Профессия «белого хакера»: как им стать и какие ещё бывают хакеры
Профессия «белого хакера»: как им стать и какие ещё бывают хакеры
Рассказываем, чем занимается «белый хакер», как им стать и какие карьерные и финансовые перспективы есть у таких специалистов.
По данным исследования компании Positive Technologies, в III квартале 2024 года количество кибератак в мире увеличилось на 15% по сравнению с III кварталом 2023 года. В широком смысле все хакеры вне зависимости от их «цветовой дифференциации», в том числе и «белые», занимаются взломами.
При этом важно понимать, что хакерство — это очень широкое понятие, которое не ограничивается взломами исключительно веб-приложений и сервисов, о которых говорят чаще всего. В современном мире взламывают сотовые сети, радиоканалы, умные дома и физические объекты, например ноутбуки, банкоматы и даже электрокары.
Белым хакером называют специалиста, который использует свои навыки и знания для защиты систем от различных угроз. Белые хакеры работают легально и с разрешения владельцев систем: проводят тесты на проникновение, находят и анализируют уязвимости и помогают налаживать и поддерживать безопасность информационной инфраструктуры. Определение «белый» подчёркивает чистоту намерений и добропорядочность.
Компания Positive Technologies организует специальное мероприятие для хакеров — Positive Hack Days. В прошлые годы одним из конкурсов как раз был взлом электрокара. В 2025 году Positive Hack Days пройдут 22–24 мая в Москве в формате международного киберфестиваля.
В противовес белым существуют чёрные хакеры, то есть те специалисты, которые действуют без разрешения, исключительно ради своего профита и наносят урон инфраструктуре компаний или отдельным людям.
Серые хакеры — это специалисты, которые работают между полюсами добра и зла. Они могут попеременно выступать в роли то чёрных, то белых хакеров. Например, это может быть чёрный хакер, который взламывает систему ради некой идеи, а не банального профита. Или белый хакер, который изначально не имеет намерения навредить, но, устав в течение длительного времени официальным путём добиваться закрытия какой-то уязвимости в системе компании, выкладывает её в общий доступ. Но не будем дальше углубляться в этические коллизии.
В 2000-е годы хакерами, как правило, становились хорошие разработчики и администраторы баз данных. В те времена нужные навыки невозможно было получить в университете, приходилось заниматься самообразованием. Сейчас ситуация проще: высшие учебные заведения включают в свои программы необходимые хакерам инструменты и модули «Основы информационной безопасности».
Но университетам по-прежнему тяжело успевать за актуальностью знаний, поэтому на выручку приходят онлайн-курсы продолжительностью несколько месяцев. Учебный процесс объединяет теорию и практику, а в финале слушатели получают не только диплом о профессиональной переподготовке, но и портфолио из нескольких проектов.
Научиться взламывать веб-приложения и освоить востребованную профессию помогает шестимесячный курс «Специалист по информационной безопасности: веб-пентест». Он подойдёт для специалистов с минимальным опытом: студентов техвузов, начинающих пентестеров, системных администраторов и автоматизаторов тестирования. Пройдите бесплатный тест, чтобы понять, достаточно ли имеющихся знаний для прохождения курса.
Ответ на этот вопрос прост: с ведома и согласия компании пытается взломать некую систему и найти в ней уязвимости. Для этого он в первую очередь проводит тестирование на проникновение. Но часто методы взлома также заранее определены и согласованы, то есть, условно говоря, компания и хакер заранее договариваются: «Ты можешь попробовать нас взломать, но только так-то и так-то».
Обычно так устроено взаимодействие в рамках программ Bug Bounty: компания выплачивает вознаграждение сторонним специалистам за поиск и обнаружение уязвимостей в системе безопасности.
Как правило, сумма вознаграждения зависит от критичности найденной уязвимости. В программе Bug Bounty Минцифры низкие оцениваются до 30 тыс. рублей, высокие — до 300 тыс. рублей, критические — до 1 млн рублей. Источник: gosuslugi
Также белые хакеры создают отчёты о найденных уязвимостях и готовят рекомендации по их устранению. Работающие по трудовому договору могут проводить аудит систем и обучать других сотрудников компании принципам информационной безопасности.
Обязанности специалистов по информационной безопасности и белых хакеров часто совпадают. Источник: hh.ru
Зарплата белых хакеров зависит от того, к какой категории они относятся и какими методами предпочитают зарабатывать.
Кажется, что это прибыльная ниша, но огромные премии скорее единичные случаи, и нужно учитывать, сколько времени специалист потратил, чтобы получить награду. Миллион за критическую уязвимость, на поиск которой ушло 6–8 месяцев, вряд ли можно считать постоянным и стабильным заработком.
Точно определить, сколько в среднем зарабатывают такие специалисты, не представляется возможным.
По данным сервиса «Работа.ру», средняя зарплата таких специалистов составляет 57 тыс. рублей, максимальная — 183 тыс. рублей.
Зарплата таких специалистов примерно близка к уровню разработчиков-сеньоров: в зависимости от региона и компании это в среднем 300–400 тыс. рублей.
Белый хакер — это в первую очередь классный разработчик и девопс. Проще всего такому специалисту перейти в эти смежные области. Другой путь — продвигаться по карьерному треку СИБА, то есть специализированных отделов информационной безопасности. Они есть в крупных компаниях, и там действительно требуются высококвалифицированные сотрудники. Но чтобы попасть в такую компанию и расти в ней, потребуются опыт и портфолио.
В направлении информационной безопасности сильная гибкость в плане горизонтальной карьеры, а специалисты часто переходят из одной дисциплины в другую. Вертикальный рост тоже есть: можно начать карьеру как джуниор-специалист по веб-пентесту, расти по грейдам, а после стать руководителем и возглавить команду.
Совет эксперта
Читать также: