Образование, знание, мотивация: Пътят на етичния хакер

Какво е етичен хакер? Лесно ли се става такъв и какви са изискванията към този тип специалисти по киберсигурност? Нужни ли са сертификати и висше образование за тепърва прохождащите на това поле? Какво е offensive security?

На тези и още много други въпроси по темата отговори по време на КиберКоледа ’24 Аспарух Гаврилов, председател на Националния Кибер Отбор на България и ръководител на екип от етични хакери в PwC.

Какво е етичен хакер?

Често хабитатът на етичния хакер се представя като тъмна, затворена стая, пълна с блестящи екрани. В нея стои човек с качулка и се взира във въпросните монитори. Всъщност това не е така. Или поне не е точно така.

За да ви стане напълно ясно какво представляват този тип специалисти по киберсигурност, трябва да сте наясно с един друг термин – offensive security. Най-просто казано, докато повечето организации се защитават от атаки реактивно, идеята на offensive security е да даде възможност за проактивна защита. Това се случва чрез симулации на атаки в реално време, което помага на бизнеса да разбере къде има пропуски в киберсигурността.

„Етичните хакери са хора, които имат едни определени качества – аналитично мислене, интерес за разрешаване на проблеми и способността да събират много части и да виждат цялата картинка“, обясни Аспарух Гаврилов. „Те са много специални, защото са най-близкото нещо, до което една организация може да се докосне, за да разбере как хакерите биха оперирали в нейната среда. Това са хората, които знаят как един бизнес може да бъде хакнат и как да се защити“.

Пътят на етичния хакер

Ако преди време етичното хакерство беше нещо екстравагантно и нямаше достъпна информация за него, то днес нещата са съвсем различни.

„В момента тя е навсякъде в онлайн пространството и всеки може да се докосне до нея и да черпи нови знания ежедневно. В моя личен опит съм използвал редица платформи като Hack the Box, Try Hack Me и т.н. Те са достъпни абсолютно безплатно“, акцентира председателят на Националния Кибер Отбор на България, и даде няколко съвета към хората, които искат да последват неговия път:

• Участвайте в bug bounty програми и Capture the Flag събития. Те развиват креативността, въображението и хакерското мислене;
• Вниквайте в нещата. Когато правите нещо на копирайте просто една команда, незнаейки какво се случва. Опитвайте се да разберете как функционира системата;
• Бъдете ангажирани. Следете ежедневно какво се случва в сферата на киберсигурността. Включвайте се в конференции като Кибер Коледа, Cyber Security Talks и BSides;
• Намерете си общност от съмишленици, с които да обсъждате темата киберсигурност и етичното хакерство;
• Поинтересувайте се за националния отбор по киберсигурност на България. Разберете кога са квалификациите догодина, защото това е уникална възможност за хора между 14 и 25 години за трамплин в сферата на киберсигурността.

„Напоследък малко се пренебрегва висшето образование, което е грешка. В него, освен придобиването на технически знания, има и много други практически умения. Това са управление на времето, спазване на срокове, писане на доклади и т.н.“, добави Аспарух Гаврилов. „Ние, като етични хакери, поемаме ангажимент към клиента, че дадена работа ще се свърши в определен срок. Освен това никой не го интересува колко е добър един етичен хакер, ако той не може да опише работата, която е извършил“.

По думите му специалистите, които тепърва започват да се развиват на това поле, първо трябва да придобият определени умения и чак тогава да мислят за сетрификати. Но друго нещо е изключително важно:

„Не се плашете, че не знаете. Бъдете любопитни и не спирайте да учите“.