О хакерах известно, что одни из них злоумышленники, которые крадут чужие данные и деньги, а другие этому препятствуют. И если первых ждет скамья подсудимых, то вторые получают за свою работу очень приличные и, главное, абсолютно легальные деньги.
Этичный, или белый, хакер (пентестер) — это специалист в сфере кибербезопасности, который профессионально занимается выискиванием «дыр» в коде и помогает устранить утечки данных. Название специальности происходит от англоязычного термина pentest (penetration test), то есть «тест на проникновение». Имеется в виду проникновение в систему через скрытые уязвимости.
Что такое этичный хакинг?
Практически любой программный продукт или веб-ресурс содержит уязвимости в коде и различные ошибки. Часть из них, например, неправильное заполнение страницы, не является критичной для сохранности данных. Однако более крупные могут серьезно угрожать сохранности конфиденциальных данных. Злоумышленники вполне могут ими воспользоваться, чтобы украсть сведения, представляющие коммерческую тайну, завладеть аккаунтами пользователей, или похитить деньги с электронных счетов.
Разумеется, у владельцев сайтов и разработчиков есть собственные системы защиты и служба безопасности, но абсолютно все ошибки отловить практически невозможно. Кроме того, разработчик может их попросту не замечать, считая некритичными, а в это время злоумышленники уже подготовили эксплойт и влезли в систему. Типичный пример — SQL-инъекции, которая представляет собой кусок вредоносного кода, внедряемого через структурированные запросы. С его помощью можно без проблем внедриться в любую базу данных и добраться до критической информации, если есть уязвимость в коде.
Чтобы таких уязвимостей не было, существует этичный хакинг или так называемые тесты на проникновение. Суть его в том, что специалист (пентестер) целенаправленно ищет ошибки и уязвимости, а затем дает рекомендации по их устранению.
В чем суть работы этичных хакеров
Технология penetration test, или «тест на проникновение», составляет основу работы этичных хакеров. Чем конкретно они занимаются:- Моделируют попытки взлома;
- Указывают заказчику на возможные бреши в системе защиты, объясняют, как их устранить;
- Готовят аналитические отчеты по наиболее популярным угрозам, составляют руководства для служб кибербезопасности;
- Ищут свои способы поиска и устранения угроз.
Как правило, пентестеров путают с другими специалистами по защите данных, но задачи у них разные: первые приходят, чтобы найти возможные уязвимости, вторые — настраивают сети и специальное защитное ПО, разворачивают инфраструктуру и поддерживают её в надлежащем состоянии.
Кому подойдет профессия этичного хакера
В сущности, любой специалист с бэкграундом в IT может переквалифицироваться в пентестера. Особенно приветствуется опыт в системном администрировании, поскольку именно сисадмины умеют работать с базами данных и Linux. Впрочем, релевантным будет и опыт в backend-разработке. Однако надо понимать, что работа этичного хакера не для всех: тут нужен особый склад ума и страсть к исследованиям. Кроме того, работа пентестера не такая уж захватывающая, как может показаться, в ней много рутины, требующей усидчивости и внимательности. Также хакер в белой шляпе должен уметь мыслить, как его антипод — злоумышленник в черной шляпе, поэтому очень ценится умение находить нестандартные лазейки, которые не учел разработчик, а это требует внимательности.
К тому же на первых порах доход будет крайне низким, а работать придется практически на чистом энтузиазме. Если вы к такому не готовы, то, пожалуй, лучше сделать из пентеста хобби с опцией дополнительного заработка.
В профессии белого хакера обязателен так называемый хакерский подход, а это означает:- Критическое мышление, умение смотреть на программный продукт под разными углами, причем и глазами атакующего, и глазами обороняющегося;
- Умение строить гипотезы на основе наблюдений, чтобы, к примеру, спровоцировать программу на нештатное поведение и тем самым открыть уязвимость;
- Высокая обучаемость и стремление прогрессировать в профессии. Белый хакер никогда не работает по шаблону, а это требует постоянного изучения новых паттернов и сценариев проникновения, а также умения их комбинировать и отрабатывать на практике;
- Увлеченность и в хорошем смысле слова азартность. Белому хакеру должно быть интересно то, чем он занимается. Недаром у специалистов такого профиля пентест начинался как увлечение, а затем перерастал в профессию. Это в целом наиболее оптимальный путь, чтобы стать белым хакером.
Востребованность профессии белого (этичного) хакера в 2024 году
Согласно прогнозам, траты на предотвращение киберугроз в мире будут расти ежегодно на 15%. Непростую ситуацию подстегнул глобальный экономический кризис и пандемия COVID-19.
Закономерно будет расти и спрос на услуги специалистов по сетевой безопасности. Так, по данным Markets & Markets к 2026 году этот рынок дорастет до 345 млрд. долларов.
В России тем временем наблюдается острая нехватка профессионалов в этой сфере. По оценкам специалистов рекрутинговых агентств, количество вакансий будет увеличиваться на 12—15%.
Где работают белые хакеры
Вариантов трудоустройства у пентестеров не так уж много. Начинающий специалист может рассчитывать на фриланс. Вполне подходящий путь для новичков без опыта, поскольку это по сути единственный способ этот самый опыт получить.
Повторимся, на начальном этапе тесты на проникновение лучше рассматривать как хобби с опцией небольшого дохода, дабы не выгореть из-за нехватки денег и отсутствия заказов
Набравшись скиллов, белый хакер вполне может работать и с официальным трудоустройством:
-
Отдел тестирования у разработчиков программного обеспечения;
-
Службы информационной безопасности в коммерческих структурах (банках, финтех-компаниях, крупных корпорациях);
-
Компании-разработчики решений в сфере кибербезопасности и аудита ИБ;
-
Компании, специализирующиеся на услугах пентеста и Red Teaming.
Навыки этичного хакера
В первую очередь хакер хорошо знаком с операционными системами Windows и Linux и знает, как их администрировать. Иными словами, это крепкий сисадмин, но со специфическими задачами.
Hard Skills пентестера
- Основные приемы проникновения в систему;
- Софт для аудита и моделирования взлома сетей и систем безопасности;
- Языки программирования, такие как Java, Python, Ruby, JavaScript;
- Базы данных SQL, MySQL, SQL Server и другие;
- Основные протоколы передачи данных. Помимо TCP/IP, это ещё ICMP;
- Сетевые службы, такие как Proxy, VPN, Samba, AD и другие;
- Стандарты и методики тестов на проникновение OWASP, OSSTMM, ISO/IEC 27001, NIST SP 800-115.
Soft Skills пентестера
- Усидчивость;
- Внимательность;
- Высокая работоспособность;
- Нестандартное мышление;
- Систематизация данных.
Как стать этичным хакером (пентестером)
Мы уже упомянули, что хакер — это очень подкованный системный администратор, который изучил вдоль и поперек все сетевое оборудование, операционные системы и владеет специальным ПО.
Поэтому логичнее всего, если у вас нет высшего образования, отучиться в вузе по специальностям:
- Компьютерная безопасность;
- Администрирование баз данных;
- Информационная безопасность и компьютерные технологии и т.д.
В эту профессию также приходят бывшие тестировщики, которые хотят повысить уровень экспертности и значимости на рынке труда. Однако лучше сначала отучиться на онлайн-курсах для специалистов по кибербезопасности, где приемы работы белых хакеров очень подробно разбирают.
Кроме того, в последние годы появляется все больше специализированных курсов для белых хакеров. Такой вариант будет крайне полезным для самоучек, которые в целом владеют навыками пентеста, однако, хотят войти в тему на системном уровне. К тому же, документы об образовании никогда не будут лишними при трудоустройстве.
Какие сертификаты нужны пентестеру
Кстати, о документах! В этичном хакинге также есть свои стандарты, знание которых серьезно повысит ваши шансы при поисках работы. Следовательно, курсы, которые вы выбираете, должны быть сертифицированными по международным стандартам. Вот наиболее востребованные:
-
CompTIA Security+. Наиболее распространенный сертификат, который пригодится любому специалисту в сфере кибербезопасности. В его рамках изучают комплексную оценку безопасности корпоративных сред, анализ инцидентов, обеспечение безопасности гибридных сред и многое другое;
-
CEH (Certified Ethical Hacker) от компании EC-Council;
-
CISSP (Certified Information System Security Professional). Один из наиболее востребованных сертификатов для этичного хакера, подтверждающий большой опыт в сфере кибербезопасности;
-
CISA (Certified Information Systems Auditor). Второй по значимости сертификат, дающий право заниматься тестами на проникновение, а также разработкой и внедрением средств контроля и отчетности о соответствии.
Советы для начинающих белых хакеров
Главное, о чем нужно помнить: нет стандартных путей и готовых шаблонов. От белого хакера ждут именно необычных и изощренных действий, которые и помогают добиться результата. Поэтому:
-
Пользуйтесь автоматизированными инструментами с умом и анализируйте каждую найденную ошибку;
-
Помните о соблюдении законодательства и конфиденциальности, не выкладывайте результаты работы в свободный доступ;
-
Приступайте к работе только по строго оговоренным условиям и только после подписания официального договора с заказчиком;
-
Всегда оговаривайте с заказчиками каналы обмена информацией, чтобы не допустить утечек;
-
Старайтесь готовить отчеты о работе в текстовом формате, видео допустимы только, если нужно объяснить путь к сложной уязвимости;
-
Не пренебрегайте изучением новых эксплойтов и методик работы. Важно не останавливаться и постоянно совершенствовать знания.
Кроме того, любой пентестер должен следовать "Правилу девяти не":
-
Не забывать о профессиональной этике;
-
Не взламывать все подряд;
-
Не забывать собирать информацию о заказчике;
-
Не скачивать все подряд;
-
Не работать во внеурочное время (можно поломать что-нибудь критическое, что заказчик не сможет быстро восстановить);
-
Не использовать непроверенные эксплойты;
-
Не забывать предупреждать заказчика перед взломом;
-
Не забывать о бэкапе работы и сборе доказательств;
-
Не пренебрегать защитой собранных данных.
Зарплата белых хакеров в России в 2024 году
Если посмотреть на данные Хабр.Карьера, то специалисты в области IT-безопасности получают до 120 тысяч рублей.
У этичных хакеров есть возможность поучаствовать в так называемых Bug Bounty — то есть поучаствовать в отлове багов на специальных платформах, куда выкладывают задачи сторонние компании. В этом случае они могут без проблем зарабатывать по 3 тысячи долларов США в месяц.
Будущее профессии белого хакера
Учитывая, что цифровые угрозы растут год от года, ни один специалист по кибербезопасности не останется без работы, включая и белых хакеров. Более того, сама профессия постоянно развивается и пополняется новыми данными, притом с такой скоростью, что рекомендации и методички успевают устареть, едва только выходят в общий доступ.
Крайне перспективным и прибыльным направлением на данный момент является Red Teaming — комплексная и всесторонняя оценка защиты данных, в которой применяется не только обход систем безопасности через уязвимости в коде, но и другие варианты, включая фишинг и попытки физического проникновения на территорию заказчика. Вписаться в Red Team для любого пентестера означает переход в более высокую лигу, поскольку оплачивается такая услуга значительно дороже, нежели простой пентест.
Кроме того, есть ещё немало перспективных трендов в этичном хакинге. Эксперты полагают, что будущее в этой сфере за геймификацией отрасли, а также организацией соревнований по пентесту. Они проводятся уже сейчас в формате CTF, причем в немалом количестве, однако, в ближайшее время могут появиться целые международные лиги белых хакеров.
Также стоит затронуть еще одну важную проблему — легализацию этичного хакинга и обязательное лицензирование деятельности. Сейчас профессия буквально погружена в серую зону, а сами белые хакеры ходят под статьей Статья 272 УК РФ "Неправомерный доступ к компьютерной информации". Избегание уголовного преследования здесь держится исключительно двусторонних договоренностях между заказчиком и исполнителем — ещё одна причина работать строго по письменному договору.
Эксперты в области IT отмечают, что такое подвешенное состояние серьезно тормозит развитие цифровых технологий в России. В частности, есть жесткие ограничения на Bug Bounty (отлов багов в программном коде), поскольку у белых хакеров нет возможности по своей инициативе ковыряться в коде, а разработчики не всегда считают нужным выкладывать предрелизные версии продукта для поиска уязвимостей
Вопрос о легализации профессии белого хакера уже неоднократно поднимался Минцифры, но пока инициатива не ушла дальше обсуждения в межведомственных группах и комитете Госдумы. Возможно, в будущем ситуация разрешится, но явно не в перспективе ближайших 2 лет.
Плюсы и минусы профессии белого хакера (пентестера)
| Плюсы | Минусы |
|
|
|
