Zawartość
- White Hat Professionals
- Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
- Hakerzy etyczni i testy penetracyjne
- Hakerzy etyczni, inżynieria społeczna i świadomość użytkowników
- Kwalifikacje dla etycznych hakerów
Źródło: Daniil Peshkov / Dreamstime.com
Na wynos:
Etyczni hakerzy wykonują ważną pracę dla pracodawców, symulując ataki i próbując dowiedzieć się, jak udaremnić hakerów w czarnym kapeluszu.
W świecie IT przedsiębiorstwa termin „etyczny haker” szybko zyskuje na popularności. Ale czym zajmują się ci specjaliści? Jak wygląda dzień w życiu etycznego hakera?
Na bardzo podstawowym poziomie etyczni hakerzy to specjaliści, którzy włamują się do systemów korporacyjnych w celu wykrycia słabości i słabości.
„Hakerzy etyczni to przede wszystkim eksperci ds. Bezpieczeństwa IT, którzy wykorzystują swoją wiedzę do włamania się do systemów, takich jak serwery i komputery pracownicze, aby znaleźć słabe punkty w zabezpieczeniach, jakie ma ich pracodawca”, mówi Ryan Jones, dyrektor marketingu cyfrowego w Imaginaire Digital. „Następnie sporządzą raport na temat wykrytych słabości i doradzą najlepszy sposób działania”.
„Etyczny haker lub tester penetracji to osoba, która testuje urządzenia i sieci komputerowe w poszukiwaniu luk”, dodaje Nathan House, dyrektor generalny i założyciel firmy cyberbezpieczeństwa StationX. „Zamiast robić to ze złośliwym lub przestępczym zamiarem, robią to, aby zgłosić luki, aby można je było naprawić.” (Aby dowiedzieć się więcej o tym, co etyczni hakerzy mogą zrobić dla organizacji, zobacz Jak Twoja organizacja może skorzystać z etycznego hakowania).
White Hat Professionals
Innym terminem etycznych hakerów są „białe kapelusze”. W przeciwieństwie do hakerów w czarnym kapeluszu, hakerzy w białych kapeluszach są jak grzeczni włamywacze internetowi - robią te same rzeczy, co hakerzy w czarnym kapeluszu, ale nie z destrukcyjnych powodów.
„Aby być naprawdę pewnym, że ktoś jest chroniony, prawdziwe systemy powinny mieć miejsce z zewnątrz, aby zasymulować prawdziwe zagrożenie, a tym samym móc je rozpoznać i naprawić jak najszybciej”, mówi Kaiss Bouali, partner zarządzający i CTO w Iodeed. „Są firmy specjalizujące się w hakowaniu w White Hat, gdzie mają zespoły specjalnych hakerów, którzy (pracują nad testami za pomocą pióra) i przedstawiają ci wycieki bezpieczeństwa, kroki niezbędne do ich usunięcia oraz opłaty, które będą naliczać za naprawę dla ciebie. ”
Ważne jest tutaj słowo „symulacja”.
Aby powrócić do analogii włamywacza, jeśli masz w domu wiele drogich i fantazyjnych rzeczy, możesz zainwestować w zamki lub, aby uzyskać dodatkowy poziom bezpieczeństwa, możesz zatrudnić kogoś, kto symuluje włamanie. Mogą znaleźć otwarte okno w piwnicy lub jakiś przeszukiwacz, który pozwoli im dostać się do domu i ukraść to, co masz. Ale kiedy inwestujesz wcześniej w symulowaną włamanie, wiesz, co naprawić, aby utrudnić dostęp nieupoważnionym stronom.
Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia
Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.
Oto etyczny hacking w pigułce. Wygłupia się z systemami, aby dowiedzieć się, gdzie są słabe punkty - aby klient mógł je naprawić i zapobiec prawdziwemu włamaniu się do systemów, które kiedykolwiek się pojawią lub uszkadzą.
Hakerzy etyczni i testy penetracyjne
Jednym z głównych zadań etycznego hakera jest wykonanie tak zwanego „testu penetracji” lub „testu pióra”.
„(Etyczni hakerzy) wykorzystują testy penetracyjne jako część swojego arsenału, aby chronić systemy swoich klientów przed cyberprzestępczością”, mówi Karen Franse z Communication Strategy Group, mówiąc o tym, jak firma o nazwie SRC Technologies korzysta z firmy o nazwie Synack do outsourcingu etycznego hakowania.
Pomyśl o tym - firmy mają szerokie spektrum narzędzi do automatyzacji, aby pomóc im wykryć luki w systemie. Narzędzia cyfrowe mogą skanować w poszukiwaniu otwartych punktów dostępu do sieci, problemów z interfejsem API, słabych systemów haseł lub wielu innych potencjalnych problemów. Ale robią to w sposób zautomatyzowany. Bez etycznego hakera na fotelu kapitana nie ma ludzkiej kontroli.
Etyczny haker dodaje ten element ludzki. On lub ona siedzi w punkcie decyzyjnym, a zgrabne nowe narzędzia bezpieczeństwa oferowane przez dostawców oprogramowania działają jak oprogramowanie wspomagające podejmowanie decyzji. Możesz myśleć o etycznym hakerze jako o koordynatorze wszystkich tych zautomatyzowanych narzędzi, uważnie obserwując ich sukcesy i porażki.
Jednak jedną z najbardziej fundamentalnych części testów penetracyjnych jest raportowanie, które następuje później.
Etyczni hakerzy wrócą do klientów i pokażą im dokładnie, co wydarzyło się podczas testu penetracyjnego. Jeśli doszło do naruszenia lub penetracji, ta luka została naprawiona. To naprawdę zacieśnia obwód, cieńsza powierzchnia ataku i chroni firmy przed krzywdą.
Hakerzy etyczni, inżynieria społeczna i świadomość użytkowników
Oto kolejna duża część tego, co robią etyczni hakerzy.
Termin „inżynieria społeczna” został użyty w odniesieniu do wszystkich działań hakerskich, które próbują uzyskać dostęp poprzez oszukanie użytkownika końcowego.
Te ataki sfałszowania? Inżynieria społeczna.
Wyłudzanie informacji to kolejna powszechna forma inżynierii społecznej, w której złośliwe strony podszywają się pod osoby poufne lub wykorzystują inne środki, aby zachęcić użytkowników końcowych do rezygnacji z cennych danych lub poświadczeń dostępu do sieci. W niektórych przypadkach po prostu fałszują okno płac i zmuszają pracowników do rezygnacji z informacji finansowych.
Wszystko to jest zwykle bardzo destrukcyjne - więc firmy zatrudniają etycznych hakerów, aby symulować tego rodzaju ataki, a następnie znajdują słabe punkty i zgłaszają się. Ale następnym i ostatnim krokiem jest szkolenie świadomości użytkowników. Firma inwestuje w pokazanie każdemu pracownikowi, na co należy zwrócić uwagę, i rozwija on bardziej wybitną bazę pracowników, siłę roboczą, która nie jest znakiem dla wszystkich tych pozbawionych skrupułów hakerów z czarnego kapelusza. (Czy etyczni hakerzy mogą wpaść w kłopoty prawne podczas wykonywania swojej pracy? Dowiedz się więcej w artykule Czy etyczni hakerzy potrzebują ochrony prawnej?)
Kwalifikacje dla etycznych hakerów
W rzeczywistości kwalifikacje są obfite w świecie etycznego hakowania. Firmy chcą wiedzieć, że specjaliści mają duże doświadczenie i licencję na przeprowadzanie testów penetracyjnych i wykonywanie innych zadań związanych z bezpieczeństwem.
Jedną rzeczą, o którą często proszą firmy, jest umiejętność etycznych hakerów w trzech kluczowych częściach Internetu: sieci powierzchniowej, głębokiej i ciemnej. Ten średni artykuł pokazuje, jak różnią się te trzy sekcje sieci i co to oznacza dla specjalistów ds. Bezpieczeństwa.
Istnieją również Tactics Techniques and Procedures lub TTP, protokół uwierzytelniania etycznego hakowania, a także certyfikacja Open Source Intelligence (OSINT).
Inne kwalifikacje obejmują:
- Certyfikowany haker etyczny (CEH)
- GIAC Certified Incident Handler (GCIH)
- GIAC Cyber Threat Intelligence (GCTI)
Etyczni hakerzy pracują nad awangardą warun- ków bezpieczeństwa dla firm, a w ogólnym rozrachunku mogą odgrywać istotną rolę w ochronie organizacji przed zagrożeniami.