PEVOT蓄电池PV6M65U 12V65AH船舶应急
BeyondTrust公司首席技术官MoreyHaber说:“道德黑客就像其他人一样。尽管他们攻击的意图很好,但他们的测试可能会带来不良后果。”
他说,例如,如果一个系统在测试前是适度安全的,那么道德黑客可能会在测试后意外地使其处于易受攻击的状态。如果不加以补救,就可以让真正的攻击者更容易闯入。
Haber说,“道德黑客记录了他们的行为,并且如果这些文件没有得到保护并被视为敏感文件,则可以将它们用作真正的威胁行为者进行破坏的蓝图。黑客甚至会与道德黑客彼此交流。虽然保密协议将禁止命名,但这种方法通常对于论文和会议来说是公平的。这一曝光有助于技术社区,但也可能会让一些黑客尝试其攻击技术。”
罗得岛州技术咨询机构CarouselIndustries公司的首席信息安全官JasonAlbu表示,为了降低这些风险,企业应该与值得信赖、信誉良好的公司合作。
企业选择的渗透测试公司应该有适当的认证、道德规范和行为准则,以及清晰概述测试范围的结构化流程。
他说:“如果安全工程师遇到敏感的、个人的、机密的或专有的信息,他们的行动必须以百分之百关注保护客户为指导方针。”
当黑客来敲门
有时,白帽黑客在没有获得企业同意的情况侵入其系统。
AttackIQ公司Kennedy的一个朋友表示,一名黑客联系到他,声称已经侵入了该朋友公司的安全系统,该公司的一个程序已经脱离补丁程序管理范围,并已公开泄露。白帽黑客对他说,‘我发现了这个问题,你愿意提供赔偿吗?'他的朋友进行了漏洞扫描,找到了问题立即修复,并向这位黑客支付了酬金。
Kennedy表示,如果这发生在企业身上,那么步就是验证问题。它可以像运行扫描一样简单,也可以要求黑客提供更多信息。
他说:“企业首先需要接触黑客,为了设定正确的赔偿标准,可以让黑客透露可能泄露的资产,也许企业的一位开发人员只是进行了修改,并没有任何商业价值。下一步是确定黑客是否值得信任,企业需要了解其行为是否出于恶意目的还是白帽黑客。现实是,可能会向他们支付费用,否则黑客可能会以恶意方式公开披露漏洞。”
专家建议,数据中心管理人员需要了解白帽黑客可能会提出什么样的要求,并与Bugcrowd等信誉良好的组织签约,或者向黑客支付费用,以符合道德的方式帮助企业查找漏洞。
KeeperSecurity公司首席技术官兼联合创始人CraigLurey说:“归根结底,如果道德黑客能够向供应商报告公开的客户数据或访问受保护系统的调查结果,这对每个人都是一件好事。道德黑客从BugBounty程序中的BugBounty和Status排名中获益,而供应商则从提高安全级别中获益。”
回击是一个“愚蠢的想法”
如果数据中心管理人员看到一些犯罪分子频繁入侵其数据中心而茫然无措,就会感到沮丧,可能会动手回击。
例如,曾经遭遇勒索软件的一名受害者TobiasFrömel近入侵了网络攻击者的命令和控制服务器,并为近3000名其他受害者提供勒索软件解密密钥,随后他与公众分享了这些密钥。
在近的另一起案件中,一名黑客侵入地下信用卡数据盗窃市场BriansClub,并盗走了2600多万条记录。这位道德黑客然后与金融组织合作保护账户的安全组织分享了此数据。
尽管这听起来很有趣并且可能令人满意,但安全专家普遍谴责黑客进行的回击。
AttackIQ公司的Kennedy说,“这是违法行为。而进攻性回应是执法部门的责任。好的办法是向有关当局报告,收集尽可能多的信息,并以高度完整性的方式维护这些信息,以便可以将其用于起诉。但是不建议进行黑客回击。”
阻止企业数据中心安全人员进行黑客入侵的不仅仅是法律责任。欺骗和检测安全服务商AttivoNetworks公司首席安全架构师ChrisRoberts对此表示认同。他说,“这是一个愚蠢的想法,永远不应该这样做。例如,网络攻击者可能已经在企业的系统中留下并不知道的后门。如果企业进行回击,网络攻击者可能会摧毁他们能找到的一切。但大的问题是知道谁在攻击。”
Roberts举例说,“如果有人在街上无故殴打你,通常会看清楚是谁干的。但是在数字世界中,黑客可以使用来自多个不同国家的不同计算机进行攻击,企业可能终会把责任归咎于无关人员。”