我們需要打破黑客都是穿著連帽衫的青少年的刻板印象



WithSecure 的 Tom Van de Wiele 寫道,黑客的典型形像是錯誤的。 這是一個問題,因為許多企業可以從熟練的、有道德的黑客中受益。

流行文化長期以來一直在大眾心目中製造黑客的形象。

根據《龍紋身的女孩》和《黑客帝國》等熱門電影,黑客通常是穿著黑色連帽衫、聽著電子音樂、坐在被屏幕閃爍代碼包圍的黑暗房間裡的青少年。 他們通常被證明正在入侵 FBI 或 CIA 等高級組織,而他們似乎在幾分鐘內就完成了。

考慮到電影如何描繪黑客,“黑客”這個詞被創造為一個否定詞也就不足為奇了。

然而,更令人擔憂的是,企業已經接受了這種刻板印象,而不考慮作為黑客的全部含義。 大多數企業不想與該術語相關聯,因為他們認為黑客是一個只會玷污組織的非法團體。

實際上,黑客是一種需要實踐和教育才能掌握的技能。 像大多數技能一樣,黑客可以用於善或惡。 就像做鎖匠一樣,這取決於你對法律的了解和你的道德指南針,知道何時以及如何使用你的技能,而不是危及他人。

不幸的是,一個對計算機和網絡有很多了解並且能夠以道德和倫理方式將他們的知識和經驗用於任何目的的人仍然被描繪成漫畫,因為人們怎麼能想像出普通計算機和專家計算機之間的區別用戶。

在做了大約 20 年的黑客之後,這些刻板印象正在慢慢消失,但它們仍然存在於媒體製作中。 流行媒體長期存在的看法不僅誤導了安全專業人士,也誤導了可以從黑客專業知識中受益的企業。

誰是黑客?

黑客行為需要知識和經驗以及準備——無論是犯罪行為還是道德行為。 黑客作為一種技能不僅僅是購買技術噱頭或“黑客工具”或成為技術專家甚至能夠編碼。 一個人需要有“黑客心態”,這意味著好奇、熱情,並對事物的運作方式有一種近乎痴迷的興趣。

我們所做的關鍵是了解系統的來龍去脈。 了解系統中事物在何處以及如何被螺栓連接在一起,可以讓我們看到明顯的裂縫在哪裡。 雖然有些人選擇使用這些知識來保護系統,但有些人選擇通過攻擊從中獲利。

犯罪黑客或“威脅行為者”通常被誤認為是坐在地下室進行犯罪活動的孤獨者。 大多數人通常沒有意識到的是,這些黑客通常是像我們一樣的員工,有經理和預算。 他們作為一個團隊開展活動,研究潛在目標併計劃不同類型的攻擊。

在網絡安全行業,我們已經看到攻擊方法大幅改進,同時變得更加實惠。 這主要是因為攻擊者通常不會孤立地練習特定技能,而是作為一個社區工作。 這意味著他們彼此共享和竊取資源,完善他們的技能並探索利用漏洞的不同方法。

道德黑客的工作是什麼?

道德黑客的核心職責之一是經常進行威脅建模。

這意味著分析企業的系統和應用程序,以識別任何可能造成潛在威脅的結構性漏洞。 他們還將能夠繪製出潛在的攻擊面,並確定數字基礎設施準備應對不可避免的攻擊的能力,而不會破壞現實生活中的 IT 環境。

這個角色涉及很多分析方面,因為了解公司的防禦與競爭對手相比的效率和控製程度是他們的核心職責。

此外,道德黑客參與威脅建模和編輯之間的相互作用,以根據感知的攻擊面了解攻擊者可能會做什麼——即可以攻擊哪些可能會產生有趣或有價值的東西。 這一切都有助於相應地準備組織的防禦。

道德黑客如何為組織增加價值?

犯罪團伙每天都在行業內發生無數次襲擊,這為他們在聚光燈下獲得了永久的空間。 因此,受僱的道德黑客將嘗試識別和了解系統中的漏洞,利用他們的技能來保護您的組織而不是破壞它。

道德黑客傾向於在道德和非道德世界之間遊走。 他們了解法律,因此了解什麼是可接受的,什麼是不可接受的。 道德黑客了解犯罪團伙的想法和想法,這是任何企業擁有的最有用的技能之一。

在安全團隊中聘請熟練的道德黑客將使您的公司處於更好的位置,不僅可以預測潛在威脅,還可以相應地調整您的防禦。 任何道德黑客的主要目標都是在在線事件發生之前讓您的業務領先一步。

其背後的想法是,如果犯罪團伙評估您的基礎設施並認為它過於強大,這意味著他們需要更多資源來實施違規行為,他們可能會跳過您。 不可能建立一個堅不可摧的系統,但是有道德的黑客會識別系統中的裂縫所在並阻止潛在的攻擊機會,從而減少違規的可能性。 這就是讓黑客站在你這邊的真正價值。

總而言之,道德黑客的工作很繁重,需要我們與一個團隊合作,執行創造性的解決方案來對抗創造性的威脅攻擊。

要擺脫這些先前強加給黑客的觀念,還有很多工作要做。 道德黑客有能力改變組織的安全結構並保護企業甚至整個社會。

現在是打破刻板印象並超越它們的正確時機。

經過 湯姆·范德維勒

Tom Van de Wiele 是網絡安全公司的主要威脅和技術研究員 與安全. 他在進攻性安全方面擁有廣泛的背景,負責執行和驗證威脅研究,同時探索作為當前和新技術、隱私和其他網絡安全相關領域的一部分的潛在保護能力。

發佈留言