Conţinut
- Profesioniștii White Hat
- Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de software care poate schimba viața fără a vă distruge viața
- Hackerii etici și testarea penetrării
- Hackeri etici, inginerie socială și conștientizarea utilizatorilor
- Calificări pentru hackeri etici
Sursa: Daniil Peshkov / Dreamstime.com
La pachet:
Hackerii etici îndeplinesc o muncă importantă pentru angajatori prin simularea atacurilor și încercarea de a descoperi cum să-i dezvălui pe hackerii cu pălării negre.
În lumea IT a întreprinderilor, termenul „hacker etic” câștigă rapid teren. Dar ce fac acești profesioniști? Cum arată o zi din viața unui hacker etic?
La un nivel foarte de bază, hackerii etici sunt profesioniști care intră în sisteme corporative pentru a detecta punctele slabe și vulnerabilitățile.
„Hackerii etici sunt în esență experți IT în securitate IT, care își folosesc cunoștințele pentru a hack în sisteme, cum ar fi serverele și computerele angajaților pentru a găsi orice deficiențe în securitatea pe care le are angajatorul”, spune Ryan Jones, director de marketing digital la Imaginaire Digital. „Vor crea apoi un raport despre punctele slabe pe care le-au găsit și vor sfătui cel mai bun curs de acțiune.”
„Un hacker etic sau un testator de penetrare este o persoană care testează dispozitivele de calculator și rețelele care caută vulnerabilități”, adaugă Nathan House, CEO și fondator al companiei de cibersecuritate StationX. „În loc să facă acest lucru cu intenție rău intenționată sau criminală, o fac pentru a raporta vulnerabilitățile, astfel încât acestea să poată fi rezolvate.” (Pentru a afla mai multe despre ce pot face hackerii etici pentru organizații, consultați modul în care organizația dvs. poate beneficia de hackingul etic.)
Profesioniștii White Hat
Un alt termen pentru hackerii etici este „pălării albe”. Spre deosebire de hackerii cu pălării negre, hackerii de pălării albe sunt ca niște spargeri politici ai internetului - fac unele dintre aceleași lucruri pe care le fac hackerii cu pălării negre, dar nu din motive distructive.
„Pentru a fi cu adevărat sigur de protejarea unuia, ar trebui să se producă atacuri reale asupra unui sistem din exterior pentru a simula o amenințare reală și, prin urmare, să poată recunoaște și repara cât mai curând posibil”, spune Kaiss Bouali, partener de conducere și CTO la Iodeed. „Există firme specializate în White Hat Hacking, unde au echipe de hackeri speciali care (lucrează la testarea stiloului) și vă prezintă scurgerile de securitate, pașii necesari pentru remedierea acestora și taxele pe care le vor percepe pentru a le repara. ei pentru tine. "
Cuvântul „simula” este important aici.
Pentru a vă întoarce la analogia antiefracție, dacă aveți o mulțime de lucruri scumpe și fanteziste în casa dvs., puteți investi în încuietori sau, pentru a obține un nivel suplimentar de securitate, puteți angaja pe cineva pentru a simula o efracție. S-ar putea să găsească o fereastră deschisă la subsol sau un spațiu de rulare care să le permită să intre în casă și să fure ceea ce aveți. Însă, când investiți anterior într-un furt simulat, știți ce să remediați pentru a face și mai greu accesul părților neautorizate.
Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de software care poate schimba viața fără a vă distruge viața
Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.
Aceasta este, pe scurt, hackingul etic. Este de păcălit cu sistemele pentru a descoperi unde sunt punctele slabe - astfel încât clientul să le poată repara și să împiedice apariția piratelor reale sau sistemele dăunătoare.
Hackerii etici și testarea penetrării
Unul dintre principalele joburi ale unui hacker etic este să efectueze ceea ce se numește „test de penetrare” sau „pen test”.
„(Hackerii etici) folosesc testarea penetrării ca parte a arsenalului lor pentru a proteja sistemele clienților lor împotriva infracțiunilor informatice”, spune Karen Franse, de la Comunicarea Strategiei, vorbind despre cum o companie numită SRC Technologies folosește o firmă numită Synack pentru a externaliza hacking-urile etice.
Gândiți-vă la acest lucru - companiile au un spectru larg de instrumente de automatizare care să le ajute să surprindă vulnerabilitățile unui sistem. Instrumentele digitale pot scana puncte de acces în rețea deschisă, probleme cu o API, sisteme de parole slabe sau orice alte probleme potențiale. Dar fac acest lucru în mod automat. Fără un hacker etic în scaunul căpitanului, nu există supraveghere umană.
Hackerul etic adaugă acel element uman. El sau ea stă la punctul de decizie, iar instrumentele noi de securitate pe care le oferă furnizorii de software acționează ca un software de asistență la decizii. Puteți să vă gândiți la hackerul etic ca orchestrator al tuturor acestor instrumente automatizate, descoperindu-și succesul și eșecurile cu un ochi atent.
Cu toate acestea, una dintre cele mai fundamentale părți ale testării penetrării este raportarea care se întâmplă ulterior.
Hackerii etici vor reveni la clienți și le vor arăta exact ce s-a întâmplat în timpul testului de penetrare. Dacă a existat o încălcare sau o penetrare, vulnerabilitatea este rezolvată. Acest lucru întărește într-adevăr perimetrul, subțiază suprafața atacului și protejează companiile de vătămare.
Hackeri etici, inginerie socială și conștientizarea utilizatorilor
Iată o altă mare parte din ceea ce fac hackerii etici.
Termenul „inginerie socială” a fost folosit pentru a face referire la toate acele eforturi de hacking care încearcă să obțină acces prin păcălirea unui utilizator final.
Atacurile care se prăpădesc? Inginerie sociala.
Spear-phishing este o altă formă comună de inginerie socială, în care părțile rău intenționate implică persoane din interior sau folosesc alte mijloace pentru a încerca să ademeneze utilizatorii finali să renunțe la date valoroase sau date de acces la rețea. În unele cazuri, ei pur și simplu strică o fereastră de salarizare și îi determină pe angajați să renunțe la informațiile lor financiare.
Toate acestea sunt, de obicei, destul de distructive - astfel încât companiile angajează hackeri etici pentru a simula aceste tipuri de atacuri, apoi vor găsi puncte slabe și vor da un raport. Dar următorul și ultimul pas este pregătirea pentru conștientizarea utilizatorilor. Compania investește în a arăta fiecărui angajat ce ar trebui să privească și crește o bază de angajați mai experimentată, o forță de muncă care nu este o marcă pentru toți acești hackeri fără scrupule cu pălării negre. (Pot hackerii etici să se confrunte cu probleme legale în timp ce își desfășoară activitatea? Aflați mai multe în Oamenii hackeri etici au nevoie de protecție legală?)
Calificări pentru hackeri etici
De fapt, calificările abundă în lumea hackerilor etice. Companiile doresc să știe că profesioniștii au experiență bună și au licență pentru a efectua teste de penetrare și pentru a face alte tipuri de lucrări de securitate a pălăriei albe.
Un lucru pe care companiile îl solicită adesea este ca hackerii etici să fie calificați în cele trei părți critice ale internetului: web surface, web profund și web închis. Această piesă medie arată cum diferă aceste trei secțiuni ale web-ului și ce înseamnă asta pentru profesioniștii din securitate.
Există, de asemenea, tehnici și proceduri tactice sau TTP, un protocol pentru acreditarea hacking-ului etic, precum și certificarea Open Source Intelligence (OSINT).
Alte calificări includ:
- Hacker etic certificat (CEH)
- GIAC Certified Incident Handler (GCIH)
- GIAC Cyber Threat Intelligence (GCTI)
Hackerii etici lucrează în avangarda condiționării securității pentru companii și în marea schemă a lucrurilor pot fi esențiali în protejarea unei organizații împotriva amenințărilor.