องค์กรของคุณจะได้ประโยชน์จากการแฮ็กอย่างมีจริยธรรมได้อย่างไร

ผู้เขียน: Roger Morrison
วันที่สร้าง: 26 กันยายน 2021
วันที่อัปเดต: 1 พฤษภาคม 2024
Anonim
Cyber Security In A Post-Covid World | Cyber Security Challenges And Opportunities | Simplilearn
วิดีโอ: Cyber Security In A Post-Covid World | Cyber Security Challenges And Opportunities | Simplilearn

เนื้อหา


ที่มา: Cammeraydave / Dreamstime.com

Takeaway:

การแฮ็คเป็นภัยคุกคามอย่างใหญ่หลวงต่อองค์กรซึ่งเป็นเหตุผลว่าทำไมแฮ็กเกอร์ที่มีจริยธรรมมักจะเป็นทางออกที่ดีที่สุดในการค้นหาช่องว่างด้านความปลอดภัย

ธรรมชาติของภัยคุกคามความปลอดภัยทางไซเบอร์ยังคงพัฒนาอยู่ นอกเสียจากว่าระบบจะมีวิวัฒนาการในการจัดการกับภัยคุกคามเหล่านี้พวกเขาจะเป็นผู้ดูแล ในขณะที่จำเป็นต้องใช้มาตรการรักษาความปลอดภัยแบบเดิมเป็นสิ่งสำคัญที่จะต้องได้รับมุมมองของผู้ที่อาจคุกคามระบบหรือแฮกเกอร์ องค์กรต่างๆได้อนุญาตให้แฮ็กเกอร์ประเภทหนึ่งซึ่งรู้จักกันในชื่อแฮ็กเกอร์แฮกเกอร์หรือจริยธรรมเพื่อระบุช่องโหว่ของระบบและให้คำแนะนำในการแก้ไข แฮ็กเกอร์ที่มีจริยธรรมโดยได้รับความยินยอมจากเจ้าของระบบหรือผู้มีส่วนได้เสียได้ทำการเจาะระบบเพื่อระบุช่องโหว่และให้คำแนะนำในการปรับปรุงมาตรการรักษาความปลอดภัย การแฮ็กอย่างมีจริยธรรมทำให้การรักษาความปลอดภัยเป็นองค์รวมและครอบคลุม

คุณต้องการแฮ็กเกอร์ที่มีจริยธรรมหรือไม่

แน่นอนว่ามันไม่ได้บังคับให้ใช้บริการของแฮ็กเกอร์ที่มีจริยธรรม แต่ระบบความปลอดภัยทั่วไปล้มเหลวซ้ำ ๆ เพื่อให้การป้องกันที่เพียงพอต่อศัตรูที่มีขนาดและความหลากหลายมากขึ้น ด้วยการแพร่กระจายของอุปกรณ์อัจฉริยะและอุปกรณ์ที่เชื่อมต่อกันระบบต่าง ๆ กำลังถูกคุกคามอย่างต่อเนื่อง ในความเป็นจริงการแฮ็คถูกมองว่าเป็นเส้นทางที่ร่ำรวยทางการเงินซึ่งแน่นอนว่าเป็นค่าใช้จ่ายขององค์กร ดังที่ Bruce Schneier ผู้เขียนหนังสือ "ปกป้อง Macintosh ของคุณ" กล่าวไว้ "ฮาร์ดแวร์นั้นง่ายต่อการปกป้อง: ล็อคไว้ในห้องโยงมันเข้ากับโต๊ะทำงานหรือซื้ออะไหล่ข้อมูลมีปัญหามากกว่านี้ ในสถานที่มากกว่าหนึ่งแห่งสามารถเดินทางไปทั่วโลกในเวลาไม่กี่วินาทีและถูกขโมยไปโดยที่คุณไม่รู้ตัว " แผนกไอทีของคุณยกเว้นว่าคุณมีงบประมาณมากสามารถพิสูจน์ได้ว่าด้อยกว่าการโจมตีของแฮกเกอร์และข้อมูลที่มีค่าสามารถถูกขโมยได้ก่อนที่คุณจะรู้ตัว ดังนั้นจึงเหมาะสมที่จะเพิ่มมิติข้อมูลให้กับกลยุทธ์ความปลอดภัยด้านไอทีของคุณโดยการจ้างแฮ็กเกอร์ที่มีจริยธรรมซึ่งรู้จักวิธีแฮกเกอร์หมวกดำ มิฉะนั้นองค์กรของคุณอาจเสี่ยงต่อการเปิดช่องโหว่ในระบบโดยไม่รู้ตัว


ความรู้เกี่ยวกับวิธีการของแฮ็กเกอร์

เพื่อป้องกันการแฮ็คสิ่งสำคัญคือต้องเข้าใจว่าแฮ็กเกอร์คิดอย่างไร บทบาททั่วไปในการรักษาความปลอดภัยของระบบสามารถทำได้มากจนกระทั่งต้องมีการแนะนำความคิดของแฮ็กเกอร์ เห็นได้ชัดว่าวิธีของแฮ็กเกอร์นั้นมีลักษณะเฉพาะและยากสำหรับบทบาทความปลอดภัยของระบบทั่วไปที่จะจัดการ สิ่งนี้ทำให้เกิดกรณีสำหรับการจ้างแฮ็กเกอร์ที่มีจริยธรรมซึ่งสามารถเข้าถึงระบบได้เช่นแฮ็กเกอร์ที่เป็นอันตรายและในทางกลับกันค้นพบช่องโหว่ความปลอดภัย

การทดสอบแบบรุก

หรือที่เรียกว่าการทดสอบปากกาการทดสอบแบบเจาะจะใช้เพื่อระบุช่องโหว่ของระบบที่ผู้โจมตีสามารถกำหนดเป้าหมายได้ การทดสอบแบบเจาะมีหลายวิธี องค์กรอาจใช้วิธีการต่าง ๆ ขึ้นอยู่กับข้อกำหนดขององค์กร

  • การทดสอบเป้าหมายนั้นเกี่ยวข้องกับองค์กรที่เป็นคนและแฮ็กเกอร์ เจ้าหน้าที่องค์กรทุกคนรู้เกี่ยวกับการแฮ็คข้อมูล
  • การทดสอบภายนอกจะแทรกซึมระบบที่เปิดเผยภายนอกทั้งหมดเช่นเว็บเซิร์ฟเวอร์และ DNS
  • การทดสอบภายในเปิดช่องโหว่ให้ผู้ใช้ภายในที่มีสิทธิ์เข้าถึง
  • การทดสอบคนตาบอดจำลองการโจมตีที่แท้จริงจากแฮกเกอร์

ผู้ทดสอบจะได้รับข้อมูลที่ จำกัด เกี่ยวกับเป้าหมายซึ่งต้องการให้พวกเขาทำการลาดตระเวนก่อนการโจมตี การทดสอบแบบเจาะลึกเป็นกรณีที่แข็งแกร่งที่สุดสำหรับการจ้างแฮ็กเกอร์ที่มีจริยธรรม (หากต้องการเรียนรู้เพิ่มเติมดูการทดสอบการเจาะและความสมดุลที่ละเอียดอ่อนระหว่างความปลอดภัยและความเสี่ยง)


การระบุช่องโหว่

ไม่มีระบบใดที่สามารถป้องกันการโจมตีได้อย่างสมบูรณ์ ถึงกระนั้นองค์กรต่าง ๆ จำเป็นต้องให้ความคุ้มครองหลายมิติ กระบวนทัศน์ทางจริยธรรมของแฮ็กเกอร์เพิ่มมิติที่สำคัญ ตัวอย่างที่ดีคือกรณีศึกษาขององค์กรขนาดใหญ่ในโดเมนการผลิต องค์กรรู้ข้อ จำกัด ในแง่ของความปลอดภัยของระบบ แต่ไม่สามารถทำอะไรได้มากด้วยตัวเอง ดังนั้นจึงว่าจ้างแฮ็กเกอร์ที่มีจริยธรรมเพื่อประเมินความปลอดภัยของระบบและให้ข้อค้นพบและคำแนะนำ รายงานประกอบด้วยส่วนประกอบต่อไปนี้: พอร์ตที่มีช่องโหว่มากที่สุดเช่น Microsoft RPC และการดูแลระยะไกลคำแนะนำในการปรับปรุงความปลอดภัยของระบบเช่นระบบตอบสนองเหตุการณ์การปรับใช้เต็มรูปแบบของโปรแกรมจัดการช่องโหว่

การเตรียมพร้อมสำหรับการโจมตี

การโจมตีนั้นหลีกเลี่ยงไม่ได้ไม่ว่าระบบจะเสริมความแข็งแกร่งอย่างไร ในที่สุดผู้โจมตีจะพบช่องโหว่หรือสองช่องโหว่ บทความนี้ได้ระบุไว้แล้วว่าการโจมตีทางไซเบอร์โดยไม่คำนึงถึงขอบเขตของระบบที่ได้รับการเสริมกำลังนั้นเป็นสิ่งที่หลีกเลี่ยงไม่ได้ นั่นไม่ได้หมายความว่าองค์กรควรหยุดการเสริมความปลอดภัยให้กับระบบของพวกเขา การโจมตีทางไซเบอร์ได้รับการพัฒนาและวิธีเดียวที่จะป้องกันหรือลดความเสียหายคือการเตรียมพร้อมที่ดี วิธีหนึ่งในการเตรียมระบบป้องกันการโจมตีคือการอนุญาตให้แฮกเกอร์ที่มีจรรยาบรรณระบุช่องโหว่ได้ล่วงหน้า

มีตัวอย่างมากมายและเกี่ยวข้องกับตัวอย่างของกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) DHS ใช้ระบบที่มีขนาดใหญ่และซับซ้อนมากซึ่งทั้งเก็บและประมวลผลข้อมูลลับจำนวนมาก การละเมิดข้อมูลเป็นภัยคุกคามที่ร้ายแรงและเท่ากับการคุกคามความมั่นคงของประเทศ DHS ตระหนักดีว่าการทำให้แฮ็กเกอร์ที่มีจริยธรรมต้องบุกเข้ามาในระบบก่อนที่แฮ็กเกอร์แฮ็คสีดำจะเป็นวิธีที่ชาญฉลาดในการยกระดับการเตรียมพร้อม ดังนั้นแฮ็ค DHS Act จึงผ่านไปซึ่งจะช่วยให้แฮ็กเกอร์ที่ผ่านการคัดเลือกด้านจริยธรรมสามารถเจาะเข้าสู่ระบบ DHS ได้ การกระทำดังกล่าวได้อธิบายอย่างละเอียดว่าโครงการนี้จะทำงานได้อย่างไร กลุ่มของแฮ็กเกอร์ที่มีจริยธรรมจะได้รับการว่าจ้างให้เจาะเข้าไปในระบบ DHS และระบุช่องโหว่ถ้ามี หากมีการระบุช่องโหว่ใหม่ ๆ แฮ็กเกอร์ที่มีจริยธรรมจะได้รับรางวัลทางการเงิน แฮกเกอร์ที่มีจริยธรรมจะไม่ถูกดำเนินคดีเนื่องจากการกระทำของพวกเขาแม้ว่าพวกเขาจะต้องทำงานภายใต้ข้อ จำกัด และแนวทาง การกระทำดังกล่าวทำให้ผู้บังคับใช้จริยธรรมทุกคนที่เข้าร่วมในโปรแกรมต้องผ่านการตรวจสอบประวัติอย่างละเอียด เช่นเดียวกับ DHS องค์กรที่มีชื่อเสียงได้ว่าจ้างแฮ็กเกอร์ที่มีจริยธรรมเพื่อยกระดับการเตรียมพร้อมด้านความปลอดภัยของระบบเป็นเวลานาน (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยโดยทั่วไปโปรดดูหลักการพื้นฐาน 7 ประการของความปลอดภัยด้านไอที)

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

ข้อสรุป

ทั้งการแฮ็กตามหลักจริยธรรมและความปลอดภัยด้านไอทีทั่วไปจำเป็นต้องทำงานร่วมกันเพื่อปกป้องระบบขององค์กร อย่างไรก็ตามผู้ประกอบการจำเป็นต้องวางแผนกลยุทธ์เพื่อการแฮ็กอย่างมีจริยธรรม พวกเขาสามารถนำนโยบาย DHS ออกจากการแฮ็กจริยธรรม บทบาทและขอบเขตของแฮ็กเกอร์ที่มีจริยธรรมจะต้องมีการกำหนดไว้อย่างชัดเจน เป็นสิ่งสำคัญที่องค์กรจะต้องตรวจสอบและถ่วงดุลเพื่อที่แฮ็กเกอร์จะไม่เกินขอบเขตงานหรือก่อให้เกิดความเสียหายต่อระบบ องค์กรต้องให้ความมั่นใจแก่แฮกเกอร์ที่มีจริยธรรมว่าจะไม่มีการดำเนินการทางกฎหมายในกรณีที่มีการละเมิดตามที่กำหนดไว้ในสัญญา