Наем хакеров в качестве консультантов по безопасности

Опубликовано: 13 Апреля, 2023

Хотя такая практика существует уже довольно давно, вопрос о том, следует ли вам нанимать исправившихся хакеров в качестве консультантов по безопасности, в последнее время вызывает много вопросов в прессе. Это кажется очень щекотливым вопросом, и есть твердые мнения с обеих сторон. Учитывая, что этот вопрос вызывает столько жары, я хотел воспользоваться возможностью, чтобы обсудить обе стороны вопроса.


Прежде чем я начну


Прежде чем я начну, я хочу прояснить несколько моментов. Во-первых, каждый раз, когда я пишу какую-либо статью о хакерстве, я всегда получаю как минимум несколько электронных писем от читателей, описывающих неправильное использование мною слова «хакер». На самом деле термин «хакер» относится к тому, кто любит возиться с аппаратным или программным обеспечением, чтобы расширить его возможности. Средства массовой информации и популярная культура исказили значение этого слова, превратив его в человека, который взламывает компьютерные системы. Для целей этой статьи я буду использовать слово «хакер» для обозначения того, кто взламывает компьютерные системы.


Еще одна вещь, которую я хочу убрать с дороги, это небольшое признание. Я сам хакер в серой шляпе. Какое-то время в конце 1980-х и начале 1990-х я участвовал в многочисленных незаконных взломах. В то время я был злым подростком, и мне казалось, что это то, что нужно сделать. Однако где-то в 1992 году я пришел в себя и решил стать легитимным. С тех пор я воздерживаюсь от незаконного взлома. Сегодня я являюсь совладельцем фирмы, занимающейся исследованиями в области безопасности. Одной из услуг, которые предлагает эта компания, является тестирование на проникновение в систему безопасности. По сути, это означает, что за определенную плату мы можем попытаться взломать сеть компании, а затем представить компании отчет с подробным описанием существующих дыр в безопасности и способов их устранения.


Причина, по которой я говорю вам это, заключается в том, что я хочу быть абсолютно честным и откровенным со своими читателями. Если бы вы прочитали эту статью, а потом узнали, что я владею консалтинговой фирмой по вопросам безопасности, это, вероятно, могло бы показаться, что у меня есть конфликт интересов. Поскольку я ценю свою журналистскую честность, я собираюсь обсудить обе стороны вопроса, хотя лично мне было бы полезно обсудить только положительные аспекты найма серых хакеров в качестве консультантов.


Положительные аспекты найма серых хакеров


Хорошо, теперь, когда я разобрался с этим, пришло время продолжить обсуждение. Во-первых, я хочу рассказать о положительных сторонах найма бывших хакеров в качестве консультантов по безопасности. Наиболее очевидным преимуществом найма бывших хакеров является то, что у них есть реальный опыт взлома. Есть некоторые вещи, которые вы просто не можете узнать из книги. Книги хорошо объясняют основные приемы взлома. Тем не менее, я могу сказать вам из личного опыта, что каждый взлом отличается, потому что каждая сеть уникальна. Хакер редко может использовать одну технику для получения полного доступа к сети. Часто хакерам приходится комбинировать несколько методов или применять методы иначе, чем обычно, чтобы компенсировать различные средства защиты сети. Только тот, у кого большой опыт взлома в реальном мире, может эффективно переходить от использования одной техники к другой, как того требует текущая ситуация.


Еще один положительный аспект найма реформированных хакеров в качестве консультантов по безопасности заключается в том, что следить за последними эксплойтами безопасности и контрмерами — это работа на полный рабочий день. В большинстве компаний ИТ-персонал имеет приемлемый уровень знаний в области безопасности, но большую часть своего внимания они должны уделять повседневным обязанностям по поддержанию работоспособности сети. Хороший консультант по безопасности сосредотачивается почти исключительно на безопасности и, следовательно, имеет уровень знаний в области безопасности, который намного превышает уровень большинства других ИТ-специалистов.


Отрицательные аспекты найма серых хакеров


Теперь, когда я обсудил некоторые положительные аспекты найма бывших хакеров в качестве консультантов по безопасности, я хочу уделить немного времени и обсудить отрицательные стороны. Безусловно, самым большим минусом является вопрос доверия. Подумайте об этом на мгновение. Основная предпосылка безопасности — решить, кому вы доверяете, а затем заблокировать всех остальных. Когда вы нанимаете бывшего хакера в качестве консультанта по безопасности, вы фактически доверяете неприкосновенность своей сети бывшему преступнику. Если подумать, это все равно, что позволить кому-то, кто был осужден за кражу со взломом, оставаться в вашем доме, когда вас там нет. Если вы беспокоитесь о безопасности своей сети, доверить ее преступнику звучит безумно.


Когда вы думаете о том, насколько вы доверяете бывшему хакеру, вы также должны учитывать влияние, которое решение о найме этого человека окажет на ваших клиентов и акционеров. Что бы подумали ваши клиенты, если бы узнали, что вы используете бывшего преступника для проверки безопасности базы данных, содержащей номер их кредитной карты?


За последние несколько лет было много раз, когда друзья просили меня проверить безопасность их сетей. Хотя я никогда не отворачивался от друга, мне пришлось отказать нескольким людям, потому что я просто не мог вписать эту работу в свой график. В таких случаях я обычно советовал своим друзьям проверить биографические данные и тщательно пройти собеседование, прежде чем нанимать бывшего хакера (которого они лично не знают) для проверки безопасности их сети. Проверки биографических данных работали довольно хорошо. Однако в последнее время участились случаи, когда консультанты по безопасности сообщали потенциальным клиентам, что их политика конфиденциальности запрещает им разглашать имена других клиентов или подробности их работы. Хотя я, конечно, могу понять понятие уважения конфиденциальности вашего клиента, многие неквалифицированные хакеры-любители начинают использовать политику конфиденциальности, чтобы скрыть отсутствие опыта. Это означает, что вам придется быть особенно осторожными с проверкой данных.


Еще один негативный аспект использования хакеров в качестве консультантов по безопасности связан с тем, как многие консультанты по безопасности работают в целом. Лично я никогда бы не стал вести свой консультационный бизнес таким образом, но я побывал в окружении достаточного количества консультантов по безопасности, чтобы знать, как ведется игра.


Работа консультанта по безопасности заключается не в том, чтобы защитить вашу сеть, а в том, чтобы сделать вашу компанию полностью зависимой от них. Консультанты по безопасности обычно предлагают вам бесплатную оценку безопасности вашей сети. После завершения оценки они покажут вам отчет, в котором задокументированы тысячи потенциальных уязвимостей. Они пытаются создать впечатление, будто вам срочно необходимо защитить свою сеть. Однако они ясно дают понять, что вашим ИТ-специалистам не следует доверять исправление уязвимостей, поскольку они даже не знали о существовании уязвимостей. В рамках рекламной кампании консультант обсудит некоторые из наиболее громких хакерских атак, которые в последнее время были в средствах массовой информации. Они будут сравнивать эти взломы с вашей сетью. Консультант, вероятно, даже расскажет вам, как взломанная компания балансирует на грани банкротства из-за потери клиентов и из-за того, что взлом нанес столько внутренних повреждений.


Как только консультант убедит вас, что у вас есть огромная проблема, он предложит исправить проблему за огромную плату. Разработка новой политики безопасности обычно требует десятков совещаний с ИТ-персоналом, и все эти совещания оплачиваются. После того как новая политика будет разработана, консультанту потребуется несколько недель для ее реализации. Опять же, все время консультанта оплачивается.


Как только новая политика будет внедрена, консультант, вероятно, будет настаивать на проведении проверки несколько раз в год. Проблема в том, что к настоящему моменту у консультанта, вероятно, есть свой собственный стол в вашем офисе. Они знают ваш бюджет, ваши покупательские привычки и то, что они могут сказать, чтобы вы потратили больше денег. Они также знают, что новая политика безопасности, которую они внедрили, настолько сложна, что никто, кроме них, ее не понимает. Это означает, что теперь вы полностью зависите от консультанта в вопросах безопасности. Если вам нужно внести изменения в политику безопасности, единственный способ, которым вы сможете это сделать, — обычно звонить консультанту.


Вывод


Я лично считаю, что стоит нанять бывших хакеров для оценки вашей безопасности (если бы я не верил, что у меня не будет консультационной фирмы по безопасности). В то же время я абсолютно уверен, что если вы собираетесь нанять бывшего хакера (или любого другого консультанта по безопасности, если на то пошло), вам необходимо предпринять некоторые шаги, чтобы предотвратить ограбление себя и предотвратить нарушение безопасности вашей компании. эксплуатировал. Вот несколько вещей, которые вы можете сделать, чтобы не стать жертвой консультанта по безопасности.


Не полностью отдавайте свои потребности в области безопасности на аутсорсинг. Полный аутсорсинг безопасности обойдется вашей компании в целое состояние и вряд ли сделает вашу сеть более безопасной, чем если бы ваша безопасность оценивалась консультантом несколько раз в год.


Не давайте консультанту по безопасности ничего, что вам не нужно. Например, никогда не давайте консультанту по безопасности пароль администратора. Помните, что вы платите консультанту за поиск дыр в вашей сети. Если существуют серьезные дыры в безопасности, хакер может получить административный доступ самостоятельно, но вы не должны просто отдавать его ему.


Используйте различные консалтинговые фирмы и сообщите консультантам, что вы не будете использовать их исключительно. Разные консультанты обладают разным набором навыков, и вполне вероятно, что один консультант обнаружит проблему безопасности, которую пропустил другой. Это не означает, что консультант, упустивший проблему, некомпетентен. Это просто означает, что у двух консультантов разные наборы навыков. Еще одна причина использования нескольких консалтинговых фирм заключается в том, что это не позволяет вам оказаться в положении, в котором ваша компания полностью зависит от конкретной фирмы.


Наконец, решите, какая защита действительно нужна вашей сети. Ни одна компьютерная система не может быть полностью защищена, и ваша компания может потратить астрономическую сумму денег на обеспечение полной безопасности. Чтобы не тратить слишком много денег на консультантов по безопасности, поставьте реалистичные цели относительно того, что вы хотите, чтобы консультант сделал для вас.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023