Термін «хакер» не завжди мав негативний відтінок, але він виник через роки висвітлення новин про зловмисних осіб і групи, які ідентифікують себе як хакери. Незважаючи на те, наскільки парадоксальним може здаватись термін «етичний хакер», посвідчення сертифікованого етичного хакера — це не жарт.
Сертифікований етичний хакер (CEH) — це комп’ютерна сертифікація, яка вказує на знання безпека мережі, особливо у запобіганні зловмисним хакерським атакам за допомогою превентивних контрзаходів.
Хоча зловмисне хакерство є злочином у США та більшості інших країн, виявлення та переслідування таких цифрових злочинців вимагає, щоб інші програмісти були навчені тим самим технічним навичкам, якими володіє злочинці.
Про CEH
The CEH credential — це нейтральна щодо постачальника сертифікація для професіоналів з інформаційних технологій, які хочуть спеціалізуватися на виявленні та блокуванні зловмисних хакерів.
Ще до того, як облікові дані було введено, приватні фірми та державні установи наймали реформованих зловмисних хакерів, оскільки вважали, що це найкращий спосіб захисту їхніх мереж. Сертифікат CEH робить це ще далі, вимагаючи від одержувачів письмової згоди на дотримання закону та етичного кодексу.
Акредитацію спонсорує Міжнародна рада консультантів з електронної комерції (EC-Council), професійна організація, яка підтримується членами. Його мета полягає в тому, щоб встановити та підтримувати стандарти та облікові дані для етичного хакерства як професії, а також навчати ІТ-фахівців і громадськість щодо ролі та цінності таких спеціалістів.
На додаток до сертифікації CEH, Рада ЄС пропонує кілька інших сертифікатів, які стосуються роботи в сфері мережевої безпеки, а також для безпечного програмування, електронного бізнесу та комп'ютерна криміналістика робочих місць. Рівні кваліфікації сертифікації варіюються від початкового рівня до консультанта (незалежного підрядника).
Як стати CEH
Студенти, які мають щонайменше два роки досвіду роботи в сфері безпеки, можуть подати заявку на схвалення для складання іспиту EC-Council. Ті, хто не має дворічного досвіду, повинні будуть відвідувати навчання в акредитованому (і схваленому Радою ЄС) навчальному центрі, онлайн-програмі або академічній установі. Ці вимоги готують абітурієнтів до іспиту та допомагають відсіювати зловмисних хакерів і любителів.
Станом на 2018 рік ціна п’ятиденного сертифікаційного курсу становила 850 доларів США. Реєстраційний внесок для тих, хто бажав пройти навчальний курс становив 100 доларів, а ціна ваучера на іспит – 950 доларів.
Курс
The Програма навчання CEH готує студентів до складання іспиту CEH 312-50. Він складається з 18 модулів, що охоплюють 270 технологій атак, і імітує реальні сценарії в 140 лабораторіях. Курс проводиться за інтенсивним п’ятиденним графіком із навчанням по вісім годин на день.
Мета програми — підготувати студентів до іспиту та дати їм уявлення про сценарії, з якими вони можуть зіткнутися в кар’єрі спеціаліста з ІТ-безпеки.
Екзамен
Іспит 312-50 триває чотири години, складається зі 125 запитань із варіантами відповідей і перевіряє кандидатів на CEH за такими 18 напрямками:
- Вступ до етичного хакерства
- Сліди та розвідка
- Сканування мереж
- Перерахування
- Злом системи
- Загрози зловмисного програмного забезпечення
- Обнюхування
- Соціальна інженерія
- Відмова в обслуговуванні
- Перехоплення сесії
- Злом веб-серверів
- Злом веб-додатків
- SQL ін'єкція
- Злом бездротових мереж
- Злом мобільних платформ
- Уникнення IDS, брандмауерів і приманок
- Хмарні обчислення
- Криптографія
Перспектива роботи
ІТ-безпека є сферою, яка швидко розвивається, і Бюро статистики праці США (BLS) прогнозує зростання кількості робочих місць на 28% протягом десятиліття, що закінчується в 2026 році. Це набагато більше, ніж прогнозоване зростання кількості робочих місць на 7% для всіх професій разом узятих. За даними BLS, середня річна заробітна плата для аналітиків ІТ-безпеки в 2017 році становила близько 95 000 доларів США.
Більшість вакансій, які обіймають професіонали з атестацією CEH, піддають кандидатам перевірку репутації та суворі розслідування з питань безпеки персоналу. У державних установах або приватних фірмах, які мають державні контракти, ймовірно, знадобляться допуски безпеки.
Пошук Дійсно показує, що багато вакансій служби безпеки вимагають або рекомендують облікові дані CEH, і що ті кандидати, які їх мають, будуть більш затребуваними для потенційних роботодавців.
Історії успіху
Етичне хакерство зазвичай заохочується найбільшими технологічними компаніями на ринку, які відзначають і винагороджують хакерів, які роблять їхні платформи сильнішими. Такі компанії, як Apple, Google і Amazon, мають історію домагань CEH порушити відповідні заходи безпеки, щоб допомагати компаніям знаходити вразливі місця в безпеці та покращувати їхні продукти (одночасно пропонуючи грошову винагороду кожному, хто знайде слабкість).
У 2016 році Nimbus Hosting перерахував деякі з найвідоміших історій успіху етичних хакерів. Серед них є приклади команди безпеки, яка пропонує винагороду кожному, хто зможе заволодіти iPhone або iPad та анонімний хакер під ім’ям Пінкі Пай, який допоміг виявити помилку в Google Chrome. Не всі ці приклади стосуються професіоналів, які пройшли сертифікацію CEH, але вони демонструють цінність, яку компанії приділяють надійним хакерам як способу зміцнення безпеки мережі.
