Tại sao trở thành một Hacker có đạo đức?
Mục lục
Trong vài năm qua, lĩnh vực dịch vụ tài chính đã thuê các chuyên gia an ninh mạng nhanh như các nhà thầu chính phủ. Kể từ khi thành lập Cục Bảo vệ Tài chính Người tiêu dùng, các quy định đã buộc các tổ chức tài chính phải xem xét lại cách họ quản lý an ninh mạng — từ đó mở ra cơ hội việc làm mới cho các hacker có đạo đức.
Nhu cầu về các hacker có đạo đức vượt quá nguồn cung, đồng nghĩa với việc tiền lương và phúc lợi rất hậu hĩnh. Một đánh giá gần đây về các công việc hiện có bao gồm danh sách của một số công ty lớn nhất thế giới trong lĩnh vực tài chính, bao gồm JPMorgan Chase, Barclays , Bank of America và Allstate .
Để được xem xét cho một công việc với tư cách là một hacker có đạo đức, hầu hết các nhà tuyển dụng đều yêu cầu phải có chứng chỉ về hack có đạo đức. Các bài kiểm tra chứng nhận đảm bảo rằng hacker không chỉ hiểu công nghệ mà còn cả trách nhiệm đạo đức trong công việc. Vì nhiều nhà tuyển dụng không có chuyên môn để đánh giá các ứng viên cho những công việc này về mặt kỹ thuật, nên một chứng chỉ đảm bảo với họ rằng ứng viên đủ tiêu chuẩn.
1. Hacker đạo đức được chứng nhận
Chứng nhận Đạo đức Hacker ( CEH ) là rộng nhất trong số tất cả các tùy chọn chứng nhận hiện có. Kỳ thi CEH được thiết kế để kiểm tra kiến thức cơ bản của chuyên gia an ninh mạng về các mối đe dọa, rủi ro và biện pháp đối phó bảo mật thông qua các bài giảng và phòng thí nghiệm thực hành. Một chuyên gia có kinh nghiệm có thể tham gia kỳ thi mà không cần đào tạo bằng cách nộp bằng chứng về ít nhất hai năm kinh nghiệm về an ninh mạng.
Được quản lý bởi EC-Council, một lợi ích đáng kể của chứng nhận CEH là tính linh hoạt. EC-Council có các lựa chọn về đào tạo do người hướng dẫn, các bài giảng video và tự học. Các tùy chọn này có sẵn trực tuyến và các tổ chức có tùy chọn ký hợp đồng với các giảng viên của Hội đồng EC để tiến hành đào tạo tại chỗ.
Mặc dù nhiều danh sách việc làm dành cho các hacker có đạo đức đặc biệt yêu cầu chứng nhận CEH, nhưng nó có thể không phải lúc nào cũng là lựa chọn tốt nhất. Một chỉ trích chính đối với CEH là do tập trung vào đào tạo dựa trên bài giảng, hầu hết các khóa học hack của họ không cung cấp đủ kinh nghiệm thực hành.
2. Kiểm tra thâm nhập chứng nhận đảm bảo thông tin toàn cầu
Chương trình Chứng nhận Đảm bảo Thông tin Toàn cầu ( GIAC ) được điều hành bởi Viện SANS , một trong những tổ chức lâu đời nhất cung cấp giáo dục về an ninh mạng. GIAC cung cấp hàng chục chứng chỉ trung lập với nhà cung cấp với các khóa học yêu cầu học thực hành. Các khóa học của GIAC được tổ chức trực tuyến. Công ty cũng tài trợ các tài liệu nghiên cứu trắng được cung cấp miễn phí cho ngành công nghiệp an ninh mạng.
Có nhiều lựa chọn khác nhau để giành được GIAC Penetration Tester ( GPEN) chứng nhận, nhưng người học rất nên tham gia khóa học SEC560 về Kiểm tra thâm nhập mạng và Lấy cắp thông tin đạo đức từ Viện SANS; đây là một trong những khóa học toàn diện nhất về chủ đề này và chứng tỏ rằng người được cấp chứng chỉ đã nhận được sự cân bằng tốt giữa lý thuyết và đào tạo thực hành.
3. Chuyên gia được chứng nhận về bảo mật tấn công
Chuyên gia được chứng nhận về bảo mật tấn công (OSCP) là ít được biết đến nhất nhưng kỹ thuật nhất trong số các tùy chọn chứng nhận. Được cung cấp bởi Bảo mật tấn công vì lợi nhuận, nó được quảng cáo là chương trình chứng nhận hoàn toàn thực hành duy nhất. Offensive Security đã thiết kế chương trình cho các chuyên gia kỹ thuật “để chứng minh rằng họ có hiểu biết thực tế, rõ ràng về quy trình và vòng đời của thử nghiệm thâm nhập”.
Trước khi xem xét chứng nhận OCSP, hãy hiểu rằng môn học yêu cầu hiểu biết kỹ thuật vững chắc về các giao thức mạng, phát triển phần mềm và nội bộ hệ thống, cụ thể là Kali Linux, một dự án mã nguồn mở được duy trì bởi Offensive Security. Hầu hết sinh viên đăng ký chương trình đào tạo này sẽ tham gia khóa học trực tuyến; đào tạo trong lớp học chỉ được cung cấp ở Las Vegas.
Kỳ thi OCSP được thực hiện trên một mạng ảo với các cấu hình khác nhau. Người dự thi có nhiệm vụ nghiên cứu mạng, xác định các lỗ hổng và xâm nhập vào hệ thống để có quyền truy cập quản trị trong vòng 24 giờ. Vào cuối 24 giờ, ủy ban chứng nhận An ninh tấn công phải nhận được báo cáo kiểm tra thâm nhập toàn diện để xem xét. Họ sẽ xem xét các phát hiện trong báo cáo và xác định xem có cấp chứng nhận hay không.
Công việc lấy cắp thông tin đạo đức
Hầu hết các công ty mua dịch vụ của các công ty an ninh mạng chuyên về tuân thủ và kiểm tra bảo mật. Các công ty này thuê các chuyên gia sẽ điều tra nguyên nhân gốc rễ của vi phạm, thực hiện kiểm tra thâm nhập, cung cấp báo cáo về những phát hiện của họ và đưa ra các biện pháp giảm thiểu được khuyến nghị. Các công ty an ninh mạng tích lũy nhân tài và tự tiếp thị cho ngành.
Nhiều công ty cung cấp dịch vụ an ninh mạng này là các công ty nhỏ do các doanh nhân thành lập. Lợi thế khi làm việc cho một công ty nhỏ là họ có thể tham vọng hơn trong loại công việc mà họ chấp nhận. Những người muốn làm việc cho các công ty này có thể xem các trang web việc làm như Indeed , Glassdoor và LinkedIn .
Một con đường khác để tìm kiếm việc làm với tư cách là một hacker có đạo đức là làm việc với các công ty có hợp đồng với chính phủ liên bang. Kể từ khi xảy ra vụ vi phạm dữ liệu từ Văn phòng Quản lý Nhân sự, các cơ quan thuộc nhánh hành pháp đã được ủy nhiệm thực hiện các đánh giá bảo mật độc lập đối với hệ thống của họ. Các nhà thầu, chủ yếu ở khu vực thủ đô Washington, DC, đang gặp khó khăn trong việc tìm kiếm và thuê các hacker có trình độ và đạo đức.
Khi xem qua các trang web việc làm, danh sách cho khu vực Washington, DC giống như một điểm danh của các nhà thầu chính phủ cao cấp nhất. Nếu sở thích của bạn là làm việc cho một trong những nhà thầu lớn này, các công việc kiểm tra thâm nhập hoặc hacker có đạo đức gần như luôn sẵn sàng tại Lockheed Martin , Northrop Grumman , CACI , Booz Allen Hamilton , Deloitte , BAE Systems và nhiều công ty khác.
Khi tìm kiếm các công việc về an ninh mạng có liên quan đến chính phủ liên bang, bạn có thể yêu cầu các thông tin về bảo mật tích cực hoặc khả năng đủ điều kiện để được chấp thuận. Cơ quan an ninh của chính phủ yêu cầu nhân viên phải là công dân Hoa Kỳ và trải qua quá trình kiểm tra lý lịch. Những tin tặc có đạo đức được chứng nhận mong muốn hoàn thành tốt sự nghiệp của mình trong dịch vụ công có thể làm việc trực tiếp cho chính phủ liên bang. Các cơ quan như FBI, Bộ An ninh Nội địa, cơ quan tình báo và Bộ Quốc phòng đều sử dụng các tin tặc có đạo đức cho các nhiệm vụ khác nhau. Để tìm hiểu thêm về cách làm việc trực tiếp cho chính phủ liên bang, hãy tìm thêm thông tin tại usajobs.gov.
Nếu làm việc cho chính phủ không phải là ưu tiên, hãy xem các nhà cung cấp dịch vụ mạng lớn như Amazon Web Services và Verizon. Với quyền truy cập mạng là hoạt động kinh doanh chính của họ, các nhà cung cấp dịch vụ đám mây và các dịch vụ khác có các tin tặc đạo đức nội bộ của họ để giúp duy trì bảo mật.
Làm nghề tự do với tư cách là một hacker có đạo đức
Những tin tặc có đạo đức muốn thiết lập lịch trình của họ hoặc làm việc trên nhiều dự án khác nhau có thể quyết định trở thành dịch giả tự do. Là dịch giả tự do, các hacker có đạo đức sẽ phải hối thúc các hợp đồng của chính họ, hỗ trợ công việc kinh doanh của riêng họ và quản lý lợi ích của chính họ — và sẽ có sự linh hoạt để làm việc khi nào và ở đâu họ muốn.
Việc tìm kiếm công việc theo hợp đồng đã trở nên thoải mái hơn với các trang mạng xã hội dành cho các chuyên gia tìm kiếm những người cần dịch vụ của họ. Hai trang web như Neighborhood Hacker và Ethical Hacker Search Engine cho phép những tin tặc có đạo đức có chứng chỉ quảng cáo dịch vụ của họ — và những người đang tìm kiếm dịch vụ của họ tìm một chuyên gia. Cả hai trang web đều đáp ứng với tư cách là nhà môi giới và giúp quản lý các tranh chấp giữa các tin tặc có đạo đức và khách hàng.
Các trang web tổng hợp hơn dành cho các nhà tư vấn tự do độc lập cũng là những nguồn tuyệt vời để tìm kiếm khách hàng. Hai trong số các trang web hàng đầu để tìm kiếm điều này là UpWork và Freelancer.com . Các trang web này kết hợp danh sách công việc với các công cụ quản lý dự án cho cả khách hàng và hacker có đạo đức để quản lý mối quan hệ.