Com o cibercrime continuando a representar uma grande ameaça em todo o mundo, as empresas em todos os lugares estão aumentando seus gastos com soluções de segurança da informação e testes regulares de segurança para encontrar vulnerabilidades antes que os criminosos possam explorá-las. No entanto, com a pesquisa mais recente mostrando que 40 por cento dos ataques cibernéticos no ano passado foram, na verdade, explorações de dia zero que levaram vantagem das vulnerabilidades perdidas pelos testes de penetração tradicionais, fica claro que ainda é preciso fazer mais.
Por esse motivo, um número crescente de organizações está se voltando para os chamados’hackers éticos’ou chapéus cinzas, que use suas habilidades para encontrar as vulnerabilidades que as organizações tradicionais de teste de penetração não conseguem. No entanto, embora os serviços oferecidos possam ser incrivelmente eficazes, a ideia de hacking ainda tende a carregar (principalmente) conotações negativas, o que muitas vezes deixa as empresas inseguras sobre como encontrar um serviço de hacking ético em que possam confiar. Para aqueles que desejam explorar mais a ideia de hacking ético, abaixo estão algumas diretrizes de práticas recomendadas para fazê-lo:
Sempre verifique credenciais e qualificações
Antes de contratar os serviços de qualquer hacker ético, as empresas devem sempre verificar e verificar suas credenciais e qualificações. A qualificação mais amplamente aceita é a certificação Certified Ethical Hacker (C|EH), emitida pelo Conselho Internacional de Consultores de Comércio Eletrônico (EC-Council). A experiência de trabalho anterior também é uma ótima maneira de avaliar as habilidades e ética de trabalho de alguém, bem como onde estão suas habilidades especializadas (e se elas se alinham com as necessidades de segurança do negócio). Falar com empregadores anteriores e/ou pedir estudos de caso de projetos anteriores pode ser uma forma valiosa de construir confiança nesta fase inicial.
Cuidado com hackers éticos com passados questionáveis
Um dos maiores pontos de discussão no mundo do hacking ético é se as empresas devem considerar a contratação de hackers éticos com condenações criminais anteriores. Claro, diferentes pessoas/empresas terão opiniões diferentes sobre isso. Sem dúvida, existe uma grande quantidade de indivíduos altamente qualificados por aí que mudaram o curso de suas vidas e agora usam suas habilidades para fins positivos. No entanto, muitas empresas provavelmente preferirão ficar com profissionais cujo histórico demonstre boas intenções consistentes.
Estabeleça metas e resultados claros desde o início
De vez em quando empresa identificou um testador de segurança que é certificado e confiável, a próxima tarefa é definir um resumo para eles trabalharem. Para maximizar as chances de sucesso, é vital que o brief contenha objetivos claramente definidos e pontos cegos devidamente identificados. Por exemplo, se a principal preocupação da equipe de segurança interna estiver relacionada a executivos seniores fazendo login por meio de redes Wi-Fi públicas não seguras, isso deve constituir a base principal do resumo. É igualmente importante garantir que os resultados desejados sejam declarados no resumo sempre que possível, seja tentando acessar aplicativos de negócios principais específicos ou extrair dados confidenciais.
Certifique-se de que as operações de negócios diárias não sejam t interrompido (a menos que por design)
O hacking ético geralmente envolve o acesso a sistemas críticos, mas não deve interromper as operações diárias, a menos que especificamente por design. Em muitas empresas, mesmo pequenas perdas de dados ou curtos períodos de inatividade não planejado podem ter graves efeitos indiretos. É claro que algumas empresas se envolverão com hackers éticos especificamente para testar se seus sistemas podem resistir a um grande ataque DDOS, por exemplo, mas esse tipo de teste deve ser realizado em ambientes controlados que não afetem a continuidade dos negócios.
A proteção de dados é outra área importante que está sujeita a todos os tipos de restrições legais e nunca deve ser comprometida. Em qualquer cenário projetado para testar a segurança dos dados, o testador de segurança deve apenas demonstrar que pode acessar os arquivos em questão, não remover ou alterar nenhum deles. Documentos legais também estão fora dos limites durante qualquer tipo de teste.
Crie prazos firmes em cada resumo
É importante estabelecer prazos claros em cada resumo. Com tempo e recursos suficientes, invasores habilidosos poderão eventualmente comprometer a maioria dos sistemas. No entanto, isso não é representativo do mundo real, onde tempo é dinheiro e os cibercriminosos tendem a procurar o caminho de menor resistência. Uma boa referência para esses tipos de testes de penetração é de uma semana. Se uma rede demorar mais do que isso para invadir, a maioria dos cibercriminosos oportunistas provavelmente desistirá e seguirá para um alvo mais fácil, tornando-o um prazo realista para testes de hacking ético também.
Quando conduzido corretamente , o hacking ético pode reforçar quase qualquer defesa de segurança cibernética. No entanto, dar a terceiros acesso a dados e sistemas críticos não é algo que deva ser feito levianamente. Por esse motivo, qualquer empresa que esteja pensando em contratar os serviços de um hacker ético deve fazer sua lição de casa com antecedência e gerenciar o processo com cuidado do início ao fim. Embora a grande maioria dos hackers éticos seja altamente ética e profissional, nunca é demais agir com cautela.
Crédito da imagem: denisismagilov/depositphotos.com
Matt Rider é vice-presidente de engenharia de segurança EMEA na Exabeam.