黄金岛官网

当前位置:数据黄金岛官方行业动态 → 正文

道德黑客如何为企业加强数据黄金岛官方平安性

责任编辑:cres 作者:Maria Korolov |来源:黄金岛官网  2019-10-30 10:39:01 原创文章 黄金岛官网

“黑客”一词对许多人来说具有负面的含义,然则为了加强企业数据黄金岛官方或业务系统的平安性,黑客攻击并不总是恶意的。在某些情况下,黑客攻击可以赞助加强企业数据黄金岛官方的网络平安性。
 
白帽、红队和渗透性测试
 
道德黑客会在企业的业务系统中寻找平安漏洞,以赞助企业解决问题。
 
网络平安服务商AttackIQ公司的副总裁兼首席信息平安官(CISO)Chris Kennedy表示:“红队(Red Teams)就是采取的一种道德黑客的概念,他们可以在恶意攻击者攻击之前发现问题。它允许企业的数据黄金岛官方在恶意攻击者发现之前堵住平安漏洞。”
 
他说,这里涉及广泛的活动和技能水平。例如,可以使用自动化工具来查找系统和应用法式中的已知缺陷。另一方面,才干横溢的工程师可以对应用法式进行逆向工程。
 
他说,“他们可以寻找凭据的管理方式,以及用于通信的协议中的缺陷。”白帽黑客也可以被安排来突破数据黄金岛官方的物理平安,或者模仿内部人员并试图窃取数据。
 
Kennedy表示,这完全取决于成本效益分析以及数据黄金岛官方想要实现的目标。他说,“大多数人都不想承担被恶意攻击的风险。如果遭遇攻击可能带来损失,就会承担责任,这会使员工感到恐惧。”
 
他说,大多数情况下,渗透性测试(Pen Tests,Pen是“Penetration”的缩写)仅涉及身份卡(badging)系统有效且门锁已固定。黑客具有一些技巧,以避开平安系统的检测。
 
他说,“以磁性门锁为例,它们依靠运动传感器工作。我亲眼目睹了一次渗透性测试,平安人员采取一根木棍和一张卡片迅速打开了门锁。”
 
Kennedy警告说,数据黄金岛官方管理人员在雇佣白帽黑客之前应采取一些防范办法。这包含查询拜访渗透性测试公司的声誉及其审查员工的政策。
 
他表示,渗透测试还应该有一个明确界说的范围。数据黄金岛官方需要决定如何监控渗透性测试。平安运营黄金岛官方是否会意识到发生了什么?对于黑客的行为为什么不会发出警报?或者他们是否会注意到受到攻击?数据黄金岛官方应提前计划以防万一。
 
BeyondTrust公司首席技术官 Morey Haber说:“道德黑客就像其他人一样。尽管他们攻击的意图很好,但他们的测试可能会带来不良后果。”
 
他说,例如,如果一个系统在测试前是适度平安的,那么道德黑客可能会在测试后意外地使其处于易受攻击的状态。如果不加以解救,就可以让真正的攻击者更容易闯入。
 
Haber说,“道德黑客记录了他们的行为,而且如果这些文件没有获得掩护并被视为敏感文件,则可以将它们用作真正的威胁行为者进行破坏的蓝图。黑客甚至会与道德黑客彼此交流。虽然保密协议将禁止命名,但这种方法通常对于论文和会议来说是公平的。这一曝光有助于技术社区,但也可能会让一些黑客测验考试其攻击技术。”
 
罗得岛州技术咨询机构Carousel Industries公司的首席信息平安官Jason Albuquerque表示,为了降低这些风险,企业应该与值得信赖、信誉良好的公司合作。
 
企业选择的渗透测试公司应该有适当的认证、道德规范和行为准则,以及清晰概述测试范围的结构化流程。
 
他说:“如果平安工程师遇到敏感的、个人的、机密的或专有的信息,他们的行动必须以百分之百关注掩护客户为指导方针。”
 
当黑客来敲门
 
有时,白帽黑客在没有获得企业同意的情况侵入其系统。
 
AttackIQ公司Kennedy的一个朋友表示,一名黑客联系到他,声称已经侵入了该朋友公司的平安系统,该公司的一个法式已经脱离补丁法式管理范围,并已公开泄露。白帽黑客对他说,‘我发现了这个问题,你愿意提供赔偿吗?'他的朋友进行了漏洞扫描,找到了问题立即修复,并向这位黑客支付了酬金。
 
Kennedy表示,如果这发生在企业身上,那么第一步就是验证问题。它可以像运行扫描一样简单,也可以要求黑客提供更多信息。
 
他说:“企业首先需要接触黑客,为了设定正确的赔偿标准,可以让黑客透露可能泄露的资产,也许企业的一位开发人员只是进行了修改,并没有任何商业价值。下一步是确定黑客是否值得信任,企业需要了解其行为是否出于恶意目的还是白帽黑客。现实是,可能会向他们支付费用,否则黑客可能会以恶意方式公开披露漏洞。”
 
专家建议,数据黄金岛官方管理人员需要了解白帽黑客可能会提出什么样的要求,并与Bugcrowd等信誉良好的组织签约,或者向黑客支付费用,以符合道德的方式赞助企业查找漏洞。
 
Keeper Security公司首席技术官兼联合开创人Craig Lurey说:“归根结底,如果道德黑客能够向供应商申报公开的客户数据或访问受掩护系统的查询拜访结果,这对每个人都是一件好事。道德黑客从Bug Bounty法式中的Bug Bounty和Status排名中获益,而供应商则从提高平安级别中获益。”
 
回击是一个“愚蠢的想法”
 
如果数据黄金岛官方管理人员看到一些犯罪分子频繁入侵其数据黄金岛官方而茫然无措,就会感到沮丧,可能会着手回击。
 
例如,曾经遭遇勒索软件的一名受害者Tobias Frömel最近入侵了网络攻击者的命令和控制服务器,并为近3000名其他受害者提供勒索软件解密密钥,随后他与公众分享了这些密钥。
 
在最近的另一起案件中,一名黑客侵入地下信用卡数据偷盗市场BriansClub,并盗走了2600多万条记录。这位道德黑客然后与金融组织合作掩护账户的平安组织分享了此数据。
 
尽管这听起来很有趣而且可能令人满意,但平安专家普遍谴责黑客进行的回击。
 
AttackIQ公司的Kennedy说,“这是违法行为。而进攻性回应是执法部分的责任。最好的方法是向有关政府申报,收集尽可能多的信息,并以高度完整性的方式维护这些信息,以便可以将其用于起诉。然则不建议进行黑客回击。”
 
阻止企业数据黄金岛官方平安人员进行黑客入侵的不仅仅是法律责任。欺骗和检测平安服务商Attivo Networks公司首席平安架构师Chris Roberts对此表示认同。他说,“这是一个愚蠢的想法,永远不该该这样做。例如,网络攻击者可能已经在企业的系统中留下并不知道的后门。如果企业进行回击,网络攻击者可能会摧毁他们能找到的一切。但最大的问题是知道谁在攻击。”
 
Roberts举例说,“如果有人在街上无故殴打你,通常会看清楚是谁干的。然则在数字世界中,黑客可以使用来自多个分歧国家的分歧计算机进行攻击,企业可能最终会把责任归咎于无关人员。”
 
版权声明:本文为黄金岛官网编译,转载需注明出处为:黄金岛官网,如果不注明出处,黄金岛官网将保存追究其法律责任的权利。

关键字:数据黄金岛官方

原创文章 黄金岛官网

道德黑客如何为企业加强数据黄金岛官方平安性 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿黄金岛官方招贤纳士

企业网版权所有©2010-2019 京ICP备09108050号-6

^