“黑客”一詞對(duì)許多人來(lái)說(shuō)具有負(fù)面的含義，但是為了加強(qiáng)企業(yè)數(shù)據(jù)中心或業(yè)務(wù)系統(tǒng)的安全性，黑客攻擊并不總是惡意的。在某些情況下，黑客攻擊可以幫助加強(qiáng)企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)安全性。

白帽、紅隊(duì)和滲透性測(cè)試  

道德黑客會(huì)在企業(yè)的業(yè)務(wù)系統(tǒng)中尋找安全漏洞，以幫助企業(yè)解決問(wèn)題。  

網(wǎng)絡(luò)安全服務(wù)商AttackIQ公司的副總裁兼首席信息安全官(CISO)Chris Kennedy表示：“紅隊(duì)(Red Teams)就是采用的一種道德黑客的概念，他們可以在惡意攻擊者攻擊之前發(fā)現(xiàn)問(wèn)題。它允許企業(yè)的數(shù)據(jù)中心在惡意攻擊者發(fā)現(xiàn)之前堵住安全漏洞。”   他說(shuō)，這里涉及廣泛的活動(dòng)和技能水平。例如，可以使用自動(dòng)化工具來(lái)查找系統(tǒng)和應(yīng)用程序中的已知缺陷。另一方面，才華橫溢的工程師可以對(duì)應(yīng)用程序進(jìn)行逆向工程。  

他說(shuō)，“他們可以尋找憑據(jù)的管理方式，以及用于通信的協(xié)議中的缺陷。”白帽黑客也可以被部署來(lái)突破數(shù)據(jù)中心的物理安全，或者模仿內(nèi)部人員并試圖竊取數(shù)據(jù)。  

Kennedy表示，這完全取決于成本效益分析以及數(shù)據(jù)中心想要實(shí)現(xiàn)的目標(biāo)。他說(shuō)，“大多數(shù)人都不想承擔(dān)被惡意攻擊的風(fēng)險(xiǎn)。如果遭遇攻擊可能帶來(lái)?yè)p失，就會(huì)承擔(dān)責(zé)任，這會(huì)使員工感到恐懼。”   他說(shuō)，大多數(shù)情況下，滲透性測(cè)試(Pen Tests，Pen是“Penetration”的縮寫(xiě))僅涉及身份卡(badging)系統(tǒng)有效且門(mén)鎖已固定。黑客具有一些技巧，以避開(kāi)安全系統(tǒng)的檢測(cè)。   他說(shuō)，“以磁性門(mén)鎖為例，它們依靠運(yùn)動(dòng)傳感器工作。我親眼目睹了一次滲透性測(cè)試，安全人員采用一根木棍和一張卡片迅速打開(kāi)了門(mén)鎖。”  

Kennedy警告說(shuō)，數(shù)據(jù)中心管理人員在雇傭白帽黑客之前應(yīng)采取一些防范措施。這包括調(diào)查滲透性測(cè)試公司的聲譽(yù)及其審查員工的政策。  

他表示，滲透測(cè)試還應(yīng)該有一個(gè)明確定義的范圍。數(shù)據(jù)中心需要決定如何監(jiān)控滲透性測(cè)試。安全運(yùn)營(yíng)中心是否會(huì)意識(shí)到發(fā)生了什么?對(duì)于黑客的行為為什么不會(huì)發(fā)出警報(bào)?或者他們是否會(huì)注意到受到攻擊?數(shù)據(jù)中心應(yīng)提前計(jì)劃以防萬(wàn)一。  

BeyondTrust公司首席技術(shù)官 Morey Haber說(shuō)：“道德黑客就像其他人一樣。盡管他們攻擊的意圖很好，但他們的測(cè)試可能會(huì)帶來(lái)不良后果。”  

他說(shuō)，例如，如果一個(gè)系統(tǒng)在測(cè)試前是適度安全的，那么道德黑客可能會(huì)在測(cè)試后意外地使其處于易受攻擊的狀態(tài)。如果不加以補(bǔ)救，就可以讓真正的攻擊者更容易闖入。  

Haber說(shuō)，“道德黑客記錄了他們的行為，并且如果這些文件沒(méi)有得到保護(hù)并被視為敏感文件，則可以將它們用作真正的威脅行為者進(jìn)行破壞的藍(lán)圖。黑客甚至?xí)�與道德黑客彼此交流。雖然保密協(xié)議將禁止命名，但這種方法通常對(duì)于論文和會(huì)議來(lái)說(shuō)是公平的。這一曝光有助于技術(shù)社區(qū)，但也可能會(huì)讓一些黑客嘗試其攻擊技術(shù)。”  

羅得島州技術(shù)咨詢(xún)機(jī)構(gòu)Carousel Industries公司的首席信息安全官Jason Albuquerque表示，為了降低這些風(fēng)險(xiǎn)，企業(yè)應(yīng)該與值得信賴(lài)、信譽(yù)良好的公司合作。  

企業(yè)選擇的滲透測(cè)試公司應(yīng)該有適當(dāng)?shù)恼J(rèn)證、道德規(guī)范和行為準(zhǔn)則，以及清晰概述測(cè)試范圍的結(jié)構(gòu)化流程。  

他說(shuō)：“如果安全工程師遇到敏感的、個(gè)人的、機(jī)密的或?qū)Ｓ械男畔�，他們的行�?dòng)必須以百分之百關(guān)注保護(hù)客戶為指導(dǎo)方針。”  

當(dāng)黑客來(lái)敲門(mén)  

有時(shí)，白帽黑客在沒(méi)有獲得企業(yè)同意的情況侵入其系統(tǒng)。  

AttackIQ公司Kennedy的一個(gè)朋友表示，一名黑客聯(lián)系到他，聲稱(chēng)已經(jīng)侵入了該朋友公司的安全系統(tǒng)，該公司的一個(gè)程序已經(jīng)脫離補(bǔ)丁程序管理范圍，并已公開(kāi)泄露。白帽黑客對(duì)他說(shuō)，‘我發(fā)現(xiàn)了這個(gè)問(wèn)題，你愿意提供賠償嗎?'他的朋友進(jìn)行了漏洞掃描，找到了問(wèn)題立即修復(fù)，并向這位黑客支付了酬金。  

Kennedy表示，如果這發(fā)生在企業(yè)身上，那么第一步就是驗(yàn)證問(wèn)題。它可以像運(yùn)行掃描一樣簡(jiǎn)單，也可以要求黑客提供更多信息。  

他說(shuō)：“企業(yè)首先需要接觸黑客，為了設(shè)定正確的賠償標(biāo)準(zhǔn)，可以讓黑客透露可能泄露的資產(chǎn)，也許企業(yè)的一位開(kāi)發(fā)人員只是進(jìn)行了修改，并沒(méi)有任何商業(yè)價(jià)值。下一步是確定黑客是否值得信任，企業(yè)需要了解其行為是否出于惡意目的還是白帽黑客�，F(xiàn)實(shí)是，可能會(huì)向他們支付費(fèi)用，否則黑客可能會(huì)以惡意方式公開(kāi)披露漏洞。”  

專(zhuān)家建議，數(shù)據(jù)中心管理人員需要了解白帽黑客可能會(huì)提出什么樣的要求，并與Bugcrowd等信譽(yù)良好的組織簽約，或者向黑客支付費(fèi)用，以符合道德的方式幫助企業(yè)查找漏洞。  

Keeper Security公司首席技術(shù)官兼聯(lián)合創(chuàng)始人Craig Lurey說(shuō)：“歸根結(jié)底，如果道德黑客能夠向供應(yīng)商報(bào)告公開(kāi)的客戶數(shù)據(jù)或訪問(wèn)受保護(hù)系統(tǒng)的調(diào)查結(jié)果，這對(duì)每個(gè)人都是一件好事。道德黑客從Bug Bounty程序中的Bug Bounty和Status排名中獲益，而供應(yīng)商則從提高安全級(jí)別中獲益。”  

回?fù)羰且粋�(gè)“愚蠢的想法”  

如果數(shù)據(jù)中心管理人員看到一些犯罪分子頻繁入侵其數(shù)據(jù)中心而茫然無(wú)措，就會(huì)感到沮喪，可能會(huì)動(dòng)手回?fù)簟? 

例如，曾經(jīng)遭遇勒索軟件的一名受害者Tobias Frömel最近入侵了網(wǎng)絡(luò)攻擊者的命令和控制服務(wù)器，并為近3000名其他受害者提供勒索軟件解密密鑰，隨后他與公眾分享了這些密鑰。  

在最近的另一起案件中，一名黑客侵入地下信用卡數(shù)據(jù)盜竊市場(chǎng)BriansClub，并盜走了2600多萬(wàn)條記錄。這位道德黑客然后與金融組織合作保護(hù)賬戶的安全組織分享了此數(shù)據(jù)。  

盡管這聽(tīng)起來(lái)很有趣并且可能令人滿意，但安全專(zhuān)家普遍譴責(zé)黑客進(jìn)行的回?fù)簟? 

AttackIQ公司的Kennedy說(shuō)，“這是違法行為。而進(jìn)攻性回應(yīng)是執(zhí)法部門(mén)的責(zé)任。最好的辦法是向有關(guān)當(dāng)局報(bào)告，收集盡可能多的信息，并以高度完整性的方式維護(hù)這些信息，以便可以將其用于起訴。但是不建議進(jìn)行黑客回?fù)簟?rdquo;  

阻止企業(yè)數(shù)據(jù)中心安全人員進(jìn)行黑客入侵的不僅僅是法律責(zé)任。欺騙和檢測(cè)安全服務(wù)商Attivo Networks公司首席安全架構(gòu)師Chris Roberts對(duì)此表示認(rèn)同。他說(shuō)，“這是一個(gè)愚蠢的想法，永遠(yuǎn)不應(yīng)該這樣做。例如，網(wǎng)絡(luò)攻擊者可能已經(jīng)在企業(yè)的系統(tǒng)中留下并不知道的后門(mén)。如果企業(yè)進(jìn)行回?fù)簦�網(wǎng)絡(luò)攻擊者可能會(huì)摧毀他們能找到的一切。但最大的問(wèn)題是知道誰(shuí)在攻擊。”  

Roberts舉例說(shuō)，“如果有人在街上無(wú)故毆打你，通常會(huì)看清楚是誰(shuí)干的。但是在數(shù)字世界中，黑客可以使用來(lái)自多個(gè)不同國(guó)家的不同計(jì)算機(jī)進(jìn)行攻擊，企業(yè)可能最終會(huì)把責(zé)任歸咎于無(wú)關(guān)人員。”

【凡本網(wǎng)注明來(lái)源非中國(guó)IDC圈的作品，均轉(zhuǎn)載自其它媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)�！�