الدور الوظيفي: هاكر الأخلاقية

فيديو: ما هو الهاكر الاخلاقي Ethical Hacker تعرف على وظيفته في الشركات؟؟؟

المحتوى

المهنيين القبعة البيضاء
No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك
قراصنة الأخلاقية واختبار الاختراق
المتسللين الأخلاقيين ، الهندسة الاجتماعية وتوعية المستخدم
مؤهلات القراصنة الأخلاقية

المصدر: دانييل بشكوف / Dreamstime.com

يبعد:

يقوم المتسللون الأخلاقيون بعمل مهم لأصحاب العمل من خلال محاكاة الهجمات ومحاولة معرفة كيفية إحباط المتسللين القبعة السوداء.

في عالم تكنولوجيا المعلومات للمؤسسات ، يكتسب مصطلح "المتسلل الأخلاقي" الأرض بسرعة. لكن ماذا يفعل هؤلاء المهنيين؟ كيف يبدو يوم واحد في حياة المتسلل الأخلاقي؟

على المستوى الأساسي للغاية ، فإن المتسللين الأخلاقيين هم من المحترفين الذين يقتحمون أنظمة الشركات من أجل اكتشاف نقاط الضعف ونقاط الضعف.

يقول ريان جونز ، المدير التنفيذي للتسويق الرقمي في Imaginaire Digital: "إن المتسللين الأخلاقيين هم في الأساس خبراء في أمن تكنولوجيا المعلومات ، يستخدمون معارفهم لاختراق الأنظمة ، مثل الخوادم وأجهزة كمبيوتر الموظفين لإيجاد أي نقاط ضعف في الأمان لدى صاحب العمل". "سيقومون بعد ذلك بإنشاء تقرير عن نقاط الضعف التي وجدواها وتقديم المشورة بشأن أفضل مسار للعمل."

ويضيف ناثان هاوس ، الرئيس التنفيذي ومؤسس شركة الأمن السيبراني StationX: "المخترق الأخلاقي أو اختبار الاختراق هو الشخص الذي يختبر أجهزة الكمبيوتر والشبكات التي تبحث عن نقاط الضعف". "بدلاً من القيام بذلك بقصد خبيث أو إجرامي ، يفعلون ذلك للإبلاغ عن نقاط الضعف حتى يتم إصلاحها." (لمعرفة المزيد حول ما يمكن للمتسللين الأخلاقيين القيام به للمؤسسات ، راجع كيف يمكن لمنظمتك الاستفادة من القرصنة الأخلاقية).

المهنيين القبعة البيضاء

مصطلح آخر للمتسللين الأخلاقيين هو "القبعات البيضاء". على عكس المتسللين القبعة السوداء ، يشبه المتسللون ذوو القبعة البيضاء اللصوص المهذبون على الإنترنت - إنهم يقومون ببعض الأشياء ذاتها التي يقوم بها قراصنة القبعة السوداء ، ولكن ليس لأسباب مدمرة.

يقول كيس بوعلي ، الشريك الإداري "من أجل أن تكون متأكدًا حقًا من الحماية ، يجب أن تحدث هجمات حقيقية على نظام من الخارج لمحاكاة تهديد حقيقي ، وبالتالي تكون قادرة على التعرف عليه وإصلاحه في أسرع وقت ممكن". و CTO في اليود. "هناك شركات متخصصة في White Hat Hacking ، حيث يوجد بها فرق من المتسللين الخاصين (الذين يعملون في اختبار القلم) ويقدمون لك تسريبات الأمان ، والخطوات اللازمة لإصلاحها ، والرسوم التي سيتقاضون منك مقابل إصلاحها لهم من أجلك ".

كلمة "محاكاة" مهمة هنا.

للعودة إلى قياس اللص ، إذا كان لديك الكثير من الأشياء الباهظة الثمن والمنزلية في منزلك ، فيمكنك الاستثمار في أقفال ، أو للحصول على مستوى إضافي من الأمان ، يمكنك استئجار شخص ما لمحاكاة السطو. قد يجدون نافذة مفتوحة في الطابق السفلي أو بعض مساحة الزحف التي تسمح لهم بالوصول إلى المنزل وسرقة ما لديك. ولكن عندما تستثمر في عملية سطو محاكاة مسبقة ، فأنت تعرف ما يجب إصلاحه حتى يصبح من الصعب على الأطراف غير المصرح لها الوصول إليها.

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

هذا هو الاختراق الأخلاقي ، باختصار. إنه يتلاعب بالأنظمة من أجل معرفة نقاط الضعف - بحيث يمكن للعميل إصلاحها ومنع الاختراق الحقيقي من حدوث أي أنظمة أو إتلافها على الإطلاق.

قراصنة الأخلاقية واختبار الاختراق

إحدى الوظائف الرئيسية للمتسلل الأخلاقي هي إجراء ما يسمى "اختبار الاختراق" أو "اختبار القلم".

"تستخدم (المتسللين الأخلاقيين) اختبار الاختراق كجزء من ترسانتهم في حماية أنظمة عملائهم من الجرائم الإلكترونية" ، كما تقول كارين فرانسس من مجموعة استراتيجية الاتصالات ، وهي تتحدث عن كيفية استخدام شركة تدعى SRC Technologies لشركة تدعى Synack للتسلل إلى الاختراق الأخلاقي.

فكر في هذا الأمر - لدى الشركات مجموعة واسعة من أدوات التشغيل الآلي لمساعدتها على اكتشاف نقاط الضعف في النظام. قد تفحص الأدوات الرقمية نقاط الوصول إلى الشبكة المفتوحة أو مشكلات في واجهة برمجة التطبيقات أو أنظمة كلمة المرور الضعيفة أو أي عدد من المشاكل المحتملة الأخرى. لكنهم يفعلون ذلك على أساس آلي. بدون وجود قرصنة أخلاقية على كرسي القبطان ، لا توجد رقابة بشرية.

يضيف القراصنة الأخلاقي هذا العنصر البشري. يجلس هو أو هي في نقطة القرار ، وأدوات الأمان الجديدة الأنيقة التي يقدمها بائعو البرامج بمثابة برنامج لدعم القرار. يمكنك أن تفكر في المتسلل الأخلاقي كمنسق لجميع هذه الأدوات الآلية ، مع اكتشاف نجاحاتها وإخفاقاتها بعيون شديدة.

ومع ذلك ، يعد الإبلاغ الذي يحدث بعد ذلك أحد أكثر الأجزاء الأساسية لاختبار الاختراق.

سيعود المتسللون الأخلاقيون إلى العملاء ويعرضون لهم بالضبط ما حدث أثناء اختبار الاختراق. إذا كان هناك خرق أو تغلغل ، يتم إصلاح هذه الثغرة الأمنية. يعمل هذا بالفعل على تشديد المحيط ، ويخفف من سطح الهجوم ، ويحمي الشركات من الأذى.

المتسللين الأخلاقيين ، الهندسة الاجتماعية وتوعية المستخدم

إليك جزء كبير آخر مما يفعله المتسللون الأخلاقيون.

تم استخدام مصطلح "الهندسة الاجتماعية" للإشارة إلى كل جهود القرصنة تلك التي تحاول الوصول إليها عن طريق خداع مستخدم نهائي.

تلك الهجمات الغش؟ هندسة اجتماعية.

يعتبر Spear-phishing شكلاً آخر من أشكال الهندسة الاجتماعية حيث تنتحل الأحزاب الضارة من الداخل أو تستخدم وسائل أخرى لمحاولة جذب المستخدمين النهائيين للتخلي عن بيانات الاعتماد أو بيانات الوصول إلى الشبكة. في بعض الحالات ، يقومون ببساطة بانتحال نافذة كشوف المرتبات وجعل الموظفين يتخلون عن معلوماتهم المالية.

كل هذا عادة ما يكون مدمرًا جدًا - لذلك تقوم الشركات بتوظيف المتسللين الأخلاقيين لمحاكاة هذه الأنواع من الهجمات ، ثم العثور على نقاط ضعف وتقديم تقارير عنها. لكن الخطوة التالية والأخيرة هي تدريب على وعي المستخدم. تستثمر الشركة في عرض كل موظف على ما يجب البحث عنه ، ويقومون بتطوير قاعدة موظفين أكثر ذكاءً ، وهي قوة عاملة لا تمثل علامة على كل هؤلاء القراصنة القراصنة عديمي الضمير. (هل يمكن للمتسللين الأخلاقيين الدخول في مشكلة قانونية أثناء قيامهم بوظائفهم؟ معرفة المزيد في هل يحتاج المتسللون الأخلاقيون إلى حماية قانونية؟)

مؤهلات القراصنة الأخلاقية

في الواقع ، تكثر المؤهلات في عالم القرصنة الأخلاقية. ترغب الشركات في معرفة أن المهنيين يتمتعون بخبرة جيدة ومرخص لهم لإجراء اختبارات الاختراق والقيام بأنواع أخرى من أعمال حماية القبعة البيضاء.

الشيء الوحيد الذي تطلبه الشركات غالبًا هو أن يكون المتسللون الأخلاقيون مهرة في الأجزاء الثلاثة الحاسمة للإنترنت: الشبكة السطحية ، الشبكة العميقة والشبكة المظلمة. يوضح هذا الجزء المتوسط كيف تختلف هذه الأقسام الثلاثة على الويب وماذا يعني ذلك بالنسبة لمتخصصي الأمن.

هناك أيضًا أساليب وإجراءات التكتيكات أو TTP ، وهو بروتوكول لاعتماد القرصنة الأخلاقية ، بالإضافة إلى شهادة Open Source Intelligence (OSINT).

تشمل المؤهلات الأخرى: