数据结构
网络
关系数据库管理系统(RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学道德黑客如何帮助IT安全?
虽然黑客给企业带来了很多痛苦,但另一群黑客也一直在发现IT系统的漏洞,尽管目标不同。这些被称为道德黑客的黑客通过入侵系统主动识别IT系统的漏洞。道德黑客对企业来说是一大福音,因为他们可以在没有任何恶意的情况下识别潜在的漏洞。企业可以在黑客利用漏洞之前修复这些问题。道德黑客越来越受到认可——著名的组织一直在向道德黑客支付赏金,以发现他们系统中迄今为止未被发现的安全漏洞。
什么是道德黑客?
道德黑客可以是一群人或个人,他们入侵一个或多个企业的系统,目的是识别漏洞。但是,这些黑客不会出于任何恶意目的利用系统的弱点。其目的是在恶意黑客这样做之前识别漏洞。道德黑客可以是组织的雇员或非雇员。也有道德黑客自行入侵系统并告知组织其发现的案例。据位于密苏里州圣彼得斯的Parameter Security公司的道德黑客Renee Chronister说,道德黑客使用与恶意黑客相同的工具和技术。只有意图不同。
道德黑客如何帮助IT安全?
主要好处是,道德黑客通过主动识别和修复漏洞帮助企业领先于恶意黑客一步。但是,雇用道德黑客还有其他好处,如下所述。
主动识别漏洞
巴勒斯坦一个小村庄的青少年Khalil Shreateh在能够在任何人的墙上发布任何内容时,发现了Facebook的一个严重问题。尽管Facebook拒绝承认这是一个安全漏洞,但Khalil在马克·扎克伯格的墙上发帖时证实了他的发现。同样,2008年,反欺诈公司White Ops的联合创始人兼首席科学家Dan Kaminsky发现了一个严重的问题——互联网服务提供商如何处理错输的网站名称。这个问题立即得到解决,并阻止了网络诈骗者的一条巨大途径。
道德黑客知道恶意黑客的工作方式
恶意黑客有一定的操作模式,他们寻找漏洞并利用它们的方式。作为黑客,道德黑客熟悉恶意黑客的思维和工作方式。这使他们能够前往更有可能发现漏洞的地方。据Chronister说:“道德黑客识别并利用你的弱点,这样你就可以看到——可以评估哪些敏感数据,并使你能够在恶意黑客攻击之前(希望如此)纠正这些弱点。”
道德黑客具备识别漏洞的能力
道德黑客不是评估IT系统安全性的门外汉,他们是有经验的专家,拥有不同的背景——系统和网络管理、软件开发、测试、数学等等。然而,将他们联系在一起的是单一的目标——使IT系统更强大。SANS学院研究员兼致力于信息安全的教育组织Counter Hack Challenges创始人Ed Skoudis说:“无论背景如何,真正有效的道德黑客都喜欢具有挑战性的难题。他们喜欢把事情拆开以发现它们的缺陷。”
道德黑客对系统进行严格测试
道德黑客真的会竭尽全力测试IT系统的抗性以寻找漏洞(如果有的话)。他们带来了公司普通系统专家所不具备的经验丰富且不懈的黑客视角。他们提供了一种批判性的、吹毛求疵的态度,这可以测试系统并使其难以攻破。
企业如何看待道德黑客?
对道德黑客的看法已经从冷漠和怀疑转变为认可。企业以前认为常规IT安全是抵御恶意黑客的最佳防御手段。现在,各组织已经宣布了赏金,这反映了对道德黑客的认可和激励。许多道德黑客与知名企业签订协议来测试其IT系统。考虑以下事实:
微软和Facebook将支持一个专家组,负责奖励那些发现并清除系统中严重漏洞的道德黑客5000美元。微软将向发现漏洞的黑客支付高达10万美元的费用,具体取决于发现问题的类型。例如,微软将为发现Internet Explorer中的错误支付11000美元。值得注意的是,微软不久前还反对向道德黑客支付赏金的想法。
发现Facebook发帖错误的Khalil Shreateh没有得到Facebook IT安全团队的认可,该团队声称Khalil对他的发现不够明确。不过,Facebook很快就修复了这个错误。然而,Khalil因他的努力而获得了Marc Maiffret的奖励,后者发现了困扰微软Windows用户的猖獗的Code Red漏洞。
雇用道德黑客绝对安全吗?
雇用道德黑客可能并非绝对安全,因为暴露了大量的漏洞,尤其是在那些拥有大量机密信息的行业。如果道德黑客变得不法,企业可能会面临严重的风险。然而,道德黑客变得恶意的现象并不常见。允许道德黑客测试其系统的企业需要制定必要的制衡措施。对于银行业和金融业、国防和医疗保健等行业来说,由于保密性极高,雇用道德黑客可能是一个难题。
总而言之,雇用道德黑客的服务在大多数情况下都是值得的。道德黑客可以防止恐怖活动、国家安全或大规模金融欺诈等大小灾难。事实上,道德黑客应该被视为加强IT安全所必需的。然而,对道德黑客的态度仍然需要很多改变或发展。企业需要站出来,为这些黑客建立激励制度,鼓励他们对系统进行严格测试。如有必要,可以资助研发。
134 次浏览
