Munkakör: Etikai hackerek

Szerző: Laura McKinney
A Teremtés Dátuma: 3 Április 2021
Frissítés Dátuma: 26 Június 2024
Anonim
Munkakör: Etikai hackerek - Technológia
Munkakör: Etikai hackerek - Technológia

Tartalom


Forrás: Daniil Peshkov / Dreamstime.com

Elvitel:

Az etikus hackerek fontos munkát végeznek a munkaadók számára a támadások szimulálásával és megpróbálják kitalálni, hogyan lehet fóliázni a fekete kalap hackereket.

A vállalati informatika világában az „etikus hacker” kifejezés gyorsan szerepet játszik. De mit csinálnak ezek a szakemberek? Hogyan néz ki egy nap az etikus hackerek életében?

Az etikai hackerek alapvető szinten olyan szakemberek, akik betörnek a vállalati rendszerekbe annak érdekében, hogy felfedezzék a gyengeségeket és a sebezhetőségeket.

"Az etikus hackerek alapvetően informatikai biztonsági szakértők, akik tudásukat olyan rendszerekbe - például kiszolgálókba és alkalmazottak számítógépekbe - történő becsapással használják fel, hogy megbizonyosodjanak a munkáltató által biztosított biztonság hiányosságairól" - mondta Ryan Jones, az Imaginaire Digital digitális marketing ügyvezetője. "Ezután jelentést készítenek a feltárt hiányosságokról, és tanácsot adnak a legjobb cselekvési tervre."


„Az etikus hackerek vagy penetrációs tesztelők olyan személyek, akik számítógépes eszközöket és hálózatokat tesztelnek sebezhetőségeket keresve” - tette hozzá Nathan House, a StationX kiberbiztonsági vállalat vezérigazgatója és alapítója. „Ahelyett, hogy rosszindulatú vagy bűnözői szándékkal tennék, azt teszik, hogy jelentsék a sebezhetőségeket, hogy azok kijavíthatók legyenek.” (Ha többet szeretne megtudni arról, hogy az etikus hackerek mit tehetnek a szervezetek számára, olvassa el a következő részt: Hogyan lehet az Ön szervezetének előnye az etikus hackelésnek.)

Fehér kalap szakemberek

Az etikus hackerek egy másik kifejezése a „fehér kalapok”. A fekete kalap hackerekkel ellentétben a fehér kalap hackerek olyanok, mint az internetes udvarias betörők - ugyanazokat a dolgokat csinálják, mint a fekete kalap hackerek, de nem pusztító okokból.


"Annak érdekében, hogy valóban biztosak lehessünk az egyik védelmében, valódi támadásoknak kívülről kell történnie a valódi fenyegetés szimulálása érdekében, és ezért képeseknek kell lennünk annak felismerésére és a lehető leghamarabb kijavítani" - mondja Kaiss Bouali, ügyvezető partner és CTO az Iodeednél. „Vannak olyan cégek, amelyek a White Hat Hacking-re szakosodtak, ahol speciális hackerek csapata működik (tollteszttel dolgozik), és bemutatja neked a biztonsági szivárogtatásokat, a javításukhoz szükséges lépéseket és a díjakat, amelyeket a javításért felszámítanak. nekik.

Itt fontos a „szimulálni” szó.

Visszatérve a betörés-analógiához, ha nagyon sok drága és divatos dolgod van otthonában, befektethet zárakba, vagy további biztonság elérése érdekében bérelhet valakit a betörés szimulálására. Lehet, hogy nyitott ablakot találnak az alagsorban, vagy valamilyen bejárási helyet, amely lehetővé teszi számukra, hogy bekerüljenek az otthonba, és ellopják azt, ami van. Ha azonban előzőleg egy szimulált betörésbe fektet, akkor tudja, mit kell javítani, hogy még nehezebbé tegye a jogosulatlan felek számára a hozzáférést.

Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül

Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.

Dióhéjban ez az etikus hackelés. Bolondozik a rendszerekkel annak érdekében, hogy kitaláljuk, hol vannak a gyenge pontok - hogy az ügyfél javítsa azokat és megakadályozza a valódi hackelést az esetlegesen előforduló vagy káros rendszereknél.

Etikai hackerek és behatolási tesztek

Az etikus hackerek egyik fő feladata a „penetráció teszt” vagy „toll teszt” elnevezése.

„(Az etikus hackerek) a penetráció tesztelését az arzenáluk részeként használják az ügyfelek rendszereinek a számítógépes bűnözés elleni védelmére.” - mondja Karen Franse, a Kommunikációs Stratégia Csoportból, amikor arról beszélt, hogy az SRC Technologies nevű vállalat miként használja a Synack nevű céget az etikus hackerek kiszervezéséhez.

Gondoljon erre: a cégek széles automatizálási eszközökkel rendelkeznek, amelyek segítenek nekik a rendszer sebezhetőségének felderítésében. A digitális eszközök lekérdezhetik a nyílt hálózati hozzáférési pontokat, az API-val kapcsolatos problémákat, a gyenge jelszórendszereket vagy bármilyen más lehetséges problémát. De ezt automatikusan megteszik. Etikai hackerek nélkül a kapitány székében nincs emberi felügyelet.

Az etikus hacker hozzáteszi ezt az emberi elemet. A döntési ponton ül, és a szoftvergyártók által kínált ügyes új biztonsági eszközök döntéstámogató szoftverként működnek. Gondolkodhat az etikus hackerekről, mint ezeknek az automatizált eszközöknek a rendezője, és éles szemmel észlelheti azok sikereit és kudarcait.

A penetrációs tesztelés egyik legalapvetõbb része azonban a jelentéstétel, amely utána történik.

Az etikus hackerek visszatérnek az ügyfelekhez, és pontosan megmutatják nekik, mi történt a penetrációs teszt során. Ha történt megsértés vagy behatolás, akkor a biztonsági rést kijavítják. Ez valóban meghúzza a kerületet, vékonyítja a támadási felületet és védi a vállalatokat a káros hatásoktól.

Etikai hackerek, szociális tervezés és felhasználói tudatosság

Itt van még egy nagy rész annak, amit az etikus hackerek tesznek.

A „szociális mérnöki” kifejezést arra használják, hogy mindazokra a hackelési erőfeszítésekre utaljanak, amelyek a végfelhasználó becsapásával próbálnak hozzáférést elérni.

Azok hamisító támadások? Szociális tervezés.

A lándzsás-adathalászat a szociális mérnöki tevékenység egyik leggyakoribb formája, ahol a rosszindulatú felek bennfentesekké lépnek, vagy más eszközökkel próbálják megcsalogatni a végfelhasználókat az értékes adatok vagy a hálózati hozzáférés hitelesítő adatainak feladására. Bizonyos esetekben egyszerűen elkódolják a bérszámfejtési ablakot, és arra készteti az alkalmazottakat, hogy feladják pénzügyi adataikat.

Mindez általában nagyon pusztító - tehát a társaságok etikus hackereket alkalmaznak az ilyen típusú támadások szimulálására, majd találnak gyenge pontokat és jelentést tesznek. De a következő és utolsó lépés a felhasználói tudatosság képzése. A vállalat arra törekszik, hogy minden alkalmazottnak megmutassa, mire kell figyelnie, és növekszik egy hozzáértőbb alkalmazotti bázist, egy olyan munkaerőt, amely nem jelzi ezeket a gátlástalan fekete kalap-hackereket. (Lehetséges, hogy az etikus hackerek jogi problémákba kerülnek munka közben? Ha többet szeretne megtudni az etikus hackerek jogi védelméről?)

Etikai hackerek képesítése

A képesítések valójában az etikus hackelés világában rengeteg. A vállalatok tudni akarják, hogy a szakemberek nagy tapasztalattal és engedéllyel rendelkeznek, hogy behatolási teszteket végezzenek, és egyéb típusú fehér kalapot is végezzenek.

Az egyik dolog, amit a vállalatok gyakran igényelnek, az etikus hackerek képzettsége az internet három kritikus részén: felszíni, mély és sötét. Ez a közepes méretű cikk megmutatja, hogy különböznek egymástól az internetes három szakasz, és mit jelent ez a biztonsági szakemberek számára.

Van még taktikai technikák és eljárások, vagy a TTP, az etikai hackelés hitelesítésének protokollja, valamint az Open Source Intelligence (OSINT) tanúsítása.

Egyéb képesítések a következők:

  • Certified Ethical Hacker (CEH)
  • GIAC tanúsított eseménykezelő (GCIH)
  • GIAC számítógépes fenyegetés intelligencia (GCTI)

Az etikus hackerek a vállalatok biztonsági kondicionálásának élvonalán dolgoznak, és a dolgok nagy rendszerében létfontosságúak lehetnek egy szervezet védelmében a fenyegetések ellen.