Haker etyczny zwykle posiada certyfikat Certified Ethical Hacker (CEH) wydany przez Międzynarodową Radę Konsultantów Handlu E-commerce (EC-Council) i przeprowadza legalne, kompleksowe skanowanie infrastruktury informacyjnej firmy. Profesjonaliści z tytułem mogą wybierać spośród wielu zawodów z zakresu etycznego hakowania, w tym testów penetracyjnych, reagowania na incydenty, informatyki śledczej i analizy bezpieczeństwa. Etyczny haker zwykle zaczyna jako tester penetracyjny i awansuje na wyższe stanowisko jako analityk lub inżynier ds. bezpieczeństwa informacji. Chociaż testerzy penetracji i specjaliści ds. reagowania na incydenty mają określone obowiązki zawodowe, osoby z bardziej zaawansowanymi stanowiskami w etycznym hakowaniu generalnie wykonują szerszy zakres obowiązków.
Testy penetracyjne to jedno z najczęstszych zadań na poziomie podstawowym w etycznym hakowaniu i obejmuje przeprowadzanie różnych skanów urządzeń sieciowych, baz danych, oprogramowania, komputerów i serwerów. Proces rozpoczyna się od uzyskania pozwolenia na przetestowanie systemów firmy, a jego celem jest znalezienie wszelkich luk w zabezpieczeniach, które mogą spowodować szkody, jeśli haker je wykorzysta. Tester penetracyjny mapuje sieć firmy i próbuje uzyskać dostęp do urządzeń sieciowych firmy, w tym przełączników, routerów i zapór ogniowych, a także do poszczególnych stacji roboczych i serwerów. Może też próbować włamywać się do aplikacji internetowych lub baz danych. Tester raportuje wszystkie ustalenia w obszernym raporcie i sugeruje środki zaradcze na wykryte luki.
Praca w odpowiedzi na incydenty to kolejny wybór kariery dla etycznego hakera i zajmuje się reagowaniem na naruszenia bezpieczeństwa. Osoby zajmujące się tym obszarem pracują nad stworzeniem planu reagowania na incydenty, który zawiera szczegóły dotyczące przygotowania, identyfikacji, powstrzymania, wyeliminowania i odzyskiwania po atakach i innych naruszeniach bezpieczeństwa. Specjaliści ds. reagowania na incydenty muszą być na bieżąco z najnowszymi zagrożeniami, analizować wpływ tych zagrożeń na organizację i znajdować sposób na zapobieganie jak największej liczbie szkód w przypadku naruszenia. Wykorzystują informacje zebrane z poprzednich incydentów, aby zapobiec przyszłym incydentom i znaleźć nowe sposoby radzenia sobie z podobnymi incydentami w przyszłości. Specjaliści ds. reagowania na incydenty mogą również przeprowadzić analizę kryminalistyczną w celu zebrania informacji o atakach, które zakończyły się przestępstwem.
Stanowiska w etycznym hakowaniu obejmują również analityka i inżyniera bezpieczeństwa informacji, obie role, które mają szeroki zakres obowiązków. Specjaliści ci odpowiadają za zabezpieczenie danych firmy, konfigurację urządzeń zabezpieczających, tworzenie planów bezpieczeństwa, przeprowadzanie audytów ryzyka, znajdowanie rozwiązań zagrożeń bezpieczeństwa, monitorowanie sieci i analizę kodu aplikacji. Analityk bezpieczeństwa informacji pełni zaawansowaną rolę w organizacji i zwykle ma kilkuletnie doświadczenie w testach penetracyjnych, reagowaniu na incydenty i ogólnym bezpieczeństwie.