Этичный хакер
Что такое Этичный хакер?
Этичный хакерСпециалист по безопасности, уполномоченный применять наступательные техники против систем, чтобы выявлять слабости и помогать владельцам устранять их до эксплуатации злоумышленниками.
Этичный хакер применяет адверсариальное мышление и наступательный инструментарий в чётко определённых юридических и договорных рамках. Работая пентестером, red teamer, инженером AppSec или охотником за багами, он подписывает контракты, соблюдает rules of engagement, уважает законы о защите данных и сообщает о находках через скоординированное раскрытие. Этичные хакеры часто имеют сертификаты OSCP, OSEP, CRTO, CISSP, GPEN, CEH и придерживаются кодексов поведения организаций (ISC)2, EC-Council, OffSec. Термин во многом совпадает с white hat, но подчёркивает формальный, наёмный и подотчётный характер деятельности.
● Примеры
- 01
Этичный хакер проводит санкционированную задачу red team, чтобы оценить возможности детектирования и реагирования.
- 02
Исследователь bug bounty сдаёт обход аутентификации в рамках программы вендора с условием safe harbor.
● Частые вопросы
Что такое Этичный хакер?
Специалист по безопасности, уполномоченный применять наступательные техники против систем, чтобы выявлять слабости и помогать владельцам устранять их до эксплуатации злоумышленниками. Относится к категории Защита и операции в кибербезопасности.
Что означает Этичный хакер?
Специалист по безопасности, уполномоченный применять наступательные техники против систем, чтобы выявлять слабости и помогать владельцам устранять их до эксплуатации злоумышленниками.
Как работает Этичный хакер?
Этичный хакер применяет адверсариальное мышление и наступательный инструментарий в чётко определённых юридических и договорных рамках. Работая пентестером, red teamer, инженером AppSec или охотником за багами, он подписывает контракты, соблюдает rules of engagement, уважает законы о защите данных и сообщает о находках через скоординированное раскрытие. Этичные хакеры часто имеют сертификаты OSCP, OSEP, CRTO, CISSP, GPEN, CEH и придерживаются кодексов поведения организаций (ISC)2, EC-Council, OffSec. Термин во многом совпадает с white hat, но подчёркивает формальный, наёмный и подотчётный характер деятельности.
Как защититься от Этичный хакер?
Защита от Этичный хакер обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Этичный хакер?
Распространённые альтернативные названия: Белый хакер, Пентестер.
● Связанные термины
- defense-ops№ 1234
Белый хакер
Специалист по безопасности, применяющий наступательные навыки только с явного разрешения, чтобы находить и сообщать об уязвимостях для их исправления защитниками.
- defense-ops№ 813
Тестирование на проникновение
Санкционированная имитация кибератаки на системы, приложения или людей с целью выявить эксплуатируемые слабости до того, как это сделают реальные злоумышленники.
- defense-ops№ 909
Red Team
Наступательная команда безопасности, имитирующая реальных противников полного цикла, чтобы оценить, как организация обнаруживает, сдерживает и реагирует на атаки.
- attacks№ 133
Программа Bug Bounty
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
- attacks№ 221
Скоординированное раскрытие уязвимостей (CVD)
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
- roles№ 812
Пентестер
Уполномоченный специалист по наступательной безопасности, имитирующий реальные атаки на системы, приложения или людей, чтобы найти эксплуатируемые уязвимости раньше противников.
● См. также
- № 457Хакер
- № 451Серый хакер