你偶爾會聽說一些主要的安全漏洞在被利用之前就被髮現了，比如去年臭名昭著的Heartbleed bug。安全研究人員努力清除這些危險的缺陷，以免被惡意駭客發現。這種先發制人的駭客行為有時被稱為“白帽”，或者簡稱為“道德駭客”

這些駭客與企業合作，調查他們的網路是否存在安全漏洞、社會工程漏洞等，同時考慮可能有犯罪動機的人的心態。為了瞭解這樣的工作是什麼樣的，我們採訪了Parameter Security的道德駭客Ben Miller。

首先，告訴我們你目前的職位以及你在這個職位上工作了多久。

我是Parameter Security的“道德駭客”，這意味著公司基本上**我來嘗試入侵他們的計算機網路，以找出真正的罪犯會如何做到這一點。這個行業的人用各種各樣的伎倆偷偷摸摸的，你可以用駭客的方式進來，透過電話或電子郵件欺騙員工，用模仿的方式進來，真的沒關係。我從來沒有遇到過不能妥協的生意。我已經進入了很多公司和組織，從銀行到醫院，財富500強，**商，城市公用事業，**機構，你能想到的。

在過去的五年裡，我一直從事全職駭客工作，這確實是任何人都能從事的最有趣、最具挑戰性的工作之一。這也是令人難以置信的回報，因為我知道我正在幫助保護公司和機構免受惡意駭客的攻擊，否則他們將無法阻止他們入侵。

是什麼驅使你選擇職業道路？

我從小就知道我對電腦感興趣。我在密蘇裡州東北部的一個農場長大，雖然我很早就學會了努力工作、堅持和制定自己目標的價值，但我小時候也意識到，我不想每天在農場幹得又臟又血腥地回家。幸運的是，我上小學的時候，我有見地的父親買了一臺家用電腦。它是IBM Compatible 286處理器系統。我在Windows3.1和MSDOS上學習了一些巧妙的技巧，比如刪除整個檔案結構的“DELTREE”，以及如何改變背景的顏色。我很喜歡在我的初中教非破壞性的技巧，很快我就被學校錄取，幫助老師解決他們的電腦問題。

然而，直到我看到電影《運動鞋》，我才意識到我對電腦的興趣有多大的潛力。說真的，那部電影對我有很大的影響，我敢打賭這個領域的其他人，他們在同一時間，可能也有這種感覺。這是我第一次看到道德駭客的世界，我馬上就被它吸引住了。看到羅伯特·雷德福德用社會工程學完成了這些不可思議的壯舉，而“惠斯勒”的方式從來沒有被障礙嚇倒，而是僅僅用技術和邏輯來剋服障礙，這給我留下了深刻的印象。我一直被科技所吸引，但看到它的潛力，也許還有“酷”的因素，以及它如何被用來在世界上做好事，這讓我非常興奮。

各種各樣的人都被道德駭客所吸引，有著各種各樣的背景和動機，但我認為最終這些人中的大多數人只是被早期的技術所吸引，這是一種挑戰和創造性的思考，想辦法繞過一個軟體控制元件，或者讓一個程式做一些全新的事情，不斷地推動他們在這方面走得越來越遠，直到它成為一種職業。

你是怎麼找到工作的？你需要什麼樣的教育和經驗？

道德駭客不是一種常規的工作。你不需要有大學文憑或證書來做這件事。你所需要的只是對計算機、軟體和程式語言、創造力和驅動力有很好的瞭解。

就我而言，我在1999年上了大學，並獲得了計算機系統和網路學位。不幸的是，網路泡沫在我畢業後就破滅了，所以我很難在這個領域找到一份好工作。最後我回到大學學習宗教，直到2006年，我的一個朋友告訴我縣醫院有一個網路管理員的職位空缺。在那裡工作期間，我花了大量時間確保醫院的網路符合HIPAA標準，這樣就不會暴露患者資料，也不會受到駭客的攻擊，駭客會試圖竊取這些資料。我知道，如果我要把罪犯關在醫院外面，我就必須學會他們的伎倆和他們是如何運作的，所以我參加了當地一家公司提供的“認證道德駭客”課程。這門課是我未來的老闆教的，主要是關於犯罪駭客的思維方式和技術，它基本上教會了你如何像犯罪駭客一樣思考。第二天之後，我知道這是我想做的全職工作，一年後，我的道德駭客教練（Dave Chronister）聘用了我，因為我已經在這個領域證明瞭自己。

你需要執照或證書嗎？

你不必有任何認證，是一個道德駭客，但它總是一個好主意得到他們，因為它證明瞭你的知識和經驗，在關鍵領域。有幾十種證書，他們是否值得你的職業生涯在很大程度上取決於什麼型別的企業你想工作。在你花錢之前先研究一下證書或課程！然而，如果你為客戶做法醫調查，大多數州都需要私家偵探執照。

解決問題、堅持和良好的溝通能力都是這份工作的關鍵特徵。

除了大多數人所看到的，你還做什麼？你大部分時間都在做什麼？

我深入瞭解了關鍵網路（比如銀行、醫院、公用事業公司、大公司）的內部情況，並瞭解瞭如果正確的攻擊者以它們為目標，它們到底有多脆弱。這有點像看到香腸是如何**的，因為你看到這些非常重要的系統通常執行在較舊的軟體和硬體上，或者它們有尚未修補的易受攻擊的程式，或者它們連線到不應該連線的東西，或者預設密碼保留在原位。整個網路，可能是保護你的錢或個人記錄，或幫助保持燈和水的執行，是一個有問題的系統拼湊而成，並不像我們想的那麼難利用。

我也在Twitter上看到或聽到攻擊，早在它們出現在新聞之前。

我的大部分時間都花在探測或掃描網路、尋找漏洞等方面，但也同樣花在與客戶溝通以及在書面報告中記錄我所做的事情上。我告訴駭客學生和新員工，“作為一名駭客，你寫的報告會比你在學校寫的更多！”可交付的報告是約定的一部分，客戶將保留並能夠在您個人護理中的“溫暖模糊”消失後考慮很久。它需要同樣好。

但是客戶幾乎可以看到我們所做的每一件事，這是一個非常開放的過程，因此他們可以從我們的角度學習和看到他們的網路。他們唯一錯過的是凌晨2點我的臉上的表情，當時我終於在觀看它如何重播的時候完成了一個漏洞。

人們對你的工作常有哪些誤解？

可能最重要的是人們認為“駭客”這個詞總是指罪犯或惡意的人。駭客基本上是喜歡修補工具和軟體、找出解決問題的方法或為使用技術開闢新的可能性的人。那些為了偷錢或傷害他人而這樣做的人只是罪犯。我們不應該稱自己為“道德”駭客我們應該強調壞人是“犯罪駭客”

人們也看到我們模擬的攻擊，覺得我們在表演魔術。駭客明白一個重要的事實：計算機只做他們被告知的事情，而且很多時候使用者所採取的行動並不符合他們的最佳利益。無論他們執行的軟體編碼不正確，還是他們點選一封向他們承諾的電子郵件，使用者（包括IT人員！）他們常常不知道自己最後做了什麼可怕的事情。

另一個誤解是“所有的滲透測試都是一樣的”。不幸的是，在資訊保安這樣一個年輕而又充滿神祕色彩的行業，人們對滲透測試（即對一家公司進行的道德駭客測試）應該包括哪些內容缺乏瞭解。像Pentest-Standard.org這樣的努力，至少是想讓業務和IT人員瞭解從一家知識淵博的公司獲得良好的滲透測試會帶來什麼。

什麼是你的平均工作時間(your average work hours)？

這取決於你在做什麼。如果你被僱來做一個公司的滲透測試，那麼你可能每天工作8到10個小時，工作時間可能在2到10周之間。然而，如果你正在使用一個軟體，尋找漏洞，那麼這真的取決於你。我從來沒有坐在辦公桌前問過“我什麼時候可以回家？”更常見的是我妻子提醒我睡眠是一件好事，我可能在至少小睡一次之後就能完成我正在做的任何事情。

然而，如果你被要求幫助一家公司從違規行為中恢復（我們稱之為“事件響應”），那麼所有的賭註都被取消了。當你處於危機狀態時，你可以很容易地通宵達旦地阻止攻擊的進展，控制損失，並找出如何讓公司重回正軌。

哪些個人小貼士和捷徑讓你的工作更輕鬆？

要經常聽和讀。你可能知道一個很好的方法去做某事，但是其他人可能知道另一個更快或更容易的方法。記錄下你在做什麼，為什麼做，什麼時候做，這樣當出現問題時你就可以知道發生了什麼。把你的頭撞在牆上，你應該早點繞過去，這是一個巨大的時間浪費。

另外，正如我的老闆喜歡說的，我也學到了：“從來沒有一個客戶因為你跟他們說太多而生氣。”在將近五年的時間裡，我只有一個客戶說我在他們的網路上工作時，不需要每天打電話或發郵件。人們喜歡知道發生了什麼，即使發生的是，“我們正在梳理工具輸出，尋找要打破的東西。”

你與同事或同行有什麼不同？他們會怎麼做？

不幸的是，在這個領域有很多公司認為道德駭客基本上只是掃描網路上的漏洞。這種思維方式的問題在於，它並沒有真正向客戶展示全貌。好吧，我知道這個程式和這個程式都很脆弱，但這到底是什麼意思？攻擊者可以如何處理此漏洞？他們能走多遠？

在我們公司，我們非常註重目標。我們看到了一個道德駭客測試，測試的是該機構在現實世界中的後果，即攻擊者想做什麼（竊取您的資料、執行非法電匯、幹擾基於計算機的機器等），以及他們怎麼做？當我們在網路中發現漏洞時，我們會考慮這些漏洞的實際後果，你必須有創造性地看到安全漏洞的全部潛力，並將所有的部分放在一起，以找出罪犯將如何完成資料或金融盜竊。

工作中最糟糕的部分是什麼？你怎麼處理？

最糟糕的是當你的客戶不想知道他們有多脆弱的時候。有時這是因為他們對此漠不關心（許多公司仍然認為，在公司被破壞後解決問題比提前把錢花在更好的安全上更便宜），但更多的時候這是基於恐懼。有點像當你的車開始發出奇怪的噪音，但你不想把它帶到汽車店，因為你害怕它會花多少錢。儘管在很多情況下，成本並不是他們唯一擔心的事情，但你面對的是一位高階IT主管，他或她的職業生涯讓他/她感到擔憂；如果報告顯示問題太多，就會讓他或她看起來很糟糕。

處理這方面工作的唯一方法就是持之以恆，儘力而為，不要拖延滲透測試，並盡可能清楚地報告公司的薄弱環節以及這可能意味著什麼。最後，客戶應該採取正確的措施來保護自己和客戶，你只需要希望他們會這樣做。

工作中最令人愉快的部分是什麼？

這可能是最難回答的問題。老實說，當我知道我所做的一切都是非法的，除了一份法律檔案上寫著我可以不惹麻煩地做這件事之外，我感到很興奮。我以前工作的地方最喜歡的一句恭維話是：“你想得像個罪犯！”(他們的意思不是恭維。）

我和很棒的人一起工作，做有趣的工作，努力工作。我們一起學習，一起大笑！當我妻子和我有了第三個兒子時，他們買了嬰兒用品和超級英雄緊身衣。

我改變了企業的安全心態，最終也改變了成千上萬人的生活，這也是相當值得的。工資也遠比我想象的好，回到我看運動鞋的時候。

你對那些需要你服務的人有什麼建議嗎？

是的，別指望我是超級英雄。通常，客戶認為，當他們僱用你時，你會清理一切，解決他們所有的問題，使他們100%安全。沒有什麼是100%安全的。根本不是這樣的。客戶必須實事求是這類工作的目標是弄清楚你的公司擁有哪些最關鍵的資產以及他們可以接受哪些風險。你不可能阻止每一次攻擊成功，不管你的安全性有多好，最終總會有人透過。因此，有道德的駭客不僅可以幫助您防止攻擊，還可以找出在成功攻擊發生時需要採取哪些步驟來限制損害。

你不能保護你不知道存在的東西。因此，在**有道德的駭客進行滲透測試之前，手頭上最好的檔案是一份系統、人員、資訊的完整清單，以及一份全面評估業務風險的風險評估檔案。

滲透測試的目標是找到一個弱點，利用它，展示如何實現一個關鍵的、不可接受的風險（例如敏感資訊從您的網路中刪除並安全地放置在測試人員的安全網路上），然後您可以努力補救。

客戶的辛勤工作是在測試之後進行的，學習如何以風險較小的方式開展業務。

一個人在你的工作中能掙到什麼樣的錢？

我不是一個談論金錢的人，但我真的相信如果你努力工作，磨練你的技能（包括談判等軟技能！），在這個領域你想賺多少錢就賺多少錢。如果你想直接從學校畢業或剛拿到證書就賺大錢，你將在一家擁有你的公司工作，迫使你經常出差，並認為睡眠是一種奢侈。如果你想有一些生活/工作的平衡，你將需要一些年的經驗，在“常規”IT和安全開始賺大錢。

另外，地理位置也很重要，我的生活成本很高，這很有幫助。

你是如何在你的領域裡晉升的？

這是相當主觀的。一些人成為關鍵領域的專家，如軟體安全（移動和網路應用程式）、工業控制系統（公用事業、**廠等）、社會工程（即駭客）等。另一些人學習管理技能，最終管理駭客團隊。

在這兩種情況下，你必須專註於提高你的知識和獲得盡可能多的實地經驗。認證是好的，但是沒有什麼比在現場執行這些測試或管理團隊更好的了。

另一種脫穎而出的方法是對安全問題進行獨創性的研究，併在每年舉行的眾多行業會議之一上介紹這些問題。如果你能在其中一個會議上舉辦一個訓練營，教授關鍵技能，這也是職業發展的助推器。

您的客戶或客戶認為價值過低/過高是什麼？

客戶在安全過程中通常低估了自己的價值。他們傾向於相信**一個超級駭客是他們所需要的一切，以保持妖怪遠離。他們也傾向於低估資產的價值。我真的聽過銀行說，“我們太小了，不可能被駭客攻擊。”醫院、跨國公司等也是如此。他們都有理由說“這不會發生在我們身上！”直到它真的發生。

公司也會犯錯，把自己與同行進行比較。這個問題經常出現在董事會會議室：“我們如何與我們這樣的其他企業進行比較？”沒有人願意在安全方面比同行花更多的錢，因為他們覺得這樣做是在浪費自己的錢。

然而，客戶往往高估的是合規標準。無論是針對零售商的PCI標準，還是醫療行業的HIPAA，或者其他任何東西，僅僅滿足法規遵從性標準並不意味著您實際上是安全的。合規標準只是衡量一個組織絕對必須做些什麼才能不被罰款或讓公司官員坐牢的基準，而公司必須遠遠超越這些標準才能真正安全。

你會給那些有志於加入你的職業的人什麼建議？

快點！我們需要更多的人享受拼圖，打破東西，修理東西，與人交流和可怕的經驗。

熱愛學習！如果你一想到必須快速學習新技能、作業系統、程式語法或攻擊技術就畏縮，你很快就會厭倦我做的顧問式/精品式的工作。不過，還是有希望的！拿你喜歡的東西，找出更好的方法，以商業可行的方式確保它，併為“藍色團隊”（即國防重點團隊）工作，那裡迫切需要更多的安全意識的人以及。

為了清楚起見，這篇採訪經過了編輯。