Мы не знаем, что утечки данных и кибератаки множатся, а хакерство становится все более изощренным. Компании изо всех сил пытаются идти в ногу с быстро меняющимися мотивами, тактиками и аппетитами киберпреступников. Проблема усугубляется появлением новых технологий, таких как Интернет вещей, которые предлагают хакерам новые механизмы и средства атак. Предприятия также часто мигрируют в облако, перемещая большие объемы рабочих данных и данных приложений в различные конфигурации развертывания, оставляя хакеров незащищенными для атак. Итак, какие шаги может предпринять бизнес, чтобы избежать сбоев?
Перспективы врага.
Чтобы понять и не отставать от меняющегося кибермышления, многие компании тушат огонь, иными словами, нанимают хакеров для помощи. Фактически, крупные компании, такие как Airbnb, PayPal и Spotify, недавно заявили, что они добровольно потратили более 38 миллионов фунтов стерлингов на этических хакеров, чтобы повысить свою киберзащиту и предотвратить утечку данных. Этические хакеры могут сыграть решающую роль, помогая командам безопасности учитывать все возможные векторы атак при защите приложений. Хотя архитекторы безопасности обладают обширными знаниями о лучших отраслевых практиках, им часто не хватает непосредственного опыта в том, как злоумышленники проводят разведку, цепные атаки или получают доступ к корпоративным сетям. Предполагается, что этический хакер, обладающий всеми навыками и хитростью своих противников, имеет законное право использовать сети безопасности и улучшать системы путем исправления уязвимостей, обнаруженных во время тестирования. Они также обязаны раскрывать все обнаруженные уязвимости. Использование хакеров для планирования и тестирования нашей киберзащиты может показаться нелогичным, но у них в изобилии есть ценный практический опыт. Согласно отчету Hacker Report 2019, хакерское сообщество в белой шляпе увеличилось вдвое по сравнению с прошлым годом. В прошлом году в качестве бонусов было роздано 19 миллионов долларов США — почти вся сумма, выплаченная хакерам за последние шесть лет вместе взятые. Согласно отчету, в отчете также говорится, что самые высокооплачиваемые хакеры могут зарабатывать в сорок раз больше средней годовой зарплаты инженера-программиста в своей стране.
(Изображение: © Изображение предоставлено Кевином Ку/Pexels)
Где охотиться на этичных пиратов.
Самый распространенный метод — это система «Bug Bounty», которая работает при строгих условиях. Таким образом, любой представитель общественности может искать и отправлять обнаруженные уязвимости, чтобы получить шанс выиграть бонус. Это может хорошо работать для общедоступных сервисов, таких как веб-сайты или мобильные приложения. Вознаграждение зависит от уровня предполагаемого риска, как только пострадавшая организация подтвердит достоверность вашего открытия. Использование краудсорсинга и поощрительных выплат имеет очевидные преимущества. Хакеры получают признание за свою репутацию и/или твердую валюту, чтобы выступить и доказать свои навыки на публичном форуме. В свою очередь, подрядная организация приобретает новые измерения с точки зрения безопасности и перспектив безопасности. Некоторые компании предпочитают нанимать хакеров напрямую. Практический опыт здесь имеет решающее значение. Хотя использование сторонних хакеров, некоторые из которых имеют опыт преступной деятельности, может показаться нелогичным, существует только один конкретный опыт. В конце концов, хакер есть хакер. Единственная разница заключается в том, что они делают, когда обнаруживают ошибку или уязвимость. В конце концов, нанимать бывшего киберпреступника — рискованное решение, которое нужно принимать в каждом конкретном случае. Следует также отметить, что проверка судимости помогает лишь выявить предыдущих правонарушителей, поскольку не имеет контекста того, как изменился человек. Например, человек, обвиняемый в отказе в обслуживании с самого раннего возраста, вряд ли сможет сделать международную преступную карьеру. Фактически, некоторые несовершеннолетние правонарушители часто становятся весьма уважаемыми консультантами по безопасности и лидерами мысли в отрасли. Еще одно благодатное место для охоты пиратов может оказаться поближе к дому. Лучшие практики любопытны и имеют сильную страсть к деконструкции и повторной сборке. Компании должны лучше понимать навыки тех, кто создает свои приложения, свой код и свою сетевую инфраструктуру. Возможно, они уже знают об уязвимостях, но еще не сообщили о них, поскольку это не входит в их должностные инструкции. Это напрасная трата. Лицам, принимающим решения, нужна вся информация и помощь, которую они могут получить, и это больше, чем вы думаете. На протяжении многих лет я встречал на семинарах по безопасности или мероприятиях, посвященных хакерству, множество людей, которые создавали продукты, но утверждали, что еще больше ценят усовершенствованный процесс взлома и сбор информации. Наконец, этический хакинг также становится все более формализованным. Среди выдающихся аттестаций — сертифицированный этический хакер (CEH), сертифицированный специалист по наступательной безопасности (OSCP) или глобальные сертификаты обеспечения информации (GIAC). Конечно, многие опытные хакеры будут сомневаться в таких образовательных разработках, но следите за этим.Держи друзей близко...
Хотя нанимать хакеров и бывших киберпреступников кажется неправильным, очевидно, что они могут привнести бесценные конкретные знания в ряд мероприятий по обеспечению безопасности, включая моделирование угроз и тестирование киберпреступлений. проникновение. Они могут предложить идеи, которые другие не учел, и показать компаниям, как адаптироваться к угрозам, давая представление об их тактике и мотивации. Поскольку все больше и больше компаний применяют такой подход к кибербезопасности, важно внимательно следить за своим бизнесом, чтобы убедиться, что хакеры не прибегнут к своим старым злонамеренным методам и не поставят ваш бизнес под угрозу. Тристан Ливерпуль, директор по системному проектированию F5 Networks- Защитите свои устройства от новейших компьютерных угроз с помощью лучшего антивируса