隨著網絡犯罪繼續在全球範圍內構成重大威脅,世界各地的企業都在增加信息安全解決方案和定期安全測試方面的支出,以在犯罪分子利用漏洞之前發現漏洞。然而,最新研究表明,去年超過 40% 的網絡攻擊實際上是零日攻擊利用傳統滲透測試遺漏的漏洞,顯然還需要做更多工作。
因此,越來越多的組織轉向所謂的“道德黑客”或灰帽,他們利用他們的技能找到傳統滲透測試組織無法發現的漏洞。然而,雖然所提供的服務可能非常有效,但黑客的想法仍然往往帶有(大部分)負面含義,這常常讓企業不確定是否找到他們可以信任的道德黑客服務。對於那些希望進一步探索道德黑客思想的人,以下是一些最佳實踐指南:
始終檢查證書和資格
在使用任何道德黑客的服務之前,企業應始終檢查和驗證其證書和資格。最廣泛接受的資格是由國際電子商務顧問委員會 (EC-Council) 頒發的認證道德黑客 (C|EH) 認證。以前的工作經驗也是衡量一個人的技能和職業道德以及他們的專業技能所在(以及他們是否符合企業的安全需求)的好方法。與過去的雇主交談和/或詢問以前項目的案例研究可能是在早期階段建立信任的一種有價值的方式。
警惕有可疑過去的道德黑客
道德黑客世界中最大的話題之一是企業是否應該考慮僱用有過犯罪記錄的道德黑客。當然,不同的人/企業對此會有不同的看法。毫無疑問,那裡有很多高技能的人,他們改變了生活的方向,現在將他們的技能用於積極的方式。然而,許多企業可能更願意與那些業績記錄顯示始終如一的良好意願的專業人士保持聯繫。
從一開始就設定明確的目標和結果
一旦企業已經確定了一個經過認證且值得信賴的安全測試人員,接下來的任務是為他們制定一份工作簡介。為了最大限度地提高成功的機會,簡報必須包含明確定義的目標和正確識別的盲點。例如,如果內部安全團隊最關心的問題是高級管理人員通過不安全的公共 WiFi 網絡登錄,這應該構成簡報的主要基礎。同樣重要的是,無論是嘗試訪問特定的核心業務應用程序還是提取敏感數據,確保盡可能在簡報中陳述預期結果。
確保日常業務運營不受影響不中斷(除非設計)
道德黑客攻擊通常涉及訪問關鍵系統,但除非特別設計,否則不應中斷日常操作。在許多企業中,即使是輕微的數據丟失或短時間的計劃外停機也會產生嚴重的連鎖反應。當然,一些公司會專門聘請道德黑客來測試他們的系統是否可以承受重大的 DDOS 攻擊,例如,但這種測試應該在不會影響業務連續性的受控環境中進行。
數據保護是另一個受各種法律限制的關鍵領域,永遠不應受到損害。在任何旨在測試數據安全的場景中,安全測試人員應該只證明他們可以訪問有問題的文件,而不是刪除或更改其中的任何文件。在任何類型的測試中,法律文件也是禁區。
在每份簡報中設定明確的截止日期
在每份簡報中設定明確的截止日期非常重要。如果有足夠的時間和資源,熟練的攻擊者最終將能夠破壞大多數係統。然而,這並不代表時間就是金錢的現實世界,網絡犯罪分子往往會尋找阻力最小的路徑。這類滲透測試的一個很好的基準是一周。如果入侵網絡的時間比這更長,那麼大多數投機取巧的網絡犯罪分子到那時可能會放棄並轉向更容易的目標,這也使其成為道德黑客測試的現實時間框架。
如果進行得當,道德黑客攻擊幾乎可以加強任何網絡安全防禦。然而,讓外部各方訪問關鍵數據和系統並不是一件輕而易舉的事情。出於這個原因,任何考慮使用道德黑客服務的企業都必須事先做好功課,並從頭到尾仔細管理流程。雖然絕大多數道德黑客都非常道德和專業,但謹慎行事永遠不會有壞處。
圖片來源:denisismagilov/depositphotos.com
Matt Rider 是 Exabeam 的 EMEA 安全工程副總裁。