Сертифициран етичен хакер - не е рядкост хората да говорят за „хакнат“ уебсайт и може би сте виждали новинарски съобщения за това, че популярни уебсайтове са хакнати от група хора или от физическо лице. В кибернетичния свят хората, които извършват подобни "престъпни" действия, се наричат хакери. Те могат да бъдат интелигентни програмисти или мрежови администратори, които могат да се занимават с тръпката или да откраднат информация или да поемат контрол над уебсайт или портал.
За да намерите вратички в система или собственост, най-добрият метод е да наемете крадец и да го откриете. В информационните технологии, пропуски и слабости в уебсайт се установяват от компаниите, като използват етични хакери. Те са обучени сертифицирани хора с дългогодишен опит за откриване на вратички, така че компаниите да могат да го включат скоро и да предотвратят огромни загуби в случай на неочаквано хакерско или вирусно нападение на сайт.
Тежестта на кибератаките може да се прецени от плана за действие на Белия дом на САЩ, за да се изразходват 19 млрд. Долара за инициативи за киберсигурност, включително за обучение на потребителите да използват двуфакторна автентификация. Това следва последното хакване, което компрометира личните данни на американските граждани - през ноември федералните власти обвиниха трима мъже за нахлуване в системи на девет финансови институции, включително JP Morgan, Dow Jones, Scottrade и eTrade, излагайки данните на 100 млн. Клиенти под риск.
Изследване на Ponemon Institute през 2014 г. показа, че средната цена на нарушение на данните за засегнатата компания е 3, 5 милиона долара
Много отчетни изследвания и проучвания в индустрията показват нарастващи нарушения на сигурността в уебсайтове и компютърни мрежи, като по този начин се увеличават възможностите за обучени или лицензирани етични хакери.
CEH срещу CPT Инфографика
Как да станете сертифициран етичен хакер?
Има много институции, предлагащи курсове за обучение на хакери, но в крайна сметка това би трябвало да ви накара да получите сертифицирания сертификат за етичен хакер (CEH), предлаган от Международния съвет за консултанти по електронна търговия (наричан популярно Съветът на ЕС).
Не е лесно всеки да стане етичен хакер или сертифициран етичен хакер, тъй като предишният опит в ИТ индустрията е изискване за всяко официално образование в тази област. В идеалния случай, етичен хакер трябва да има програмиране с бакалавърска степен по компютърна техника или информационни технологии (ИТ). Първата стъпка е да получите сертификат в работата в мрежа, да придобиете известен опит в областта, преди да преминете към Cisco CCNA сертифициране (Cisco Certified Network Associate). Това е сертификат, който утвърждава способността на професионалист да разбира конфигуриране, работа, конфигуриране и отстраняване на проблеми със средно ниво на комутирани и маршрутизирани мрежи, а също така включва проверка и изпълнение на връзки през отдалечени сайтове с помощта на WAN.
След това е по-добре да потърсите допълнителни сертификати в Securty, CISSP или TICSA. Това ще даде възможност на лицето да получи позиция в информационната сигурност. На този етап ще бъде по-добре да придобиете опит в тестовете за проникване. Тестът за проникване включва оценка на сигурността на внедряването на ИТ, извършена в организация. Извършва се с цел идентифициране на уязвимите места в мрежата. Уязвимите области включват сървъри, операционни системи, безжични мрежи, мобилни устройства, услуги, конфигурации и приложения. Тези тестове могат да се извършват ръчно или чрез стартиране на автоматизирани програми.
След това, след като получи повече експозиция в бранша, може да се опита за международното сертифицирано етично хакерско (CEH) сертификат, предоставено от Международния съвет на консултантите за електронна търговия (EC-Council). Според ЕК, сертифицираната програма за етичен хакер е върхът на най-желаните програми за обучение на информационна сигурност за професионалисти.
Освен уроци за мрежи, етичен хакер трябва да има познания за команди и дистрибуции на Unix / Linux, програмиране в C, LISP, Perl или Java. Познаването на бази данни като MySQL също ще бъде полезно за етични хакери.
Освен технически знания, те също имат нужда от решаване на проблеми и хора умения или социално инженерство. Те трябва да накарат хората да разкриват своите идентификационни данни, да рестартират или изключват системи или да изпълняват файлове.
Има пет фази на етично хакерство - 1) разузнаване, 2) получаване на достъп 3) изброяване, 4) поддържане на достъп и 5) последно покриване на вашите песни. Reconnaisance включва събиране на информация за планирана цел на злонамерен хак чрез сондиране на целевата система. Портовете сканират, за да намерят слабости в системата и да открият уязвимости около защитната стена и рутерите. След като бъде открит, хакерът може да разработи средствата за достъп до системата. Има два вида разузнавателно-активни и пасивни.
Пасивното разузнаване може да няма нищо общо с информационната сигурност или ИТ системите, но може да е знание за рутинните процедури на компанията - времената, когато служителите пристигат и напускат. Или може да са промени в интернет протокола (IP), именуване на конвенции, скрит сървър или мрежи. Хакерът следи потока от данни, за да види в кой момент се извършват транзакции и трафика на трафика.
Получаването на достъп до системата е най-важната фаза на хакерската атака. Това може да се случи чрез локална мрежа (LAN) или интернет, локален достъп до компютър или дори офлайн достъп. Включва буферирани преливания на базата на стека, отказ на услуга (DoS) и отвличане на сесия.
Фазата на изброяване или сканиране включва изследване на мрежата въз основа на информация, събрана по време на разузнаване. Използваните инструменти са набирачи, скенери за порт, мрежови картографи, подчиствачи и скенери за уязвимост.
Поддържането на достъп е жизненоважно, за да се запази за бъдеща употреба. Понякога те поддържат изключителен достъп чрез бекграунд, троянци, руткити. Последният етап е покриване на песни, за да се избегне откриване от служителите по сигурността. Програмата за сертифицирано етично хакерство (CEH) обхваща подробно тези теми и се тества от Съвета на ЕК преди да получи сертификат, който квалифицира кандидата да заеме предизвикателни задачи в индустрията.
Изпитът тества знанията и уменията на кандидатите в следните области-
-
- Телеком, мрежи, кибер медии и ИТ системи
- Имате широко разбиране на протоколите за сигурност, свързани с операционните системи - MAC, Linux и Windows,
- Трябва да може да хакне хака в компютърна система на организация, за да оцени нейните уязвимости и слабости с надлежно разрешение,
- Предприемайте превантивни и коригиращи мерки срещу злонамерена атака
- Те трябва да бъдат умели да идентифицират и да променят различни видове пароли и да предотвратяват атаките с парола.
- Разберете криптографията и техниките за криптиране с частна / публична ключова инфраструктура.
- Те трябва да имат познания за кибератаки, включително троянски, URL, затъмняване, кражба на идентичност и социален инженеринг.
Научете как да защитите бизнеса от опасностите от злонамерени хакерски усилия. Оценете сигурността на компютърните системи, използвайки техники за проникване. Развивайте етични хакерски умения.
Тест за проникване
Тестовете за проникване имат многобройната цел да предпазят жизненоважните си ИТ системи от външна атака и включват поставяне на крайните точки, приложения, мрежи в предвидени тестове. Тя дава възможност на специалистите по сигурността да се грижат предварително за всяка възможна заплаха, като инициират коригиращи действия, когато са открити уязвимости.
Редовното тестване на химикалки е полезно за компаниите да знаят предварително какви рискове за сигурността са изложени на ИТ системата. Навременните мерки за коригиране предотвратяват навлизането на хакерите в мрежата, компрометиращи ценните данни. По този начин се избягват разходите, свързани с нарушаване на сигурността, което може да навлезе в милиони долари и загуба на имидж по отношение на защитата на клиентите на данни и бизнес от бизнес информация, включваща и данни на трети страни. Тестовете за проникване помагат на организацията да се съобрази с разпоредбите за спазване / одит като GLBa, HIPAA и Sarbanes-Oxley. Компаниите могат да спестят значителни пари чрез глоби, свързани с неспазването на сигурността на проникването. Те ще могат да се съобразят с тестване, както е назначено във федералните FISMA, PCI-DSS или NIST.
Препоръчителни курсове
- Професионални уеб услуги в Java курс
- Обучение за сертифициране в разработването на игри в C ++
- Онлайн обучение за етично хакерство
- E1261Professional Vegas Pro 13 Training
Лицензирани тестове за проникване от Съвета на ЕС
Съветът на ЕО оценява лицензираното проникване (LPT) като върха на програмите за сигурност на информацията, които имат сертифицирана програма за етичен хакер, както и програмата на сертифициран анализатор за сигурност на ЕС (ECCSA).
LPT изпитът на Съвета на ЕС е най-трудният практически изпит преди връчване на сертификат. Онлайн версията на курса има над 39 интензивни модула, над 2300 слайда, които преминават в сложни аспекти на тестовете за проникване. Курсът предоставя 1100 инструмента, които да им помогнат да се потопят дълбоко в науката за проникване.
Съветът на ЕК казва, че изпитът за LPT е разработен в сътрудничество с малки и средни предприятия и практикуващи по целия свят след задълбочен анализ на работата, ролята, задачите и анализа на пропуските в уменията. Симулира сложна мрежа от многонационална организация в реално време.
Онлайн версията на курса дава възможност на служителите по информационна сигурност да научат проникването на тестове от всяка точка на света и да кандидатстват за LPT лиценз. Лицензът е гаранция за вашите заинтересовани страни, че притежавате компетентност, базирана на умения, за да извършите задълбочена оценка на сигурността.
Критерии за допустимост
Не всички ИТ специалисти имат право да кандидатстват за лицензиране на Съвета на ЕС, особено за тестване на химикалки. Кандидатът трябва да бъде член на ECSA с добро състояние, да има минимум две години опит в пенистирането, както и да има одобрени отраслови сертификати като OSCP или GPEN. Кандидатите могат да кандидатстват директно в Съвета на ЕО чрез онлайн уеб формуляр.
Предимствата на сертифицирането
- Сертифицирането позволява на кандидатите да практикуват проникване и консултиране на глобална основа.
- Приемането от индустрията като професионалист по правна и етична сигурност.
- Достъп до софтуер, шаблони и методологии за тестване на Съвета на ЕО.
Въпреки че различните агенции предоставят сертифициране, сертифицирането на ЕС дава възможност за практикуване на уменията си, така че да могат да функционират като лицензиран изпитател за проникване.
Въпреки че етичното хакерство и проникване попадат в сферата на информационната сигурност, те са тънко различни по своята роля и функции. Сертифицираният етичен хакер е обучен за овладяване на хакерски технологии, докато лицензирана програма за проникване на проникване е за професионалисти, които са упълномощени да провеждат проникване на корпоративни мрежи.
Заявленията за изпити за сертифициране на Съвета на ЕС се приемат онлайн от https://cert.eccouncil.org/lpt-application-form.html.
Сертифицираният етичен хакер на Ankit Fadia също е програма, която е призната в целия свят. Той е създаден от световно известен орган за компютърна сигурност. Той предоставя най-новите техники за инструменти и методи, използвани от киберпрестъпници и терористи. Той също така показва как да се борим с тях. Анкит Фадия показва също как той хаква в уебсайтове, акаунти, мобилни телефони и пароли точно пред очите ви.
Потенциалът на тестовете за проникване и етичния маркетинг е огромен, тъй като водещият портал за услуги в Индия Naukri.com показва 115 свободни позиции в тази област.
Ролята на сертифицирания етичен хакер (CEH) и тестера за проникване са различни, въпреки че попадат в сферата на информационната сигурност. CEH е отговорен за защитата на ИТ системите, като изпълнява определени процедури, които защитават системата от външни заплахи. В тази област експертите са наети като одитори по сигурността, специалисти по мрежова сигурност, тестери за проникване, администратори на сайтове, консултанти по сигурността в зависимост от знанията, способностите и опита. Експертите в тези области със сертификат от Съвета на ЕС имат голямо търсене в правителствения сектор, военните и отбраната. Курсовете за етично хакерство, които са в съответствие с учебната програма на Съвета на ЕС, подготвят персонал за информационна сигурност, за да получат сертификат на ЕС. Те се предлагат от училища в частния сектор, университети в няколко страни.
заключение
В бранша може да намерите специалисти по информационна сигурност със и без глобално сертифициране. Въпреки това, плаща се да се сертифицират като мнозинство от ръководителите по наемане считат сертификатите за фактор в техните решения за наемане. Те получават по-добър старт в кариерата, по-добри заплати и повишения на заплатите.
Според американското Бюро по трудова статистика търсенето на анализатори за информационна сигурност се очаква да нарасне с 18% от 2014 г. до 2024 г., което е с много по-бързи темпове от повечето други професии. В Индия има само 50 000 специалисти по киберсигурност, но нацията се нуждае от пет милиона професионалисти до 2020 г., според Националната асоциация на компаниите за софтуерни и сервизни компании (NASSCOM).
Страната изисква 77000 нови етични хакери всяка година, но в момента само 15 000 са обучени в тази област. Дори най-добрите от хакерите трябва да учат повече и да получат глобална сертификация, за да получат доверие. В унисон с нарастващото търсене на етични хакери и тестери за проникване, няколко института се появиха в частния сектор, предлагайки различни курсове.
Според Маккинси около 70% от индийските компании са податливи на кибератаки. При един скорошен инцидент една компания трябваше да плати огромни пари, за да си върне контрола над откраднатите данни.
В САЩ разпоредбите са строги по отношение на спазването. Индия няма еквивалент на Закона за преносимост на здравно осигуряване и отчетност, който беше приет от Конгреса на САЩ през 1996 г. Законът има за цел да защитава и обработва поверителна здравна информация на Америка. Трудно е компаниите, които не отговарят на изискванията на HIPAA, да правят бизнес в САЩ.
Заедно с етичното хакване, тестовете за проникване, оценките на уязвимостта също набират популярност, но често се объркват с тестовете за проникване, казаха експерти.
Препоръчителен член
Ето няколко статии, които ще ви помогнат да получите повече подробности за сертифицираните проби за проникване на етичен хакер VS, така че просто преминете през линка.
- Kali Linux срещу Ubuntu: Предимства
- Linux срещу Ubuntu
- Невероятно ръководство за етическото хакерско определение | Сертифициране | обучение | начинаещи