有人可能會說,當今的 IT 世界存在兩種危機。 第一個是許多(甚至大多數?)公司似乎無法確保其 IT 基礎設施的安全 黑服务器,第二個是缺乏幫助他們實現這一目標的人才。 本文將探討企業在聘用合格人員擔任資安職位時所面臨的動機和挑戰,特別關注駭客所扮演的角色。
什麼是駭客?
讓我們先澄清「黑客」的意思。 從現代和通俗的意義上來說,它指的是擁有必要技能的個人,可以繞過我們為保護 IT 資源和敏感資訊而部署的傳統威懾控制措施。 這個術語通常以「黑帽」或「白帽」開頭(想想西部電影),以區分那些為了自身利益而破壞組織安全的行為與那些為了提高組織安全而採取的行為。 實際上,這意味著「白帽」駭客(也稱為「道德駭客」)之前已經獲得了他們試圖入侵的組織的許可,而「黑帽」駭客則沒有。
當然,諷刺的是,黑帽和白帽駭客的技能有很大的重疊,而使人們能夠破壞組織安全的相同技能也使人能夠就如何破壞組織的安全性提出具體而具體的建議。改進它。
有興趣學習滲透測試技能的讀者應該閱讀我們題為“如何成為專業黑客”的文章。
為什麼要雇用駭客?
當我還是個孩子的時候(完全是在和自己約會),有一部很受歡迎的電視連續劇,名叫《小偷得逞》,由羅伯特·瓦格納主演,飾演一名改過自新的精英罪犯,協助執法本署抓捕罪犯。 (順便說一句,他技術高超,在當時也很酷。)該劇的基本前提是「要抓小偷,你需要一個小偷」。 換句話說,要預測壞人會做什麼,你需要像他們一樣思考。 你可能明白我的意思了。
網路安全的傳統方法是採用持續不斷的改進模型,迭代評估風險,確定並實施降低風險的控制和政策,然後根據實際成功標準進行衡量; 沖洗並重複。
黑客的角色在過程的“根據實際成功標準進行衡量”部分中發揮作用。 網路安全措施的典型目標是減少網路和軟體漏洞的數量,特別是那些「可利用」的漏洞(即可用於造成破壞)。 誰比專業駭客更有資格找到他們並提出威懾措施?
專業職位名稱是“滲透測試員”,它描述了負責網路基礎設施、Web 應用程式和其他軟體的持續安全測試的人員。 可交付成果通常是測試報告,詳細說明發現的漏洞、它們是否被利用以及如何被利用,以及消除這些漏洞的建議。
無論是全職還是兼職、員工、承包商或供應商,滲透測試人員都是任何認真希望阻止攻擊者的公司中的重要角色。
尋找“黑客”
假設您同意這樣一個前提:最好讓一個友好的駭客在敵對的駭客之前測試您的基礎設施,那麼問題就變成瞭如何找到最能滿足您需求的一個。 途徑相當明顯:
試著僱用一個
試著在組織內培養一名員工
合約一
當您思考哪些選項在您的組織和情況下可行時,請回想一下我們之前的前提,即目前缺乏網路安全人才,因此熟練的滲透測試人員既不常見也不便宜。
合格的“黑客”
必須仔細篩選候選人,以確保他們具備必要的技能。 這通常特別具有挑戰性,因為招募組織本身可能完全缺乏這些技能。 該組織可能會聘請專門的招募人員或顧問來協助他們,但這聽起來越來越昂貴。 我可以聽到經理們說:「我很幸運能夠一開始就得到員工人數; 我不能去要求更多的資金來讓他們獲得資格。”
因此,我們提出了認證主題:專業人士可以獲得特定主題的行業標準認證,以展示他們的知識、專業知識和對專業的承諾。 此類專業認證本質上是第三方認可,表明個人已表現出特定學科的核心知識。
重要提示:認證不能取代對候選人的嚴格面試和資格認證流程,我也沒有其他建議。 然而,可以肯定地問:如果所有其他條件都相同,為什麼不選擇具有相關行業認可證書的候選人呢?
在滲透測試的背景下,此類認證之一是“道德駭客認證”,由 EC 理事會開發和管理。 它是眾多證書之一,但卻是廣泛認可、備受推崇的證書的一個很好的例子,表明持有者對滲透測試進行了研究。
「認證道德駭客」(CEH)
如果我們考慮一個有效的滲透測試人員必須具備的實際技能,那麼這個清單是廣泛且令人生畏的。 個人必須具備以下領域的知識:
網絡,有線和無線
主機和服務發現
網路和應用程式(桌面、Web 和伺服器)漏洞掃描
漏洞利用
社會工程學
技術寫作
技術演示
然後,我們必須考慮每個領域中可用的數百種工具,並承認每個領域至少有一種工具的工作能力是必要的。
這是一套令人敬畏的技能,難怪這樣的人才稀缺。
認證道德駭客認證實際上承認這些必要的技能,並盡力以 125 項多項選擇、4 小時監考考試的形式對其進行測試。 備考訓練通常非常艱苦:為期 5 天的講座和動手實驗,期間不時穿插發人深省的模擬考題。
結論性思考
讀者(此時仍然有意識)會注意到我們提出了以下論點,我在文章末尾稍微闡述了這些論點以獲得戲劇性的效果:
身邊有一個滲透測試儀是個好主意,至少要定期進行
滲透測試人員需要了解很多事情,因此很難找到他們
由於需求高而供應稀缺,真正合格的人才將在市場上獲得高報酬
目前的市場動態激勵個人表現出比實際更合格的自己
行業標準認證使獲得這些認證的專業人士脫穎而出,因為他們致力於自己的角色和行業
在內部培養滲透測試技能可能比尋求招募更實際
鼓勵和激勵現有員工獲得行業標準滲透測試認證(例如道德駭客認證)可以成為內部發展急需的網路安全專業知識的策略的一部分。