Sadržaj
- Profesionalci s bijelim šeširom
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Etički hakeri i testiranje prodora
- Etički hakeri, društveni inženjering i informiranost korisnika
- Kvalifikacije za etičke hakere
Izvor: Daniil Peshkov / Dreamstime.com
Oduzeti:
Etički hakeri obavljaju važan posao za poslodavce simulirajući napade i pokušavajući dokučiti kako se foliraju hakeri iz crnih šešira.
Izraz "etički haker" u svijetu poduzeća o IT-u brzo se steče. Ali što rade ovi profesionalci? Kako izgleda dan u životu etičkog hakera?
Na vrlo osnovnoj razini, etički hakeri su profesionalci koji probijaju korporativne sustave kako bi uočili slabosti i ranjivosti.
"Etički hakeri u osnovi su stručnjaci za IT sigurnost, koji svoje znanje koriste za proboj u sustave, poput poslužitelja i računala zaposlenika kako bi pronašli bilo kakve slabosti u sigurnosti koju ima njihov poslodavac", kaže Ryan Jones, direktor digitalnog marketinga u Imaginaire Digital. „Zatim će stvoriti izvještaj o otkrivenim slabostima i savjetovati najbolji način djelovanja.“
"Etički haker ili probni ispitivač je osoba koja testira računalne uređaje i mreže tražeći ranjivosti", dodaje Nathan House, izvršni direktor i osnivač tvrtke za cyber-sigurnost StationX. "Umjesto da to rade sa zlonamjernom ili zločinačkom namjerom, oni to rade kako bi prijavili ranjivosti kako bi se mogli popraviti." (Da biste saznali više o tome što etični hakeri mogu učiniti za organizacije, pogledajte kako Vaša organizacija može imati koristi od etičkog hakiranja.)
Profesionalci s bijelim šeširom
Drugi izraz za etičke hakere su "bijeli šeširi". Za razliku od hakera s crnim šeširima, hakeri s bijelim šeširima su poput uljudnih provalnika na internet - rade neke iste stvari koje rade hakeri s crnim šeširima, ali ne iz destruktivnih razloga.
"Da biste bili sigurni da je netko zaštićen, trebali bi se dogoditi stvarni napadi na sustav izvana kako bi se simulirala stvarna prijetnja, i stoga biste mogli prepoznati i popraviti je što je prije moguće", kaže Kaiss Bouali, upravljački partner i CTO kod Iodeed. "Postoje tvrtke specijalizirane za White Hat Hacking, gdje imaju timove posebnih hakera koji (rade na testiranju olovke) i predstavljaju vam sigurnosne propuste, korake potrebne za njihovo popravljanje i naknade koje će vam naplatiti da popravite njih za vas. "
Ovdje je važna riječ "simulirati".
Da se vratite na analogiju provalnika, ako u svom domu imate puno skupih i otmjenih stvari, možete ulagati u brave ili, za postizanje dodatne razine sigurnosti, mogli biste zaposliti nekoga da simulira provale. Možda će naći otvoren prozor u podrumu ili neki prostor za puzanje koji će im omogućiti da uđu u dom i ukradu ono što imate. Ali kad unaprijed uložite u simuliranu provale, znate što trebate popraviti kako bi neovlaštenim stranicama bilo još teže dobiti pristup.
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Ukratko, to je etičko hakiranje. Zavarava se sa sustavima kako bi otkrio gdje su slabe točke - kako bi ih klijent mogao ispraviti i spriječiti stvarno hakiranje ikad nastalih ili oštećenih sustava.
Etički hakeri i testiranje prodora
Jedan od glavnih poslova etičkog hakera je obavljanje tzv. "Penetracijskog testa" ili "olovkog testa".
"(Etički hakeri) prodora testiranja koriste kao dio svog arsenala u zaštiti sustava svojih klijenata od cyber kriminala", kaže Karen Franse iz komunikacijske strategije Group, govoreći o tome kako tvrtka pod nazivom SRC Technologies koristi firmu Synack za outsource etičko hakiranje.
Razmislite o tome - tvrtke imaju širok spektar alata za automatizaciju koji im pomažu u pronalaženju ranjivosti u sustavu. Digitalni alati mogu skenirati za pristupne točke otvorene mreže, probleme s API-jem, slabe sustave lozinki ili bilo koji drugi broj potencijalnih problema. Ali to rade na automatiziranoj osnovi. Bez etičkog hakera u kapetanskoj stolici, nema ljudskog nadzora.
Etički haker dodaje taj ljudski element. Sjedi na mjestu odlučivanja, a uredni novi sigurnosni alati koje nude proizvođači softvera djeluju kao softver za podršku odlučivanju. O etičkom hakeriranju možete razmišljati kao o orkestratoru svih ovih automatiziranih alata, uočavajući njihove uspjehe i neuspjehe oštrim očima.
Međutim, jedan od najvažnijih temeljnih penetracijskih ispitivanja je izvješćivanje koje se događa nakon toga.
Etički hakeri vratit će se klijentima i pokazati im što se točno dogodilo tijekom prodora. Ako je došlo do kršenja ili prodora, ta je ranjivost fiksna. Ovo stvarno zateže perimetar, prorjeđuje površinu napada i štiti tvrtke od štete.
Etički hakeri, društveni inženjering i informiranost korisnika
Evo još jednog velikog dijela onoga što rade etički hakeri.
Izraz "socijalni inženjering" upotrijebljen je za označavanje svih pokušaja hakiranja koji pokušavaju dobiti pristupom prevarom krajnjeg korisnika.
Ti napadi podvala? Socijalni inženjering.
Lažno predstavljanje je još jedan uobičajeni oblik društvenog inženjeringa u kojem zlonamjerne stranke lažno se predstavljaju insajderima ili koriste druge načine kako bi pokušale namamiti krajnje korisnike da se odreknu vrijednih podataka ili vjerodajnica za pristup mreži. U nekim slučajevima se jednostavno prevara prozor s platnim spiskom i natjeraju zaposlenike da se odreknu svojih financijskih podataka.
Sve je to obično prilično destruktivno - pa tvrtke unajmljuju etičke hakere da simuliraju ove vrste napada, a zatim pronađu slabe točke i prijave. No, sljedeći i posljednji korak je obuka o osvještavanju korisnika. Tvrtka ulaže u pokazujući svakom zaposleniku na što treba paziti, a oni razvijaju pametniju bazu zaposlenika, radnu snagu koja nije znak za sve ove beskrupulozne hakere na crne kape. (Mogu li etični hakeri ući u pravne probleme dok rade svoj posao? Saznajte više u tome Da li etički hakeri trebaju pravnu zaštitu?)
Kvalifikacije za etičke hakere
U stvari, kvalifikacije obiluju u svijetu etičkog hakiranja. Tvrtke žele znati da stručnjaci imaju dobro iskustvo i imaju dozvolu za obavljanje testova prodora i obavljaju druge vrste zaštite na bijelom šeširu.
Jedna stvar koju tvrtke često zahtijevaju je da etički hakeri budu vješti u tri kritična dijela interneta: površinskom webu, deep webu i dark webu. Ovaj srednji dio prikazuje kako se ta tri odjeljka na webu razlikuju i što to znači za sigurnosne stručnjake.
Tu su i taktičke tehnike i postupci ili TTP, protokol za vjerodostojno etičko hakiranje, kao i Open Source Intelligence (OSINT) certifikat.
Ostale kvalifikacije uključuju:
- Certificirani etički haker (CEH)
- GIAC certificirani rukovatelj incidentima (GCIH)
- GIAC inteligencija o cyber-prijetnji (GCTI)
Etički hakeri rade na sigurnosnoj opremi za tvrtke i u velikoj shemi stvari mogu biti od vitalne važnosti u zaštiti organizacije od prijetnji.