資料結構
網路
關係資料庫管理系統(RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法學道德駭客如何幫助IT安全?
雖然駭客給企業帶來了很多痛苦,但另一群駭客也一直在發現IT系統的漏洞,儘管目標不同。這些被稱為道德駭客的駭客透過入侵系統主動識別IT系統的漏洞。道德駭客對企業來說是一大福音,因為他們可以在沒有任何惡意的情況下識別潛在的漏洞。企業可以在駭客利用漏洞之前修復這些問題。道德駭客越來越受到認可——著名的組織一直在向道德駭客支付賞金,以發現他們系統中迄今為止未被發現的安全漏洞。
什麼是道德駭客?
道德駭客可以是一群人或個人,他們入侵一個或多個企業的系統,目的是識別漏洞。但是,這些駭客不會出於任何惡意目的利用系統的弱點。其目的是在惡意駭客這樣做之前識別漏洞。道德駭客可以是組織的僱員或非僱員。也有道德駭客自行入侵系統並告知組織其發現的案例。據位於密蘇里州聖彼得斯的Parameter Security公司的道德駭客Renee Chronister說,道德駭客使用與惡意駭客相同的工具和技術。只有意圖不同。
道德駭客如何幫助IT安全?
主要好處是,道德駭客透過主動識別和修復漏洞幫助企業領先於惡意駭客一步。但是,僱用道德駭客還有其他好處,如下所述。
主動識別漏洞
巴勒斯坦一個小村莊的青少年Khalil Shreateh在能夠在任何人的牆上釋出任何內容時,發現了Facebook的一個嚴重問題。儘管Facebook拒絕承認這是一個安全漏洞,但Khalil在馬克·扎克伯格的牆上發帖時證實了他的發現。同樣,2008年,反欺詐公司White Ops的聯合創始人兼首席科學家Dan Kaminsky發現了一個嚴重的問題——網際網路服務提供商如何處理錯輸的網站名稱。這個問題立即得到解決,並阻止了網路詐騙者的一條巨大途徑。
道德駭客知道惡意駭客的工作方式
惡意駭客有一定的操作模式,他們尋找漏洞並利用它們的方式。作為駭客,道德駭客熟悉惡意駭客的思維和工作方式。這使他們能夠前往更有可能發現漏洞的地方。據Chronister說:“道德駭客識別並利用你的弱點,這樣你就可以看到——可以評估哪些敏感資料,並使你能夠在惡意駭客攻擊之前(希望如此)糾正這些弱點。”
道德駭客具備識別漏洞的能力
道德駭客不是評估IT系統安全性的門外漢,他們是有經驗的專家,擁有不同的背景——系統和網路管理、軟體開發、測試、數學等等。然而,將他們聯絡在一起的是單一的目標——使IT系統更強大。SANS學院研究員兼致力於資訊安全的教育組織Counter Hack Challenges創始人Ed Skoudis說:“無論背景如何,真正有效的道德駭客都喜歡具有挑戰性的難題。他們喜歡把事情拆開以發現它們的缺陷。”
道德駭客對系統進行嚴格測試
道德駭客真的會竭盡全力測試IT系統的抗性以尋找漏洞(如果有的話)。他們帶來了公司普通系統專家所不具備的經驗豐富且不懈的駭客視角。他們提供了一種批判性的、吹毛求疵的態度,這可以測試系統並使其難以攻破。
企業如何看待道德駭客?
對道德駭客的看法已經從冷漠和懷疑轉變為認可。企業以前認為常規IT安全是抵禦惡意駭客的最佳防禦手段。現在,各組織已經宣佈了賞金,這反映了對道德駭客的認可和激勵。許多道德駭客與知名企業簽訂協議來測試其IT系統。考慮以下事實:
微軟和Facebook將支援一個專家組,負責獎勵那些發現並清除系統中嚴重漏洞的道德駭客5000美元。微軟將向發現漏洞的駭客支付高達10萬美元的費用,具體取決於發現問題的型別。例如,微軟將為發現Internet Explorer中的錯誤支付11000美元。值得注意的是,微軟不久前還反對向道德駭客支付賞金的想法。
發現Facebook發帖錯誤的Khalil Shreateh沒有得到Facebook IT安全團隊的認可,該團隊聲稱Khalil對他的發現不夠明確。不過,Facebook很快就修復了這個錯誤。然而,Khalil因他的努力而獲得了Marc Maiffret的獎勵,後者發現了困擾微軟Windows使用者的猖獗的Code Red漏洞。
僱用道德駭客絕對安全嗎?
僱用道德駭客可能並非絕對安全,因為暴露了大量的漏洞,尤其是在那些擁有大量機密資訊的行業。如果道德駭客變得不法,企業可能會面臨嚴重的風險。然而,道德駭客變得惡意的現象並不常見。允許道德駭客測試其系統的企業需要制定必要的制衡措施。對於銀行業和金融業、國防和醫療保健等行業來說,由於保密性極高,僱用道德駭客可能是一個難題。
總而言之,僱用道德駭客的服務在大多數情況下都是值得的。道德駭客可以防止恐怖活動、國家安全或大規模金融欺詐等大小災難。事實上,道德駭客應該被視為加強IT安全所必需的。然而,對道德駭客的態度仍然需要很多改變或發展。企業需要站出來,為這些駭客建立激勵制度,鼓勵他們對系統進行嚴格測試。如有必要,可以資助研發。
134 次瀏覽
