Mislav
Kako zaposliti etičkog hakera
Važno je tražiti sposobnost i napredne vještine, kao i certifikate, piše Haris Pylarinos, izvršni direktor Hack The Boxa
Nedavni oglas Ureda vlade za poziciju višeg etičkog hakera osvijetlio je sve veći trend prema uvredljivoj kibernetičkoj sigurnosti.
Današnji sigurnosni timovi moraju razmišljati i ponašati se kao napadači, pronalazeći ranjivosti prije negativaca. Kao što je Sun Tzu rekao: “Ako poznajete neprijatelja i poznajete sebe, ne morate se bojati rezultata stotinu bitaka.”
Što je etički haker?
Prvo, objasnimo što rade etički hakeri.
Etički hakeri, također poznati kao ‘hakeri s bijelim šeširom’, stručnjaci su za kibernetičku sigurnost koji prodiru u računalni sustav, mrežu, aplikaciju ili drugi računalni resurs u ime svojih vlasnika – uz njihovo ovlaštenje.
Organizacije pozivaju etičke hakere da otkriju potencijalne sigurnosne propuste prije nego što zlonamjerni hakeri dobiju priliku iskoristiti ih. Dakle, oni hakiraju iz ‘dobrih’ razloga, a ne iz ‘loših’ razloga.
Također je važno napomenuti da postoje različite profesionalne uloge unutar etičkog hakiranja.
Testeri penetracije simuliraju kibernetičke napade kako bi pomogli tvrtkama da saznaju gdje postoje sigurnosne ranjivosti u njihovim računalima i mrežama.
Druga uloga je “lovac na glave”; oni otkrivaju i rješavaju bugove kako bi spriječili kriminalne hakere da iskoriste potencijalne ranjivosti.
Jedno ne isključuje drugo, a stručnjaci se mogu odlučiti specijalizirati za jednu ili više ovih uloga. Obje uloge su vrlo unosna zanimanja i vrlo tražena. Zapravo, Zoom je prošle godine dodijelio 1,8 milijuna dolara nagrada za bugove.
Na što trebate obratiti pozornost prilikom zapošljavanja?
Pronalaženje pravog etičkog hakera nije lak zadatak. Kako bi suzili pretragu, tvrtke moraju tražiti nekoliko ključnih osobina koje nadilaze relevantno iskustvo.
Prvo, kandidati moraju pokazati visoku tehničku osposobljenost. Ovo mora imati prioritet u procesu zapošljavanja, a srećom to je relativno lako identificirati i procijeniti.
Na primjer, voditelji zapošljavanja mogu dati kandidatima zadatak testiranja sustava uživo gdje kandidati podnose izvješće o svojim ključnim nalazima. To omogućuje menadžerima za zapošljavanje da procijene znanje hakera o najnovijim eksploatacijama i vektorima napada na nova tehnološka rješenja i platforme koje koriste organizacije, kao što je računalstvo u oblaku.
Kandidati također moraju imati urođenu znatiželju za to kako stvari funkcioniraju, što im pomaže da razumiju tehnologiju na dubljoj razini. Kao rezultat toga, etički hakeri trebali bi moći uočiti ranjivosti i kopati unutar sustava kako bi osigurali da su konfigurirani na ispravan način.
Službene kvalifikacije
Ako tvrtka nije u mogućnosti procijeniti vještine kandidata, kvalifikacije mogu biti od pomoći u razumijevanju sposobnosti pojedinca za etičko hakiranje.
Najcjenjeniji i najnoviji certifikati u industriji, kao što je GIAC Penetration Tester (GPEN) ili CREST Registred Penetration Tester (CRT), dobri su certifikati koje treba uzeti u obzir u procesu zapošljavanja.
Uz to, Hack The Box je započeo s uvođenjem HTB Certified Bug Bounty Hunter (HTB CBBH), koji je praktična certifikacija osmišljena za procjenu vještina traženja grešaka i pentestiranja web aplikacija.
No dok su certifikati izvrstan način za provjeru vještina kandidata, nedostatak certifikata ne bi trebao spriječiti kandidata da nastavi s postupkom zapošljavanja.
Osim certifikata
Treba uzeti u obzir razinu vještine etičkog hakera. Na primjer, voditelj zapošljavanja može razmotriti koliko je često kandidat aktivan na različitim platformama za obuku zajedno s njihovim posljednjim rezultatima na tim platformama.
Ako haker rješava izazove i bavi se različitim razinama težine strojeva na tjednoj bazi, to je obično pokazatelj da kandidat posvećuje svoje vrijeme usavršavanju svojih tehničkih vještina.
Napredne vještine kao što su komunikacija, prilagodljivost i timski rad također su važne pri zapošljavanju etičkog hakera.
Najbolji etički hakeri imaju sposobnost komuniciranja ozbiljnosti različitih situacija jasno i točno, a istovremeno su u mogućnosti pružiti i učinkovite savjete.
Štoviše, trebali bi moći dati djelotvorne prijedloge za ublažavanje problema i izgradnju odnosa povjerenja u radnom okruženju pod visokim pritiskom.