En etisk hackare innehar vanligtvis certifieringen Certified Ethical Hacker (CEH) från International Council of E-Commerce Consultants (EC-Council) och genomför lagliga, omfattande genomsökningar av ett företags informationsinfrastruktur. Proffs med titeln kan välja mellan ett av många jobb inom etisk hackning, inklusive penetrationstestning, incidensrespons, datorforensik och säkerhetsanalys. En etisk hackare börjar vanligtvis som penetrationstestare och går vidare till en senior roll som informationssäkerhetsanalytiker eller ingenjör. Även om penetrationstestare och incidensresponspersonal har specifika arbetsuppgifter, utför de med mer avancerade jobb inom etisk hackning i allmänhet ett bredare spektrum av uppgifter.
Penetrationstestning är ett av de vanligaste instegsjobben inom etisk hacking och innebär att utföra olika skanningar på nätverksenheter, databaser, mjukvara, datorer och servrar. Processen börjar med att få tillstånd att testa ett företags system, och målet med processen är att hitta eventuella sårbarheter som kan resultera i skada om en hackare utnyttjar dem. En penetrationstestare kartlägger företagets nätverk och försöker få tillgång till företagets nätverksenheter, inklusive switchar, routrar och brandväggar, samt enskilda arbetsstationer och servrar. Han eller hon kan också försöka hacka sig in i webbapplikationer eller databaser. Testaren rapporterar alla fynd i en omfattande rapport och föreslår lösningar på de upptäckta sårbarheterna.
Ett jobb inom incidensrespons är ett annat karriärval för en etisk hackare och handlar om att svara på säkerhetsintrång. De i detta område arbetar med att skapa en incidentresponsplan som ger detaljer för att förbereda, identifiera, innehålla, utrota och återhämta sig från attacker och andra säkerhetsintrång. Incidensinsatser måste hålla sig uppdaterade med de senaste hoten, analysera hur stor effekt dessa hot skulle ha på en organisation och hitta ett sätt att förhindra så mycket skada som möjligt om ett intrång inträffar. De använder informationen från tidigare incidenter för att förhindra framtida incidenter och för att hitta nya sätt att hantera liknande incidenter i framtiden. Incidensresponspersonal kan också utföra en kriminalteknisk analys för att samla in information från attacker som resulterade i ett brott.
I jobb inom etisk hacking ingår även informationssäkerhetsanalytiker och ingenjör, båda roller som har ett brett spektrum av arbetsuppgifter. Dessa proffs ansvarar för att säkra ett företags data, konfigurera säkerhetsenheter, skapa säkerhetsplaner, genomföra riskrevisioner, hitta lösningar på säkerhetshot, övervaka nätverket och analysera applikationskod. En informationssäkerhetsanalytiker har en avancerad roll i organisationen och har vanligtvis flera års erfarenhet av penetrationstestning, incidensrespons och allmän säkerhet.