があった場合、その脆弱性は修正されます。これは本当に境界を引き締め、攻撃対象を薄くし、企業を危害から保護します。

倫理的ハッカー、ソーシャルエンジニアリング、ユーザー認識

倫理的なハッカーが行うことのもう1つの大きな部分です。

「ソーシャルエンジニアリング」という用語は、エンドユーザーをだましてアクセスを取得しようとするハッキングのすべてを指します。

それらのなりすまし攻撃?ソーシャルエンジニアリング。

スピアフィッシングは、悪意のある者がインサイダーになりすます、または他の手段を使用してエンドユーザーを誘い、貴重なデータまたはネットワークアクセス資格情報を放棄するソーシャルエンジニアリングのもう1つの一般的な形式です。場合によっては、給与ウィンドウを偽装し、従業員に財務情報を放棄させるだけです。

通常、これらはすべて非常に破壊的です。したがって、企業は倫理的なハッカーを雇ってこの種の攻撃をシミュレートし、弱点を見つけて報告します。しかし、次の最後のステップはユーザー認識トレーニングです。同社はすべての従業員に注目すべきことを示すことに投資しており、従業員ベースはより賢明なものに成長しています。これらの従業員は、これらの不cru慎なブラックハットハッカーのすべてのマークではありません。 (倫理的ハッカーは仕事中に法的トラブルに巻き込まれる可能性がありますか?倫理的ハッカーは法的保護が必要ですか?で詳細をご覧ください。)

倫理的ハッカーの資格

実際、倫理的ハッキングの世界には資格がたくさんあります。企業は、専門家が侵入テストを実行し、他の種類のホワイトハットセキュリティ作業を行うための十分な経験とライセンスを持っていることを知りたいと考えています。

企業がしばしば要求することの1つは、倫理的なハッカーがインターネットの3つの重要な部分(表面ウェブ、深層ウェブ、暗色ウェブ)に熟練していることです。この中編では、Webのこれら3つのセクションがどのように異なるのか、そしてそれがセキュリティ専門家にとって何を意味するのかを示しています。

Tactics Techniques and Procedures(TTP)もあります。これは、倫理的なハッキングを証明するためのプロトコルであり、オープンソースインテリジェンス(OSINT)の認証もあります。

その他の資格は次のとおりです。

  • 認定倫理的ハッカー(CEH)
  • GIAC認定インシデントハンドラー(GCIH)
  • GIACサイバー脅威インテリジェンス(GCTI)

倫理的なハッカーは企業のセキュリティ調整の先駆けに取り組んでおり、組織を脅威から保護するために重要なことを行うことができます。