你偶尔会听说一些主要的安全漏洞在被利用之前就被发现了，比如去年臭名昭著的Heartbleed bug。安全研究人员努力清除这些危险的缺陷，以免被恶意黑客发现。这种先发制人的黑客行为有时被称为“白帽”，或者简称为“道德黑客”

这些黑客与企业合作，调查他们的网络是否存在安全漏洞、社会工程漏洞等，同时考虑可能有犯罪动机的人的心态。为了了解这样的工作是什么样的，我们采访了Parameter Security的道德黑客Ben Miller。

首先，告诉我们你目前的职位以及你在这个职位上工作了多久。

我是Parameter Security的“道德黑客”，这意味着公司基本上**我来尝试入侵他们的计算机网络，以找出真正的罪犯会如何做到这一点。这个行业的人用各种各样的伎俩偷偷摸摸的，你可以用黑客的方式进来，通过电话或电子邮件欺骗员工，用模仿的方式进来，真的没关系。我从来没有遇到过不能妥协的生意。我已经进入了很多公司和组织，从银行到医院，财富500强，**商，城市公用事业，**机构，你能想到的。

在过去的五年里，我一直从事全职黑客工作，这确实是任何人都能从事的最有趣、最具挑战性的工作之一。这也是令人难以置信的回报，因为我知道我正在帮助保护公司和机构免受恶意黑客的攻击，否则他们将无法阻止他们入侵。

是什么驱使你选择职业道路？

我从小就知道我对电脑感兴趣。我在密苏里州东北部的一个农场长大，虽然我很早就学会了努力工作、坚持和制定自己目标的价值，但我小时候也意识到，我不想每天在农场干得又脏又血腥地回家。幸运的是，我上小学的时候，我有见地的父亲买了一台家用电脑。它是IBM Compatible 286处理器系统。我在Windows3.1和MSDOS上学习了一些巧妙的技巧，比如删除整个文件结构的“DELTREE”，以及如何改变背景的颜色。我很喜欢在我的初中教非破坏性的技巧，很快我就被学校录取，帮助老师解决他们的电脑问题。

然而，直到我看到电影《运动鞋》，我才意识到我对电脑的兴趣有多大的潜力。说真的，那部电影对我有很大的影响，我敢打赌这个领域的其他人，他们在同一时间，可能也有这种感觉。这是我第一次看到道德黑客的世界，我马上就被它吸引住了。看到罗伯特·雷德福德用社会工程学完成了这些不可思议的壮举，而“惠斯勒”的方式从来没有被障碍吓倒，而是仅仅用技术和逻辑来克服障碍，这给我留下了深刻的印象。我一直被科技所吸引，但看到它的潜力，也许还有“酷”的因素，以及它如何被用来在世界上做好事，这让我非常兴奋。

各种各样的人都被道德黑客所吸引，有着各种各样的背景和动机，但我认为最终这些人中的大多数人只是被早期的技术所吸引，这是一种挑战和创造性的思考，想办法绕过一个软件控件，或者让一个程序做一些全新的事情，不断地推动他们在这方面走得越来越远，直到它成为一种职业。

你是怎么找到工作的？你需要什么样的教育和经验？

道德黑客不是一种常规的工作。你不需要有大学文凭或证书来做这件事。你所需要的只是对计算机、软件和编程语言、创造力和驱动力有很好的了解。

就我而言，我在1999年上了大学，并获得了计算机系统和网络学位。不幸的是，网络泡沫在我毕业后就破灭了，所以我很难在这个领域找到一份好工作。最后我回到大学学习宗教，直到2006年，我的一个朋友告诉我县医院有一个网络管理员的职位空缺。在那里工作期间，我花了大量时间确保医院的网络符合HIPAA标准，这样就不会暴露患者数据，也不会受到黑客的攻击，黑客会试图窃取这些数据。我知道，如果我要把罪犯关在医院外面，我就必须学会他们的伎俩和他们是如何运作的，所以我参加了当地一家公司提供的“认证道德黑客”课程。这门课是我未来的老板教的，主要是关于犯罪黑客的思维方式和技术，它基本上教会了你如何像犯罪黑客一样思考。第二天之后，我知道这是我想做的全职工作，一年后，我的道德黑客教练（Dave Chronister）聘用了我，因为我已经在这个领域证明了自己。

你需要执照或证书吗？

你不必有任何认证，是一个道德黑客，但它总是一个好主意得到他们，因为它证明了你的知识和经验，在关键领域。有几十种证书，他们是否值得你的职业生涯在很大程度上取决于什么类型的企业你想工作。在你花钱之前先研究一下证书或课程！然而，如果你为客户做法医调查，大多数州都需要私家侦探执照。

解决问题、坚持和良好的沟通能力都是这份工作的关键特征。

除了大多数人所看到的，你还做什么？你大部分时间都在做什么？

我深入了解了关键网络（比如银行、医院、公用事业公司、大公司）的内部情况，并了解了如果正确的攻击者以它们为目标，它们到底有多脆弱。这有点像看到香肠是如何**的，因为你看到这些非常重要的系统通常运行在较旧的软件和硬件上，或者它们有尚未修补的易受攻击的程序，或者它们连接到不应该连接的东西，或者默认密码保留在原位。整个网络，可能是保护你的钱或个人记录，或帮助保持灯和水的运行，是一个有问题的系统拼凑而成，并不像我们想的那么难利用。

我也在Twitter上看到或听到攻击，早在它们出现在新闻之前。

我的大部分时间都花在探测或扫描网络、寻找漏洞等方面，但也同样花在与客户沟通以及在书面报告中记录我所做的事情上。我告诉黑客学生和新员工，“作为一名黑客，你写的报告会比你在学校写的更多！”可交付的报告是约定的一部分，客户将保留并能够在您个人护理中的“温暖模糊”消失后考虑很久。它需要同样好。

但是客户几乎可以看到我们所做的每一件事，这是一个非常开放的过程，因此他们可以从我们的角度学习和看到他们的网络。他们唯一错过的是凌晨2点我的脸上的表情，当时我终于在观看它如何重播的时候完成了一个漏洞。

人们对你的工作常有哪些误解？

可能最重要的是人们认为“黑客”这个词总是指罪犯或恶意的人。黑客基本上是喜欢修补工具和软件、找出解决问题的方法或为使用技术开辟新的可能性的人。那些为了偷钱或伤害他人而这样做的人只是罪犯。我们不应该称自己为“道德”黑客我们应该强调坏人是“犯罪黑客”

人们也看到我们模拟的攻击，觉得我们在表演魔术。黑客明白一个重要的事实：计算机只做他们被告知的事情，而且很多时候用户所采取的行动并不符合他们的最佳利益。无论他们运行的软件编码不正确，还是他们点击一封向他们承诺的电子邮件，用户（包括IT人员！）他们常常不知道自己最后做了什么可怕的事情。

另一个误解是“所有的渗透测试都是一样的”。不幸的是，在信息安全这样一个年轻而又充满神秘色彩的行业，人们对渗透测试（即对一家公司进行的道德黑客测试）应该包括哪些内容缺乏了解。像Pentest-Standard.org这样的努力，至少是想让业务和IT人员了解从一家知识渊博的公司获得良好的渗透测试会带来什么。

什么是你的平均工作时间(your average work hours)？

这取决于你在做什么。如果你被雇来做一个公司的渗透测试，那么你可能每天工作8到10个小时，工作时间可能在2到10周之间。然而，如果你正在使用一个软件，寻找漏洞，那么这真的取决于你。我从来没有坐在办公桌前问过“我什么时候可以回家？”更常见的是我妻子提醒我睡眠是一件好事，我可能在至少小睡一次之后就能完成我正在做的任何事情。

然而，如果你被要求帮助一家公司从违规行为中恢复（我们称之为“事件响应”），那么所有的赌注都被取消了。当你处于危机状态时，你可以很容易地通宵达旦地阻止攻击的进展，控制损失，并找出如何让公司重回正轨。

哪些个人小贴士和捷径让你的工作更轻松？

要经常听和读。你可能知道一个很好的方法去做某事，但是其他人可能知道另一个更快或更容易的方法。记录下你在做什么，为什么做，什么时候做，这样当出现问题时你就可以知道发生了什么。把你的头撞在墙上，你应该早点绕过去，这是一个巨大的时间浪费。

另外，正如我的老板喜欢说的，我也学到了：“从来没有一个客户因为你跟他们说太多而生气。”在将近五年的时间里，我只有一个客户说我在他们的网络上工作时，不需要每天打电话或发邮件。人们喜欢知道发生了什么，即使发生的是，“我们正在梳理工具输出，寻找要打破的东西。”

你与同事或同行有什么不同？他们会怎么做？

不幸的是，在这个领域有很多公司认为道德黑客基本上只是扫描网络上的漏洞。这种思维方式的问题在于，它并没有真正向客户展示全貌。好吧，我知道这个程序和这个程序都很脆弱，但这到底是什么意思？攻击者可以如何处理此漏洞？他们能走多远？

在我们公司，我们非常注重目标。我们看到了一个道德黑客测试，测试的是该机构在现实世界中的后果，即攻击者想做什么（窃取您的数据、执行非法电汇、干扰基于计算机的机器等），以及他们怎么做？当我们在网络中发现漏洞时，我们会考虑这些漏洞的实际后果，你必须有创造性地看到安全漏洞的全部潜力，并将所有的部分放在一起，以找出罪犯将如何完成数据或金融盗窃。

工作中最糟糕的部分是什么？你怎么处理？

最糟糕的是当你的客户不想知道他们有多脆弱的时候。有时这是因为他们对此漠不关心（许多公司仍然认为，在公司被破坏后解决问题比提前把钱花在更好的安全上更便宜），但更多的时候这是基于恐惧。有点像当你的车开始发出奇怪的噪音，但你不想把它带到汽车店，因为你害怕它会花多少钱。尽管在很多情况下，成本并不是他们唯一担心的事情，但你面对的是一位高级IT主管，他或她的职业生涯让他/她感到担忧；如果报告显示问题太多，就会让他或她看起来很糟糕。

处理这方面工作的唯一方法就是持之以恒，尽力而为，不要拖延渗透测试，并尽可能清楚地报告公司的薄弱环节以及这可能意味着什么。最后，客户应该采取正确的措施来保护自己和客户，你只需要希望他们会这样做。

工作中最令人愉快的部分是什么？

这可能是最难回答的问题。老实说，当我知道我所做的一切都是非法的，除了一份法律文件上写着我可以不惹麻烦地做这件事之外，我感到很兴奋。我以前工作的地方最喜欢的一句恭维话是：“你想得像个罪犯！”(他们的意思不是恭维。）

我和很棒的人一起工作，做有趣的工作，努力工作。我们一起学习，一起大笑！当我妻子和我有了第三个儿子时，他们买了婴儿用品和超级英雄紧身衣。

我改变了企业的安全心态，最终也改变了成千上万人的生活，这也是相当值得的。工资也远比我想象的好，回到我看运动鞋的时候。

你对那些需要你服务的人有什么建议吗？

是的，别指望我是超级英雄。通常，客户认为，当他们雇用你时，你会清理一切，解决他们所有的问题，使他们100%安全。没有什么是100%安全的。根本不是这样的。客户必须实事求是这类工作的目标是弄清楚你的公司拥有哪些最关键的资产以及他们可以接受哪些风险。你不可能阻止每一次攻击成功，不管你的安全性有多好，最终总会有人通过。因此，有道德的黑客不仅可以帮助您防止攻击，还可以找出在成功攻击发生时需要采取哪些步骤来限制损害。

你不能保护你不知道存在的东西。因此，在**有道德的黑客进行渗透测试之前，手头上最好的文件是一份系统、人员、信息的完整清单，以及一份全面评估业务风险的风险评估文件。

渗透测试的目标是找到一个弱点，利用它，展示如何实现一个关键的、不可接受的风险（例如敏感信息从您的网络中删除并安全地放置在测试人员的安全网络上），然后您可以努力补救。

客户的辛勤工作是在测试之后进行的，学习如何以风险较小的方式开展业务。

一个人在你的工作中能挣到什么样的钱？

我不是一个谈论金钱的人，但我真的相信如果你努力工作，磨练你的技能（包括谈判等软技能！），在这个领域你想赚多少钱就赚多少钱。如果你想直接从学校毕业或刚拿到证书就赚大钱，你将在一家拥有你的公司工作，迫使你经常出差，并认为睡眠是一种奢侈。如果你想有一些生活/工作的平衡，你将需要一些年的经验，在“常规”IT和安全开始赚大钱。

另外，地理位置也很重要，我的生活成本很高，这很有帮助。

你是如何在你的领域里晋升的？

这是相当主观的。一些人成为关键领域的专家，如软件安全（移动和网络应用程序）、工业控制系统（公用事业、**厂等）、社会工程（即黑客）等。另一些人学习管理技能，最终管理黑客团队。

在这两种情况下，你必须专注于提高你的知识和获得尽可能多的实地经验。认证是好的，但是没有什么比在现场执行这些测试或管理团队更好的了。

另一种脱颖而出的方法是对安全问题进行独创性的研究，并在每年举行的众多行业会议之一上介绍这些问题。如果你能在其中一个会议上举办一个训练营，教授关键技能，这也是职业发展的助推器。

您的客户或客户认为价值过低/过高是什么？

客户在安全过程中通常低估了自己的价值。他们倾向于相信**一个超级黑客是他们所需要的一切，以保持妖怪远离。他们也倾向于低估资产的价值。我真的听过银行说，“我们太小了，不可能被黑客攻击。”医院、跨国公司等也是如此。他们都有理由说“这不会发生在我们身上！”直到它真的发生。

公司也会犯错，把自己与同行进行比较。这个问题经常出现在董事会会议室：“我们如何与我们这样的其他企业进行比较？”没有人愿意在安全方面比同行花更多的钱，因为他们觉得这样做是在浪费自己的钱。

然而，客户往往高估的是合规标准。无论是针对零售商的PCI标准，还是医疗行业的HIPAA，或者其他任何东西，仅仅满足法规遵从性标准并不意味着您实际上是安全的。合规标准只是衡量一个组织绝对必须做些什么才能不被罚款或让公司官员坐牢的基准，而公司必须远远超越这些标准才能真正安全。

你会给那些有志于加入你的职业的人什么建议？

快点！我们需要更多的人享受拼图，打破东西，修理东西，与人交流和可怕的经验。

热爱学习！如果你一想到必须快速学习新技能、操作系统、程序语法或攻击技术就畏缩，你很快就会厌倦我做的顾问式/精品式的工作。不过，还是有希望的！拿你喜欢的东西，找出更好的方法，以商业可行的方式确保它，并为“蓝色团队”（即国防重点团队）工作，那里迫切需要更多的安全意识的人以及。

为了清楚起见，这篇采访经过了编辑。