'Ethical hacker' là một loại hacker sử dụng kỹ năng mạng của mình để kiểm tra các chức năng bảo mật để đảm bảo chúng an toàn. Bạn thậm chí có thể trở thành một chuyên gia nếu bạn có khả năng đột nhập vào hệ thống, mở các tệp được mã hóa và truy cập vào một tổ chức thông qua website, mà không bị bắt giữ trong quá trình làm việc này.
Hacker có đạo đức đôi khi được gọi là người thử nghiệm thâm nhập hoặc tin tặc mũ trắng – màu trắng tượng trưng cho mặt đạo đức của nghề nghiệp, trái ngược với những tội phạm mũ đen. Hacker có đạo đức thường xuyên sử dụng kinh nghiệm rộng lớn của mình cho những mục đích tốt, và nhiều người tốt đã có tư tưởng như vậy ngay từ những ngày đầu tiên họ học để trở thành hacker mà không vi phạm pháp luật.
Một hacker có đạo đức là gì?
Điều quan trọng trước tiên phải hiểu chính xác một hacker đạo đức là gì. Jeff Schmidt, trưởng bộ phận kinh doanh, bảo mật và quản trị của BT, định nghĩa một hacker về đạo đức: “là chuyên gia bảo mật máy tính, chuyên về kiểm tra thâm nhập và các phương pháp thử nghiệm khác để đảm bảo hệ thống thông tin của tổ chức được an toàn”.
Bởi khi nói đến hacker có đạo đức, chắc chắn chúng ta đang nói về những người thử nghiệm. Cho dù bạn gọi công việc đó là việc xâm nhập có đạo đức, hacker mũ trắng hoặc thâm nhập thử nghiệm là tùy thuộc vào bạn. Điều quan trọng ở đây là nó đang được thực hiện với sự đồng thuận trọn vẹn của công ty có tài nguyên đang được khám phá. Nếu không, họ sẽ vẫn là một tội phạm theo Đạo luật lạm dụng máy tính.
Ian Glover, chủ tịch của CREST, thích định nghĩa thử nghiệm thâm nhập và định nghĩa của ông đi xa hơn một chút ở chỗ nó nhận ra rằng bạn cần phải làm nhiều hơn chỉ là một người thâm nhập để thực sự hoàn thành vai trò của mình. Ông tin rằng bạn cần phải có kỹ năng tư vấn tốt.
Một người thử nghiệm thâm nhập, ông nói, phải có khả năng "truyền đạt kết quả của các bài kiểm tra ở cấp độ phù hợp với khán giả". Ông cũng cho biết "cung cấp tư vấn kỹ thuật và kiến nghị cho khách hàng về cách thức giảm thiểu lỗ hổng được báo cáo".
Trình độ chuyên môn và đào tạo nào khiến tin tặc đạo đức cần?
Khi đề cập đến các kỹ năng cần thiết cho công việc, bạn cần những bằng cấp chuyên môn nào? Peter Chadha, giám đốc điều hành và người sáng lập DrPete, cho rằng tất cả những gì bạn cần là "một lượng lớn kiến thức kỹ thuật về hệ thống và phần mềm công nghệ thông tin và đặc biệt là cách khai thác lỗ hổng" nhưng ông cũng cho biết rằng có những bằng cấp chính quy để công nhận các trình độ đó.
Chadha cho biết thêm: "Phổ biến nhất là chứng nhận hacker có đạo đức được chứng nhận bởi EC-Council – (EC-Council Certified Ethical Hacker certification), một khóa học tự học hoặc đến giảng đường với một bài kiểm tra trắc nghiệm 200 câu cuối khóa học", và "Nhóm an ninh điện tử truyền thông (CESG - Communications-Electronics Security Group) [giờ là một phần của National Cyber Security Center] cũng được yêu cầu cho bất kỳ thử nghiệm thâm nhập nào trên một công ty, và điều này được bổ nhiệm bởi một bộ phận của chính phủ"
Điều này liên quan đến chương trình CHECK, nơi những người thử nghiệm thâm nhập chứng minh mình thông qua các bài kiểm tra thực tế trong điều kiện phòng thí nghiệm. Chadha giải thích: "Có hai cấp độ phê duyệt, một thành viên thử nghiệm thâm nhập và một đội kiểm tra thâm nhập, và các cơ quan chính phủ sẽ yêu cầu ít nhất một đội trưởng làm việc trên bất kỳ dự án nào."
Phil Robinson, giám đốc đảm bảo kỹ thuật số và là thành viên sáng lập của Viện chuyên gia bảo mật thông tin hướng tới chương trình Tiger Scheme và chứng nhận CREST. Robinson trả lời phỏng vấn với IT Pro: "Có các chứng chỉ kiểm tra cấp độ thâm nhập, cho những người muốn tham gia nhóm thử nghiệm và làm việc dưới sự quản lý của trưởng nhóm và chứng chỉ kiểm tra cấp cao cho những cá nhân có kinh nghiệm làm việc riêng hoặc dẫn dắt nhóm".
Ông cho biết thêm: "Nó cũng giúp để có một nền tảng chung hợp lý và kinh nghiệm cùng với chứng nhận như một Thạc sĩ về an ninh thông tin".
Theo như chứng nhận CREST có liên quan, Ian Glover chỉ ra rằng để vượt qua ở cấp độ thấp hơn, một ứng cử viên sẽ cần "kiến thức và kỹ năng về một loạt các chủ đề liên quan, và ngoài ra họ thường yêu cầu từ hai đến ba năm trải nghiệm thực tế thường xuyên, tương đương với khoảng 6.000 giờ kinh nghiệm và nghiên cứu. " Khi nói đến cấp độ cao hơn tăng lên đến năm năm hoặc 10.000 giờ”.
Tội phạm mạng có thể trở thành tin tặc đạo đức?
Nhưng điều gì sẽ xảy ra nếu những trải nghiệm và nghiên cứu đó được thu thập khi hacker thực hiện những vụ tấn công mạng? Có thể những tin tặc mũ đen muốn vượt qua sự phân chia và bước vào thế giới hợp pháp của người kiểm tra thâm nhập?
Dominique Karg, là người đồng sáng lập và hacker trưởng tại AlienVault. Ông không có vấn đề gì với những kẻ săn trộm chuyển sang tiền thưởng.
Ông nói thêm rằng "Tôi nghĩ rằng họ là những người duy nhất có thể làm tốt công việc này. Tôi đã có công việc làm tin tặc có đạo đức như vậy. Tôi phải lựa chọn giữa việc dạy một điều gì đó mà tôi đã biết tại trường đại học hoặc được trả tiền cho những gì tôi thích làm. Quyết định này rất dễ dàng".
Ian Glover đồng ý rằng chúng ta phải nhận ra nơi ngành công nghiệp đã đến từ đâu. "Có những cá nhân trong ngành công nghiệp đã vượt qua giai đoạn từ bóng tối đến ánh sáng," ông nói, nhưng cảnh báo rằng tình hình đang thay đổi rất nhanh chóng.
Glover lập luận: "Bây giờ không có lý do gì để làm việc về trong bóng tối thay vì để thâm nhập và gặt hái những sự tiến bộ trong ngành. Trên thực tế các tiêu chuẩn đạo đức cao mà CREST các công ty thành viên đăng ký sẽ gây khó khăn cho họ ".
Marcus Ranum, giám đốc an ninh của Tenable Network Security, cho rằng một bản theo dõi một hacker đơn giản sẽ chỉ ra các lỗi trong phán đoán và sẵn sàng đặt lợi ích đầu tiên. Ông nhấn mạnh: "Đó không phải là điều gì đó sẽ gây ấn tượng với khách hàng tiềm năng. Dù sao thì, nếu anh đã hành động như một tên tội phạm hồi tháng trước, liệu người dùng có nên tin anh không hành động tương tự ngày hôm nay?".
Những loại công việc nào có sẵn cho các tin tặc có đạo đức?
Trong khi 'hacker có đạo đức' là một thuật ngữ có ích, có vai trò công việc thực tế trong lĩnh vực này được liệt kê dưới nhiều hình thức khác nhau. Các công việc được quảng cáo phổ biến nhất thường dành cho những người thử nghiệm thâm nhập, nhưng nhiều vai trò tương tự thường được gắn nhãn là 'chuyên gia phân tích bảo mật', 'chuyên gia bảo mật thông tin', 'chuyên gia bảo mật mạng' và tương tự.
Bạn cũng có thể tìm thấy các loại công việc được quảng cáo dưới dạng vai trò 'nhóm đỏ'. Nhiều tổ chức thực hành hình thức bảo mật tấn công này chia nhân viên bảo mật của họ thành 'đội đỏ' và 'đội xanh'. Các đội đỏ đảm nhiệm vai trò của những kẻ tấn công, cố gắng xâm phạm mạng lưới và đánh lừa các nhân viên an ninh nội bộ trong nhóm màu xanh, công việc của họ là giữ cho hệ thống của doanh nghiệp an toàn.
Tin tặc có đạo đức có thể kiếm được bao nhiêu tiền?
Giả sử bạn đã đạt được những yêu cầu công việc và vẫn muốn thâm nhập vào thế giới của hacker có đạo đức, bạn có thể kiếm được bao nhiêu tiền và thị trường làm việc là như thế nào? Ian Glover cho rằng một người tham gia thị trường có thể mong đợi một mức lương khoảng 25.000 bảng. Một chuyên gia cấp có đăng ký dự kiến sẽ kiếm được khoảng 55.000 bảng và một nhà lãnh đạo đội có thể kiếm được khoảng trên 90.000 bảng.
.jpg "Thứ trưởng Bùi Hoàng Phương họp trực tuyến với các tỉnh, thành chỉ đạo \"nóng\" về thực hiện phân cấp, phân quyền trong lĩnh vực KH&CN")
