道德黑客如何为企业加强数据中心安全性

“黑客”一词对很多人来说具有负面的寄义，可是为了增强企业数据中心或营业体系的安详性，黑客进攻并不老是恶意的。在某些环境下，黑客进攻可以辅佐增强企业数据中心的收集安详性。

白帽、红队和渗出性测试  

道德黑客会在企业的营业体系中探求安详裂痕，以辅佐企业办理题目。  

收集安详处事商AttackIQ公司的副总裁兼首席信息安详官(CISO)Chris Kennedy暗示：“红队(Red Teams)就是回收的一种道德黑客的观念，他们可以在恶意进攻者进攻之前发明题目。它应承企业的数据中心在恶意进攻者发明之前堵住安详裂痕。”   他说，这里涉及普及的勾当和手艺程度。譬喻，可以行使自动化器材来查找体系和应用措施中的已知缺陷。另一方面，才能横溢的工程师可以对应用措施举办逆向工程。  

他说，“他们可以探求根据的打点方法，以及用于通讯的协议中的缺陷。”白帽黑客也可以被陈设来打破数据中心的物理安详，可能仿照内部职员并试图窃取数据。  

Kennedy暗示，这完全取决于本钱效益说明以及数据中心想要实现的方针。他说，“大大都人都不想包袱被恶意进攻的风险。假如遭遇进攻也许带来丧失，就会包袱责任，这会使员工感想惊骇。”   他说，大大都环境下，渗出性测试(Pen Tests，Pen是“Penetration”的缩写)仅涉及身份卡(badging)体系有用且门锁已牢靠。黑客具有一些能力，以避开安详体系的检测。   他说，“以磁性门锁为例，它们依赖行为传感器事变。我亲眼目击了一次渗出性测试，安详职员回收一根木棍和一张卡片敏捷打开了门锁。”  

Kennedy告诫说，数据中心打点职员在雇佣白帽黑客之前应采纳一些防御法子。这包罗观测渗出性测试公司的荣誉及其检察员工的政策。  

他暗示，渗出测试还应该有一个明晰界说的范畴。数据中心必要抉择怎样监控渗出性测试。安详运营中心是否会心识到产生了什么?对付黑客的举动为什么不会发出警报?可能他们是否会留意到受到进攻?数据中心应提前打算以防万一。  

BeyondTrust公司首席技能官 Morey Haber说：“道德黑客就像其他人一样。尽量他们进攻的意图很好，但他们的测试也许会带来不良效果。”  

他说，譬喻，假如一个体系在测试前是适度安详的，那么道德黑客也许会在测试后不测地使其处于易受进攻的状态。假如不加以调停，就可以让真正的进攻者更轻易冲入。  

Haber说，“道德黑客记录了他们的举动，而且假如这些文件没有获得掩护并被视为敏感文件，则可以将它们用作真正的威胁举动者举办粉碎的蓝图。黑客乃至会与道德黑客互相交换。固然保密协议将克拟定名，但这种要领凡是对付论文和集会会议来说是公正的。这一曝光有助于技能社区，但也也许会让一些黑客实行其进攻技能。”  

罗得岛州技能咨询机构Carousel Industries公司的首席信息安详官Jason Albuquerque暗示，为了低落这些风险，企业应该与值得相信、诺言精采的公司相助。  

企业选择的渗出测试公司应该有恰当的认证、道德类型和举动准则，以及清楚概述测试范畴的布局化流程。  

他说：“假如安详工程师碰着敏感的、小我私人的、机要的或专有的信息，他们的动作必需以百分之百存眷掩护客户为指导目的。”  

当黑客来拍门  

偶然，白帽黑客在没有得到企业赞成的环境侵入其体系。  

AttackIQ公司Kennedy的一个伴侣暗示，一名黑客接洽到他，声称已经侵入了该伴侣公司的安详体系，该公司的一个措施已经离开补丁措施打点范畴，并已果真泄漏。白帽黑客对他说，‘我发明白这个题目，你乐意提供抵偿吗?'他的伴侣举办了裂痕扫描，找到了题目当即修复，并向这位黑客付出了酬谢。  

Kennedy暗示，假如这产生在企业身上，那么第一步就是验证题目。它可以像运行扫描一样简朴，也可以要求黑客提供更多信息。  

他说：“企业起首必要打仗黑客，为了设定正确的抵偿尺度，可以让黑客透露也许泄漏的资产，大概企业的一位开拓职员只是举办了修改，并没有任何贸易代价。下一步是确定黑客是否值得信赖，企业必要相识其举动是否出于恶意目标照旧白帽黑客。实际是，也许会向他们付出用度，不然黑客也许会以恶意方法果真披露裂痕。”  

专家提议，数据中心打点职员必要相识白帽黑客也许会提出什么样的要求，并与Bugcrowd等诺言精采的组织签约，可能向黑客付出用度，以切合道德的方法辅佐企业查找裂痕。  

Keeper Security公司首席技能官兼连系首创人Craig Lurey说：“归根结底，假如道德黑客可以或许向供给商陈诉果真的客户数据或会见受掩护体系的观测功效，这对每小我私人都是一件功德。道德黑客从Bug Bounty措施中的Bug Bounty和Status排名中获益，而供给商则从进步安详级别中获益。”  

回手是一个“愚笨的设法”  

假如数据中心打点职员看到一些犯法分子频仍入侵其数据中心而茫然无措，就会感想沮丧，也许会下手回手。  

譬喻，曾经遭遇打单软件的一名受害者Tobias Frömel最近入侵了收集进攻者的呼吁和节制处事器，并为近3000名其他受害者提供打单软件解密密钥，随后他与公家分享了这些密钥。  

在最近的另一路案件中，一名黑客侵入地下名誉卡数据偷盗市场BriansClub，并盗走了2600多万笔记录。这位道德黑客然后与金融组织相助掩护账户的安详组织分享了此数据。  

尽量这听起来很风趣而且也许令人满足，但安详专家广泛非难黑客举办的回手。  

AttackIQ公司的Kennedy说，“这是违法举动。而袭击性回应是法律部分的责任。最好的步伐是向有关政府陈诉，网络尽也许多的信息，并以高度完备性的方法维护这些信息，以便可以将其用于告状。可是不提议举办黑客回手。”  

阻止企业数据中心安详职员举办黑客入侵的不只仅是法令责任。诱骗和检测安详处事商Attivo Networks公司首席安详架构师Chris Roberts对此暗示认同。他说，“这是一个愚笨的设法，永久不该该这样做。譬喻，收集进攻者也许已经在企业的体系中留下并不知道的后门。假如企业举办回手，收集进攻者也许会摧毁他们能找到的统统。但最大的题目是知道谁在进攻。”  

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!