美國軍方在上周冒險進入了新領域，在“黑了軍隊”懸賞行動的第一天，眾多被邀請的黑客挑戰入侵軍方的官方網站，試圖尋找那些可能的漏洞。

美軍部長Eric Fanning在11月中旬發布這個計劃的時候說道“我們對于國防部以外發生的那些科技變化并非十分靈活，我們也在尋求新的做事方法。”其中就包括打破了以往政府避免與黑客組織打交道的慣例。

和軍方一樣，企業也意識到黑客并不是罪犯的同義詞，而且將黑客變成自己的雇員可能是面對真正挑戰的唯一方法。

在Radware and Merrill Research進行的調研中，超過59%的受訪經理表示曾經雇傭或會雇傭一個前黑客加入他們的網絡安全團隊。1/4以上的受訪機構表示雇傭前黑客超過2年以上，包括所謂的白帽子或有道德的黑客：灰客——那些并非心懷惡意觸犯法律或道德標準的人——而黑客通常是惡意操作。

在科技職業網站Dice.com上發布招聘道德黑客的職位從2013年的100個到了如今的800個以上。網站董事長Bob Melk表示“與每天超過80000個科技職位的發布量相比，這是個小數目，但很明顯這種專業需求的增長十分迅速。”

HackerOne的聯合創始人兼CTO AlexRice表示，“黑客在尋找一般人無法找到的細枝末節上有特殊的才能，如那些未知的漏洞、并未完全修復好的錯誤，”HackerOne的社區中有70000個黑客在線的漏洞懸賞平臺。“任何機構都有錯過的漏洞。”他們愿意承擔讓一位思維獨特、技術高超的黑客進入尋找問題這樣的風險。

“我們作為供應商已經觀戰良久，現在作為用戶也是一樣，”Jon Oltsik是Enterprise Strategy集團的首席分析師與網絡安全服務負責人。“那些為了有趣或者研究目的黑入系統的人是首選雇傭對象，他們是很好的獵人與法律調查員，也許沒有資質證明，但他們有很好的技巧與能力。”

但是雇傭一個因黑客行為觸犯法律的人的確有其風險，企業也必須權衡他們想達成的目的與能承擔的風險。“你要不要忽略背景雇傭一個罪犯？得看具體情況，有的時候答案是肯定的。根據各自的風險評估結果。”Rice認為。

有很多著名黑客走上了成功合法的職業生涯。2008年，18歲的Owen Walker作為國際黑客組織的頭目，被指控造成2000萬美元損失，他后來去了通信公司Telstra的安全部門工作。Jeff Moss，是Black hat和DEF CON計算機攻擊論壇創始人，經營著一個遍布黑客的地下網絡，由好奇心開始最后成為罪犯。在2009年，他加入了美國國土安全顧問委員會，并在2011年被任命為ICANN的CSO。Kevin Mitnick目前是安全意識培訓網站KnowBe4的首席官員，曾因入侵40家以上大企業被FBI列入通緝名單。

模糊的灰色地帶

大部分黑客不是惡棍或罪犯，Rice認為，“他們能很好地把控自己的能力，其實他們可以選擇去做一個罪犯但沒有——這和其他類型的專業人員是一樣的。”

但是在白帽子和黑客之間，有多少企業能判斷這中間的灰色地帶到底是怎樣的？“一個人的黑客行為在另一人看來只是安全研究罷了，”Stu Sjouwerman，KnowBe4的創始人兼CEO表示，“正如同對一人來說是自由斗士之于他人則變成恐怖分子。”

供應商公司通常會選擇雇傭道德黑客，Oltsik說，“也許他們曾觸碰法律邊界，但他們并未背負罰單或被定罪。”

KnowBe4雇傭了4名白-灰帽子作為安全研究員，偶爾地，公司會在其避免受攻擊中踩到法律邊界——最近CEO本人就遭遇了欺詐。

有人冒名Sjouwerman發了郵件給其審計官并要求電匯40000美元。在馬上意識到這是個騙局的同時，他的團隊找到騙子的身份信息以其人之道還制其人之身。

“我們發了封釣魚郵件給他的AOL賬號，告知登錄次數過多賬戶被鎖，請重新登錄解鎖。他馬上就掉入陷阱了。”Sjouwerman回憶道。

5分鐘后，Sjouwerman的團隊就收到了騙子AOL賬戶的用戶名和密碼。登錄后，他們清空其AOL賬導入他們自己的PSD文檔并檢查他做了什么。這種騙局保證騙子月凈入25萬美元。

“我們知道不能這么做但還是做了，”Sjouwerman說。那么黑客員工的話，“這種事情很容易去嘗試，無論白帽子還事灰帽子。”

雇傭黑客的障礙

Global CSO Shawn Burke非常愿意聽取黑客關于他的團隊在Sungard Availability 服務中的安全控制解決方案里沒涉及到的那些建議，“他們肯定有很多拿得出手的東西。”但是對于Sungard這種為高度管制的金融機構及政府機關提供服務的公司來說，嚴格的背景審查必不可少。“當然，他們的簡歷或背景調查中也不會顯示他們有什么把柄被抓到。”

Sungard確實雇傭了一批白帽子做SANS滲透測試以及培訓如何正規地入侵。其中一名員工在上份工作中被卷入“NSA top-secret work”，“他看到了很多其他人從未意識到的東西，”Burke說道，“然而他們不能談論這些——但他們知道如何去說，用那種秘密的方式，我覺得我們的安全控制也應該用這樣的方式進行。”在提到選擇員工時，Burke認為信任是關鍵，“我必須相信他們能夠做好工作。”

小心翼翼地推進

專家認為企業雇傭黑客應該采取必要的預防措施。

首先，在招聘前進行背景審查，Oltsik說道，“任何形式的法律問題或者犯罪背景都要亮紅燈，與同僚的摩擦或齟齬經歷，人事糾紛，私下兼職——與雇用其他人時所需注意的沒什么不同。”

當評價一個可能有案底的灰、黑客時，“通常是由各種認識的人推薦來幫助他們獲得工作，”Sjouwerman說。“有人背書就是某種程度上比較可靠且唯一能夠成功的途徑了。”

一旦成為雇員，黑客們在自己的位置上通常如魚得水，但是一定要確保你能夠監控并管得住他們。Oltsik說，“他們擁有的技能殺傷力很大，經過一段時間的工作，你能很快判斷出是否有人在做些令人懷疑的事。”

企業同時應該思考黑客是否能融入團隊，黑客們天性上趨于單槍匹馬而非團隊合作，Oltsik表示，“如果你有個員工以入侵破壞系統為樂，也不是那么合群，你是否能找到一個適合他并且有利于雙方的位置給他呢。”

讓他們做咨詢顧問

Sjouwerman提出，企業如有雇傭黑客的風險顧慮或文化接受方面的擔憂，可以考慮選擇黑客作為項目制的獨立顧問。

類似HackerOne這種的漏洞發布企業，通過與安全專家的合作為企業解決其安全漏洞。他們平臺上超過70000名黑客已經通過懸賞活動為企業解決漏洞賺取了高達1000萬美元的獎金。一個追蹤反饋其個人漏洞捕捉行為的信用體系檢視著這些從青少年到從事安全滲透測試的專業人員，Rice解釋道，“這是一個讓人以某種好的方式施展黑客技能的組織機構，那些被證明有道德的黑客會得到一些特殊項目的邀請，例如‘黑了軍隊’這樣的活動。”

“企業認識到搶先一步避免被入侵的唯一方式就是與那些沒有犯罪動機的能力者們并肩作戰，”Rice說，“這能夠讓彼此更加了解。”