一般来说,道德黑客是网络安全专家和想要攻击系统的人之间军备竞赛中的一名士兵。 但除此之外还有更多。 在较早的一篇文章中,我们将其视为一个新兴行业,从那时起对道德黑客的需求只增不减。
那么,让我们来探讨一下这在实践中是如何运作的,趋势是什么,以及道德黑客的工作正在发生什么变化。
黑客的类型和特别是道德黑客
首先,许多专家描述了三种类型的黑客:
白帽子。 白帽黑客代表运行或拥有这些系统的人攻击系统。 换句话说,他们正试图使用黑客技术来找到他们可以修复的漏洞,将恶意黑客拒之门外,并防止某些类型的系统损坏或妥协。
灰色帽子。 灰帽子有点存在于整个冲突的中间。 他们通常被描述为雇佣兵,为任何激励他们的人工作。 灰帽子可能会在作为安全专家和作为独立的独狼行动或犯罪团伙中的恶意黑客之间摇摆不定。
黑帽子。 黑帽子是恶意黑客,他们试图攻击系统以获取利润或其他动机。 他们通常寻求破坏公司或政府系统或其他网络。 有些是心怀不满的前雇员,有些则是网络犯罪分子。 都是主动威胁!
更详细地看一下,道德黑客的角色与恶意黑客的角色主要在意图上有所不同。 如果您受雇于某个拥有系统的人并试图破坏它,那么您就是一名道德黑客,在一份相当明确和标准的合同下工作。
但问题是,意图有时在旁观者的眼中。 没有合同怎么办? 当有人入侵系统时,执法部门如何知道他们这样做是合乎道德的? 如果没有文件和协议,他们可能不会。
这导致最近出现了一种趋势,即为道德黑客提供更好的法律保护,人们必须确信他们不会因合法的道德黑客活动而受到起诉。
近来,当大量金融价值在 Internet 上流动时,确定道德黑客的工作角色并激励人们以合乎道德的方式行事就显得尤为重要。
加密时代的道德黑客
虽然你不能“破解区块链”本身,但有大量与区块链相邻的黑客可以窃取加密货币并窃取有价值的数字资产。 正如批评者经常指出的那样,欺诈的机会比比皆是。 因此,包括道德黑客在内的网络安全人员需要在他们的游戏中处于领先地位。
2022 年 11 月发表的一篇 Coindesk 文章指出了 Nomad 中一个臭名昭著的漏洞,Nomad 是一种用于在不同区块链之间传输代币的桥接协议。 世界各地的黑客分享了如何对 Nomad 进行攻击的说明,这很快导致了 1.9 亿美元的损失。
作为回应,Nomad 让一些黑客从怀疑中获益,并发布了一条推文,要求其“白帽和道德研究员”朋友将被盗的加密货币返还到特定钱包地址。
当返还 3260 万美元时,它引发了围绕激励白帽黑客的话题的大量讨论。 (另请阅读:Cryptomining 恶意软件如何主导网络安全。)
道德黑客的趋势
如前所述,道德黑客的一些趋势涉及对白帽专业人员的激励和更好的执法支持。
随着网络安全对现代企业越来越重要,还有更多公司希望聘请经过认证的道德黑客来保护他们的系统。 根据 Salary.com 的数据,美国的道德黑客平均每年赚取约 100,000 美元。
道德黑客与渗透测试
作为专业角色的道德黑客与称为渗透测试(笔测试)的更具体过程之间存在有趣的对比。 尽管这两个术语相似,但还是有一些主要区别。 一种思考方式是,渗透测试是一种用于道德黑客攻击的技术。
渗透测试仅关注为保护网络而进行的测试。 测试人员不需要很多综合知识或对一般报告的敏锐度。 (另请阅读:NIST 渗透测试初学者指南。)
另一方面,道德黑客需要是一种具有更广泛影响力的全栈专业人士。 我们敢说,他们需要拥有“10 倍技能”,成为专业劳动世界中的“独角兽”。
结论
随着网络安全成为全球组织更加关注的问题,对道德黑客的需求只会增长。
虽然此工作角色所涉及的具体细节可能因职位和公司而异,但总的来说,道德黑客涉及试图闯入组织的系统,以便在恶意黑客利用它们之前修复漏洞。
