2023 年助您职业发展的 7 大道德黑客认证

如今，似乎几乎没有一周没有至少一份数据泄露报告。一家商店的信用卡数据可能已被盗。一家健康保险公司可能丢失了他们承保的人的记录。政府丢失了那些获得许可的人的记录，并找到了在活动家网站上发布的本应是私人电子邮件的内容。似乎每个人都需要道德黑客的服务来测试他们的系统。

阅读更多:为什么企业需要道德黑客

公司和政府正在求助于道德黑客，通过在恶意黑客利用漏洞之前发现漏洞来帮助加强安全性。道德黑客是一个不断发展的行业;越来越多的人将他们的技术技能用于娱乐和利润。

本文将涵盖以下主题，帮助您选择最佳的道德黑客认证:

什么是道德黑客?

为什么要成为道德黑客?

道德黑客认证的类型

道德黑客工作

作为道德黑客的自由职业者

什么是道德黑客?

尽管有道德的黑客使用与原则性较差的同行相同的方法来测试和绕过安全防御，但他们会因发现漏洞而受到制裁。他们这样做是为了让公司可以记录发现的内容并尽快修复这些漏洞以提高安全性。道德黑客还提供个人服务，帮助人们恢复可能因各种问题而无法访问的数据、电子邮件和文档。

阅读更多:不同类型的黑客

为什么要成为道德黑客?

在过去的几年中，金融服务行业一直在招聘网络安全专业人员，其速度几乎与政府承包商一样快。自消费者金融保护局成立以来，法规迫使金融机构重新考虑他们管理网络安全的方式——这反过来又为道德黑客开辟了新的就业机会。

道德黑客供不应求，这意味着薪水和福利丰厚。最近对可用职位的审查包括一些世界上最大的金融业公司的列表，包括摩根大通、巴克莱、美国银行和好事达。

要考虑担任道德黑客的工作，大多数雇主都需要道德黑客认证。认证测试确保黑客不仅了解技术，而且了解工作的道德责任。由于许多雇主不具备从技术上评估这些工作的申请人的专业知识，因此认证可以向他们保证候选人是合格的。

阅读更多:2022 年顶级道德黑客工具和软件

但是道德黑客认证有哪些选择?以下是当今最常见和最受欢迎的三种认证。

1. 认证道德黑客

认证道德黑客 ( CEH ) 是所有可用认证选项中最广泛的。CEH 考试旨在通过??讲座和动手实验来测试网络安全专业人员对安全威胁、风险和对策的基本知识。经验丰富的专业人士可以提交至少两年网络安全经验的证明，无需任何培训即可参加考试。

由EC-Council管理，CEH 认证的一个显着优势是灵活性。EC-Council 提供教师指导培训、视频讲座和自学选项。这些选项可在线获得，组织可以选择聘请 EC-Council 培训师进行现场培训。

尽管道德黑客的许多工作清单都特别要求获得 CEH 认证，但它可能并不总是最佳选择。对 CEH 的一个主要批评是，由于强调基于讲座的培训，他们的大多数黑客课程都没有提供足够的实践经验。

2.全球信息保障认证渗透测试仪

全球信息保障认证 ( GIAC ) 计划由 SANS 研究所运营， SANS 研究所是提供网络安全教育的历史最悠久的组织之一。GIAC 提供数十种供应商中立的认证以及需要动手学习的课程。GIAC 课程在线举行。该公司还赞助免费提供给网络安全行业的白皮书。

有多种选择可以获得 GIAC 渗透测试仪 ( GPEN)) 认证，但强烈建议学习者参加 SANS 研究所关于网络渗透测试和道德黑客的 SEC560 课程;它是关于该主题的最全面的课程之一，表明证书持有者已经在理论和实践培训之间取得了良好的平衡。

3. Offensive Security认证专家

Offensive Security Certified Professional ( OSCP ) 是最不知名但技术性最强的认证选项。由营利性 Offensive Security 提供，它被宣传为唯一完全动手的认证计划。Offensive Security为技术专业人员设计了该计划，“以证明他们对渗透测试过程和生命周期有清晰、实用的理解。”

在考虑 OCSP 认证之前，请了解课程作业需要对网络协议、软件开发和系统内部结构有扎实的技术理解，特别是 Kali Linux，这是一个由 Offensive Security 维护的开源项目。大多数参加该培训计划的学生将在线上课;课堂培训仅在拉斯维加斯提供。

OCSP 考试是在具有不同配置的虚拟网络上进行的。考生的任务是研究网络、识别漏洞并在 24 小时内侵入系统以获得管理访问权限。在 24 小时结束时，Offensive Security 认证委??员会必须收到全面的渗透测试报告以供审核。他们将审查报告中的调查结果并决定是否授予认证。4. 认证信息系统安全专家（CISSP）

Certified Information Systems Security Professional也缩写为 CISSP，是一项道德黑客高级认证考试，旨在测试专业人??员在信息安全方面的能力。此外，该认证为允许专业人员管理安全并脱颖而出的企业环境做准备。

CISSP 认证可以专注于三个不同的选项，工程、管理和架构。例如，如果一个人是管理专业毕业的，他或她可以去考取CISSP管理认证。

要求:个人必须在 ICS 批准的 8 个领域中的任何 2 个领域至少有 5 年的经验，ICS 是进行 CISSP 考试的领域。

如何参加 CISSP 考试?具有上述相关经验，破解成功后，即可对企业环境进行网络安全管理的个人可报考。

5. 计算机黑客取证调查员 (CHFI)

Certified Hacking Forensic Investigator（简称CHFI），又称网络世界侦探认证。该认证提供了最重要的功能，例如网络安全调查和一些普通黑客可能会丢失的高级黑客攻击线索。

该认证提供了网络世界中广泛的职业机会以及诱人的薪资待遇。

要求:个人需要计算机硬件和软件系统的高级知识以及与之相关的所有此类策略。

如何参加 CHFI 考试?:个人可以借助 1 到 2 周的培训来准备考试，具体取决于他或她已经掌握的技能。一旦个人在CHFI培训成功后觉得自己已经准备好参加考试，他或她就可以申请了。一旦考试成功，他或她就可以申请政府或私营部门的计算机取证调查专家身份。

6. 注册信息安全经理（CISM）

Certified Information Security Manager，也简称为CISM，是信息安全管理领域最好的认证课程之一，就业机会多。

要求:个人必须在信息安全管理领域拥有至少 3 年的工作经验。如果他或她缺乏一些工作经验或学术上没有涵盖的信息安全管理技能，也可以参加培训计划。

如何参加 CISM 考试?:一旦个人符合技能标准以及他或她在信息安全管理方面的工作经验，他或她就可以申请考试。

7. CompTIA 渗透测试+

CompTIA PenTest+ 是一项认证，可验证候选人在渗透测试和漏洞管理方面的技能。认证考试涵盖评估规划、信息收集、漏洞分析、攻击方法和渗透测试工具等主题。

获得 CompTIA PenTest+ 认证的考生将具备进行有效渗透测试和漏洞评估、识别和利用漏洞并帮助组织修复漏洞的技能和知识。

道德黑客工作

大多数公司购买专门从事安全合规性和测试的网络安全公司的服务。这些公司聘请专业人员调查违规的根本原因、执行渗透测试、提交调查结果报告并提供建议的缓解措施。网络安全公司积累人才并向行业推销自己。

这些网络安全服务公司中有许多是由企业家创办的小公司。在小公司工作的好处是他们可以在接受的工作类型上更有野心。有兴趣为这些公司工作的人可以查看Indeed、Glassdoor和LinkedIn 等招聘网站。

另一种寻找道德黑客工作的途径是与与联邦政府签约的公司合作。自从人事管理办公室发生数据泄露事件以来，行政分支机构就被要求对其系统进行独立的安全评估。主要在华盛顿特区大都市区的承包商很难找到和雇用合格的、有道德的黑客。

在浏览工作网站时，华盛顿特区地区的列表读起来就像是最引人注目的政府承包商的点名。如果您喜欢为这些大型承包商之一工作，那么洛克希德马丁、诺斯罗普格鲁曼、CACI、博思艾伦汉密尔顿、德勤、BAE Systems和许多其他公司几乎总是可以提供道德黑客或渗透测试工作。

在寻找与联邦政府相关的网络安全工作时，您可能需要有效的安全许可或有资格获得批准的能力。政府安全许可要求员工成为美国公民并接受背景调查。希望从事公共服务事业的经过认证的道德黑客可以直接为联邦政府工作。联邦调查局、国土安全部、情报机构和国防部等机构都使用道德黑客来完成各种任务。要了解有关直接为联邦政府工作的更多信息，请访问 usajobs.gov 查找更多信息。

如果为政府工作不是优先事项，请考虑大型网络服务提供商，如 Amazon Web Services 和 Verizon。将网络访问作为他们的主要业务，云和其他服务提供商有他们内部的道德黑客来帮助维护安全。常见问题

1. 哪个证书最适合道德黑客?

这个问题没有千篇一律的答案，因为最佳的道德黑客认证将根据您的具体目标和兴趣而有所不同。但是，该领域的一些流行证书包括认证道德黑客 (CEH) 和攻击性安全认证专家 (OSCP)。如果您真的想成为一名道德黑客，那么这些证书中的任何一个都是不错的选择。

2. OSCP 比 CEH 好吗?

这两个证书在道德黑客社区中都受到高度尊重，并将为您提供在该领域取得成功所需的技能和知识。CEH 是一个更通用的认证，而 OSCP 更侧重于实用的黑客技能。

3. 道德黑客资格可以从哪些角色中获益?

道德黑客认证或资格可以使组织内的许多不同角色受益。

它们有助于提高系统和网络的安全性，也可用于测试系统抵御恶意攻击的弹性。

此外，道德黑客资格还有助于教育员工了解网络安全的重要性以及粗心的在线行为所涉及的潜在风险。最终，道德黑客资格有助于创建一个更安全、更警惕的组织，从而更好地应对不断变化的网络威胁格局。

4. CEH 够找工作吗?

拥有经认证的道德黑客 (CEH) 认证当然可以提升您的工作申请，因为它表明您对道德黑客的承诺以及您愿意与最新的黑客技术保持同步。此外，许多雇主看重 CEH 持有者，因为他们有能力像黑客一样思考并识别系统中潜在的安全漏洞。

5、CEH认证工资是多少?

尽管该领域的大多数职位都不需要认证道德黑客 (CEH) 证书，但它可以帮助找到工作。CEH 是全球公认的证书，证明了一个人识别、评估和减轻组织网络和系统风险的能力。获得 CEH 可以帮助求职者在竞争中脱颖而出，并向潜在雇主表明他们拥有保护其系统的技能和知识。

作为道德黑客的自由职业者

想要制定时间表或从事各种项目的道德黑客可能会决定成为自由职业者。作为自由职业者，道德黑客将不得不处理自己的合同，支持自己的业务，管理自己的利益——并且可以灵活地在他们想要的时间和地点工作。

对于寻找需要他们服务的人的专业人士来说，在社交网站上寻找合同工作变得更加舒适。Neighborhood Hacker和Ethical Hacker Search Engine等两个网站允许具有认证的道德黑客宣传他们的服务——而那些寻找他们的服务的人则可以找到专业人士。这两个站点都作为经纪人响应并帮助管理道德黑客和客户之间的纠纷。

更通用的独立自由顾问网站也是寻找客户的绝佳来源。查找此内容的两个顶级网站是UpWork和Freelancer.com。这些站点将工作列表与项目管理工具相结合，供客户和道德黑客管理关系。

结论

数据泄露的成本正在上升。2018 年，价格上涨了惊人的 6.4%，平均每次违规造成 386 万美元的损失。发现数据泄露平均需要 196 天，因此对经过认证的道德黑客的需求呈指数级增长。对于经过认证的道德黑客专业人士来说，机会并不缺乏，但认证、技能和扎实的道德操守对于任何希望建立成功职业生涯的人来说都是关键。关于作者，斯科特·巴曼 CISSP 的 Scott Barman 是华盛顿特区的一名信息安全专家。凭借超过 35 年的行业经验，他在过去的 20 年里一直与…….。