我今天的问题来自 IT 课堂伦理的家庭作业问题。
我们的问题大致表明我是大公司的 IT 人员,我被要求雇佣一些黑客来发现系统中的漏洞。黑客将在找出安全和警报公司的问题方面发挥作用,需要修补什么。但是,我发现自己对此类黑客的犯罪记录感到不安。我应该怎么做,关于这个问题的伦理问题是什么。
好吧,我起初对此的想法是说不。有很多公司可以做和黑客一样的事情。安全公司会更昂贵,但黑客对地下黑客有自己的了解。
(一些)黑客的问题在于,他们的记录虽然表明他们一直在利用他们的知识做不道德的事情,但不能忽视,因为他们可以为公司做些什么。检查他们的背景是必须的。还应该检查他们在安全培训方面的成就,并了解他们学到了多少,以及他们是否值得信任。
在我看来,这完全取决于对黑客的信任,黑客可以在不知不觉中在公司中安装后门。
嗯,这大概就是我的想法。那么是否应该聘请黑客/破解者进行渗透测试?还是风险太大,应该聘请以安全测试闻名的公司?
雇用黑帽“黑客”而不是安全公司有一些缺点。
他们更难信任
除了为您的系统安装后门外,我不会相信我在街上挑选的黑帽来对他对我的网络的发现保密。黑客喜欢向同行吹嘘。他们获得的有关您的安全性的知识可能会以不止一种方式咬住您的屁股。
他们是肾上腺素瘾君子
好吧,有点强。但是一个只是为了好玩而不是为了钱的黑客,会专注于他觉得有趣的事情。我曾与专业的渗透测试人员和“娱乐黑客”一起工作,而后者则执行不同类型的测试。如果你发现自己是一个优秀的黑客,他可能比专业的渗透测试员有更多的知识,但他不会提供同样质量的报告。他会找到一种有趣的方式进入您的网络并充分利用它,而渗透测试人员将查看是否有多种方式进入,将权衡他发现的问题与实际风险,并可以为您提供更少的非黑即白关于如何解决问题的建议。
他们更难做生意
考虑计划、截止日期、状态更新的可用性等。
所以,如果你发现自己是一个了解地下知识的完美绅士黑客,他会为你的发现保密,提出现实的解决方案,并从对你有用的角度进行测试,而不是仅仅对他感兴趣,那么你有一个赢家。祝你好运找到他:-)
顺便说一句,如果您已经有一家安全公司来进行定期渗透测试等(恕我直言,一家大公司应该有),那么请一些黑客进行“额外”测试,看看公司是否遗漏了什么,可以是一个伟大的举动。保密问题仍然存在......
我曾担任单独的安全顾问,聘请并审查过安全测试员,担任 CREST(英国渗透测试的黄金标准)标准委员会成员,并管理多达 100 人的安全团队,因此我对如何做到这一点拥有相当广泛的经验作品。
风险
攻击者变得“流氓” - 与一家知名的、有信誉的公司签订合同可为您提供两件事:证明您已将风险降至最低(董事会的“尽职调查”部分)和补偿损失的合同杠杆,这如果黑客带着你的数百万逃走,可能会很困难。
“黑客”不可用(被公共汽车碾过,生病等)-您的大企业需要知道工作会完成。你无法与个体经营者获得那种程度的“信任”,而一个大团队应该能够转移资源来帮助交付。
您是否限制了渗透测试人员的功能?如果你给他们比你自己的员工更多的访问权限,你不应该在比你自己的员工更高的级别上审查他们吗?您应该向自己保证他们的数据存储是安全的(因为他们可能拥有关于您公司漏洞的非常敏感的数据),他们的工作实践是稳健的(想想 ISO27002 等),并且从腐败的角度来看,他们是低风险的(信用、犯罪和背景调查。)您确实对自己的员工进行了这些检查,对吗?
当你明确排除那些有前科的人时,这些问题会变得容易得多,当你不需要回答“你允许被定罪的黑客侵入我们的银行系统?”时,向董事会证明你的决定也更容易。键入问题。
你还有两个有趣的假设我会挑战:
费用
技能
当然,渗透测试很有价值,但仅作为验证安全立场或实施特定控制的工具。从业务角度来看,它甚至不会在大多数公司风险登记册上显示为审计点以外的任何内容。这样做的原因是,除了“是的——我们已经获得适当的担保”或“不——我们需要做更多的工作”之外,它并没有为大公司提供价值,而 CISO 需要的更广泛的图景是最小化潜在问题,例如通过实施 SDLC、分层技术和手动控制等。
除了上面提到的几点,我认为还有一个方面非常重要。
Whitehats经常接受培训,将黑客的胡言乱语翻译成易于管理的语言。经理或主管对 SQL 注入这一事实不感兴趣,也不关心未应用最新的补丁。他想知道这些将如何影响他的业务。了解业务是这里的关键。在一种情况下,SQL 注入可能意味着他不保护用户的隐私,因此可能会被罚款(业务风险),而在另一种情况下,SQL 注入可能会导致公司会计师的数据不可靠或增加机会欺诈(业务风险)。
受过训练的白帽可以将系统中的漏洞转化为业务风险,而黑帽只能谈论经理不关心也不理解的技术“胡言乱语”。
因此,尽管您可能会为聘请的安全顾问支付更多费用,但在我看来,您获得的结果要好得多,因此使其成为一项有根据的投资。
这个伦理问题不太现实。实际的事实使这个问题比你的老师可能想要的更容易:
如果您想对您的网站的安全性进行良好的评估,那么雇用某人尝试入侵它并不是获得它的最佳方式。很多刚接触这个行业的人认为,测试安全的方法是雇佣一个红队,像一群黑客一样行事,尝试入侵,看看他们是否成功。然而,这是一种误解。这是一个可以理解的错误,但仍然不准确。
相反,获得认真安全评估的最佳方式是聘请安全专业人员,让他们完全访问有关您的流程、实践和代码的信息。如果他/她可以访问该信息,专业人士将能够为您提供更好的评估。您可能会想说:黑客不会知道这一点,那我为什么要告诉安全评估员呢?答案是它为评估者提供了杠杆作用:一个黑客在没有信息的情况下可能在 100 小时内找到的问题,可能会在 10 小时内被您的评估者发现。
这是一个类比。如果你想买一辆二手车,拿去给你的技工评估,你会不会束缚你的技工的手,说“你不能打开引擎盖,你不能看车主的服务”记录,你不能看保修”?不,那太傻了。你会尽可能多地为机制提供信息和访问权限。安全评估也应如此。
犯罪分子在评估安全性方面并不比诚实的专业人士更好。 相反,在大多数情况下,诚实的专业人士可能会比罪犯做得更好。许多犯罪分子实际上并不太了解技术方面。他们只知道足以赚钱,但肯定不超过熟练诚实的专业人士。
您的问题陈述似乎假设被定罪的罪犯将更有效地帮助您了解您的企业面临的安全风险。然而,这种假设在实践中并不准确。
一旦你更好地了解了真实情况,你会发现没有什么理由专门寻找犯罪黑客,而有很多理由要谨慎雇佣他们。特别是,这里似乎没有太多的道德困境。即使抛开这种情况的道德,你为什么要聘请犯罪黑客?在实践中,你可能不会。