白帽、紅隊和滲透性測試
道德黑客會在企業(yè)的業(yè)務系統(tǒng)中尋找安全漏洞,以幫助企業(yè)解決問題。
網絡安全服務商AttackIQ公司的副總裁兼首席信息安全官(CISO)Chris Kennedy表示:“紅隊(Red Teams)就是采用的一種道德黑客的概念,他們可以在惡意攻擊者攻擊之前發(fā)現(xiàn)問題。它允許企業(yè)的數(shù)據(jù)中心在惡意攻擊者發(fā)現(xiàn)之前堵住安全漏洞。”
他說,這里涉及廣泛的活動和技能水平。例如,可以使用自動化工具來查找系統(tǒng)和應用程序中的已知缺陷。另一方面,才華橫溢的工程師可以對應用程序進行逆向工程。
他說,“他們可以尋找憑據(jù)的管理方式,以及用于通信的協(xié)議中的缺陷。”白帽黑客也可以被部署來突破數(shù)據(jù)中心的物理安全,或者模仿內部人員并試圖竊取數(shù)據(jù)。
Kennedy表示,這完全取決于成本效益分析以及數(shù)據(jù)中心想要實現(xiàn)的目標。他說,“大多數(shù)人都不想承擔被惡意攻擊的風險。如果遭遇攻擊可能帶來損失,就會承擔責任,這會使員工感到恐懼。”
他說,大多數(shù)情況下,滲透性測試(Pen Tests,Pen是“Penetration”的縮寫)僅涉及身份卡(badging)系統(tǒng)有效且門鎖已固定。黑客具有一些技巧,以避開安全系統(tǒng)的檢測。
他說,“以磁性門鎖為例,它們依靠運動傳感器工作。我親眼目睹了一次滲透性測試,安全人員采用一根木棍和一張卡片迅速打開了門鎖。”
Kennedy警告說,數(shù)據(jù)中心管理人員在雇傭白帽黑客之前應采取一些防范措施。這包括調查滲透性測試公司的聲譽及其審查員工的政策。
他表示,滲透測試還應該有一個明確定義的范圍。數(shù)據(jù)中心需要決定如何監(jiān)控滲透性測試。安全運營中心是否會意識到發(fā)生了什么?對于黑客的行為為什么不會發(fā)出警報?或者他們是否會注意到受到攻擊?數(shù)據(jù)中心應提前計劃以防萬一。
BeyondTrust公司首席技術官 Morey Haber說:“道德黑客就像其他人一樣。盡管他們攻擊的意圖很好,但他們的測試可能會帶來不良后果。”
他說,例如,如果一個系統(tǒng)在測試前是適度安全的,那么道德黑客可能會在測試后意外地使其處于易受攻擊的狀態(tài)。如果不加以補救,就可以讓真正的攻擊者更容易闖入。
Haber說,“道德黑客記錄了他們的行為,并且如果這些文件沒有得到保護并被視為敏感文件,則可以將它們用作真正的威脅行為者進行破壞的藍圖。黑客甚至會與道德黑客彼此交流。雖然保密協(xié)議將禁止命名,但這種方法通常對于論文和會議來說是公平的。這一曝光有助于技術社區(qū),但也可能會讓一些黑客嘗試其攻擊技術。”
羅得島州技術咨詢機構Carousel Industries公司的首席信息安全官Jason Albuquerque表示,為了降低這些風險,企業(yè)應該與值得信賴、信譽良好的公司合作。
企業(yè)選擇的滲透測試公司應該有適當?shù)恼J證、道德規(guī)范和行為準則,以及清晰概述測試范圍的結構化流程。
他說:“如果安全工程師遇到敏感的、個人的、機密的或專有的信息,他們的行動必須以百分之百關注保護客戶為指導方針。”
當黑客來敲門
有時,白帽黑客在沒有獲得企業(yè)同意的情況侵入其系統(tǒng)。
AttackIQ公司Kennedy的一個朋友表示,一名黑客聯(lián)系到他,聲稱已經侵入了該朋友公司的安全系統(tǒng),該公司的一個程序已經脫離補丁程序管理范圍,并已公開泄露。白帽黑客對他說,‘我發(fā)現(xiàn)了這個問題,你愿意提供賠償嗎?'他的朋友進行了漏洞掃描,找到了問題立即修復,并向這位黑客支付了酬金。
Kennedy表示,如果這發(fā)生在企業(yè)身上,那么第一步就是驗證問題。它可以像運行掃描一樣簡單,也可以要求黑客提供更多信息。
他說:“企業(yè)首先需要接觸黑客,為了設定正確的賠償標準,可以讓黑客透露可能泄露的資產,也許企業(yè)的一位開發(fā)人員只是進行了修改,并沒有任何商業(yè)價值。下一步是確定黑客是否值得信任,企業(yè)需要了解其行為是否出于惡意目的還是白帽黑客。現(xiàn)實是,可能會向他們支付費用,否則黑客可能會以惡意方式公開披露漏洞。”
專家建議,數(shù)據(jù)中心管理人員需要了解白帽黑客可能會提出什么樣的要求,并與Bugcrowd等信譽良好的組織簽約,或者向黑客支付費用,以符合道德的方式幫助企業(yè)查找漏洞。
Keeper Security公司首席技術官兼聯(lián)合創(chuàng)始人Craig Lurey說:“歸根結底,如果道德黑客能夠向供應商報告公開的客戶數(shù)據(jù)或訪問受保護系統(tǒng)的調查結果,這對每個人都是一件好事。道德黑客從Bug Bounty程序中的Bug Bounty和Status排名中獲益,而供應商則從提高安全級別中獲益。”
回擊是一個“愚蠢的想法”
如果數(shù)據(jù)中心管理人員看到一些犯罪分子頻繁入侵其數(shù)據(jù)中心而茫然無措,就會感到沮喪,可能會動手回擊。
例如,曾經遭遇勒索軟件的一名受害者Tobias Frömel最近入侵了網絡攻擊者的命令和控制服務器,并為近3000名其他受害者提供勒索軟件解密密鑰,隨后他與公眾分享了這些密鑰。
在最近的另一起案件中,一名黑客侵入地下信用卡數(shù)據(jù)盜竊市場BriansClub,并盜走了2600多萬條記錄。這位道德黑客然后與金融組織合作保護賬戶的安全組織分享了此數(shù)據(jù)。
盡管這聽起來很有趣并且可能令人滿意,但安全專家普遍譴責黑客進行的回擊。
AttackIQ公司的Kennedy說,“這是違法行為。而進攻性回應是執(zhí)法部門的責任。最好的辦法是向有關當局報告,收集盡可能多的信息,并以高度完整性的方式維護這些信息,以便可以將其用于起訴。但是不建議進行黑客回擊。”
阻止企業(yè)數(shù)據(jù)中心安全人員進行黑客入侵的不僅僅是法律責任。欺騙和檢測安全服務商Attivo Networks公司首席安全架構師Chris Roberts對此表示認同。他說,“這是一個愚蠢的想法,永遠不應該這樣做。例如,網絡攻擊者可能已經在企業(yè)的系統(tǒng)中留下并不知道的后門。如果企業(yè)進行回擊,網絡攻擊者可能會摧毀他們能找到的一切。但最大的問題是知道誰在攻擊。”
Roberts舉例說,“如果有人在街上無故毆打你,通常會看清楚是誰干的。但是在數(shù)字世界中,黑客可以使用來自多個不同國家的不同計算機進行攻擊,企業(yè)可能最終會把責任歸咎于無關人員。”
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號