内容
资料来源:Cammeraydave / Dreamstime.com
带走:
黑客攻击对组织构成巨大威胁,这就是为什么道德黑客通常是发现安全漏洞的最佳解决方案的原因。
网络安全威胁的性质在不断发展。除非系统发展起来来管理这些威胁,否则它们将是坐骑。尽管必须采取常规的安全措施,但重要的是要获得可能威胁系统或黑客的人的视野。组织一直在允许一类称为道德或白帽黑客的黑客来识别系统漏洞并提供修复建议。在系统所有者或利益相关者的明确同意下,道德黑客会渗透系统以识别漏洞并提供有关改进安全措施的建议。道德的黑客攻击使安全性变得全面而全面。
您真的需要道德黑客吗?
使用道德黑客的服务当然不是强制性的,但是传统的安全系统屡屡未能提供足够的保护以抵御规模越来越庞大的敌人。随着智能和互联设备的普及,系统不断受到威胁。实际上,从财务上讲,黑客被视为一种有利可图的途径,当然会损害组织的利益。正如《保护Macintosh》一书的作者布鲁斯·施耐尔(Bruce Schneier)所说,“硬件易于保护:将其锁定在房间中,将其链接到办公桌上或购买备用部件。信息带来的问题更多。它可能存在。在一个以上的地方;在几秒钟内被运送到地球的一半;在您不知情的情况下被盗。”除非您有大量预算,否则您的IT部门可能会不如黑客的袭击那么严重,有价值的信息可能会在您意识到之前就被盗用。因此,通过雇用了解黑帽黑客方式的道德黑客,在您的IT安全策略中增加维度是有意义的。否则,您的组织可能会冒着在不知不觉中保持系统漏洞的风险。
黑客方法知识
为了防止黑客入侵,了解黑客的想法很重要。在必须引入黑客的观念之前,系统安全中的常规角色只能起到很大作用。显然,黑客的方式是独特的,传统的系统安全角色很难处理。这为雇用道德黑客提供了理由,该黑客可以像恶意黑客一样访问系统,并在途中发现任何安全漏洞。
渗透测试
渗透测试也称为笔测试,用于确定攻击者可以针对的系统漏洞。渗透测试的方法很多。组织可以根据其要求使用不同的方法。
- 定向测试涉及组织人员和黑客。组织人员都知道正在进行的黑客攻击。
- 外部测试渗透到所有外部公开的系统,例如Web服务器和DNS。
- 内部测试发现具有访问权限的内部用户可以打开的漏洞。
- 盲测试模拟了来自黑客的真实攻击。
向测试人员提供有关目标的有限信息,这要求他们在攻击之前进行侦察。渗透测试是雇用道德黑客的最有力依据。 (要了解更多信息,请参阅渗透测试和安全性与风险之间的微妙平衡。)
识别漏洞
没有任何系统可以完全抵抗攻击。尽管如此,组织仍需要提供多维保护。道德黑客的范式增加了一个重要方面。一个很好的例子是在制造领域的大型组织的案例研究。该组织知道其在系统安全性方面的局限性,但不能自己做太多事情。因此,它雇用了道德黑客来评估其系统安全性并提供其发现和建议。该报告包括以下组件:最易受攻击的端口(例如Microsoft RPC和远程管理),系统安全改进建议(例如事件响应系统),漏洞管理程序的全面部署以及强化指南更加全面。
攻击准备
无论系统多么强大,攻击都是不可避免的。最终,攻击者将发现一个或两个漏洞。这篇文章已经指出,无论系统多么坚固,网络攻击都是不可避免的。这并不意味着组织应停止加强其系统安全性-实际上恰恰相反。网络攻击一直在发展,防止或最小化破坏的唯一方法就是做好准备。准备针对攻击的系统的一种方法是允许有道德的黑客事先确定漏洞。
有许多这样的示例,因此有必要讨论美国国土安全部(DHS)的示例。 DHS使用了一个非常庞大和复杂的系统,该系统可以存储和处理大量机密数据。数据泄露是严重的威胁,无异于威胁国家安全。美国国土安全部(DHS)意识到,在黑帽黑客入侵之前让具有道德的黑客入侵其系统是提高防范水平的明智方法。因此,通过了《黑客DHS法》,该法律将允许某些道德黑客侵入DHS系统。该法案详细列出了该倡议将如何运作。将雇用一群道德黑客来侵入DHS系统并识别漏洞(如果有)。对于发现的任何新漏洞,将向道德黑客提供经济奖励。尽管道德黑客必须在一定的约束和指导下工作,但他们不会因此而受到任何法律诉讼。该法案还使所有参与该计划的道德黑客都必须经过全面的背景调查。像DHS一样,长期以来,知名组织一直在雇用道德黑客来提高系统安全防范水平。 (有关一般安全性的更多信息,请参阅《 IT安全性的七个基本原则》。)
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
结论
道德黑客和常规IT安全都需要一起工作以保护企业系统。但是,企业需要制定出针对道德黑客的策略。他们可能会从DHS政策中脱颖而出,以道德操守。需要明确定义道德黑客的角色和范围;重要的是,企业必须保持制衡,以使黑客不会超出工作范围或对系统造成任何损害。企业还需要向道德黑客提供保证,确保在其合同所定义的违规情况下不会采取任何法律行动。