道德黑客给公司带来价值.docVIP

道德黑客给公司带来价值 　　为什么漏洞发现奖励制度正在兴起？ 　　即便是准备最为充分的公司在应对网络安全挑战时也会感到气馁。正如道德黑客Jamie Woodruff在“活力数字未来”大会上所做演示时所言，“你最弱的员工决定了你的基础设施的强度。从入侵、破解到社交工程，公司中每名团队成员都属于需要管理的风险。” 　　安全测试公司CA Veracode的EMEA解决方案架构师经理Paul Farrington指出，《2017年软件安全状况报告》显示，77%的应用在初步扫描时会至少有一个漏洞，因此谷歌和苹果等大型公司都设立了自己的漏洞发现奖励制度，雇用或是鼓励道德黑客查找他们软件应用中的漏洞也就不足为奇了。 　　像Woodruff这样的道德黑客或渗透测试者能够与公司合作查找陷阱和潜在问题，进行渗透测试并帮助保护公司和公司数据的安全。由于网络安全技能的差距和人才短缺正在持续影响这一领域，因此将外部技能引入到测试系统中具有重大意义。 　　对渗透测试者的需求正持续增长 　　ISACA的《2017年网络安全状况报告》显示，尽管三分之一的受访者称他们的企业收到了10多名报名者对这一空缺职位的申请，但是其中64%的受访者表示只有不到半数的报名者符合条件。报告还指出，即便是技能熟练的人，“在被雇用后也需要时间和培训才能达到企业已有人员的水平并胜任他们的工作。” 　　随着对这些技能的需求持续增长以及公司开始重视雇用渗透测试者，整个行业正在努力提升这一领域的声誉，因为之前他们的声誉一直不是很好。道德黑客这一术语本身就存在问题，其中含有负面的含义，尤其是在其发展历史上。曾经被称为白帽黑客的人如今更喜欢被称为渗透测试者，其认证和资格评审也正日益规范。 　　RiskSense的首席技术官Danny Quist博士称：“我的首个渗透测试团队（红队）过去并不承认他们的存在。这种情况正在快速发生变化。如今成为一名黑客需要有天生的好奇心和学习能力。”他还补充道，专业的训练让成长之路变得更加容易。如今这些专业训练已经有了充足的可用资源，其中包括YouTube视频、相关书籍和当地的Defcon/2600小组。Quist说：“特许学校的黑客培养正在从孩子抓起。军队则直接从高中征召人员并将他们培训成黑客。如今已经有了相关的资格认证和培训方案，大学也开设了相关的专业。” 　　CREST是一家代表技术信息安全行业的非营利认证机构。他们为从事渗透测试、网络事件响应和威胁情报服务的机构和个人提供国际承认的资格认证。 　　CREST总裁Ian Glover说：“我们引入了专业级的资格认证。这些资格认证已经得到了行业、政府、雇主和个人的承认，等级从基础入门级到专家级以及10000小时级甚至更高级都有。” 　　CREST强调所有的会员公司都要接受定期的严格评估。获得CREST资格认证的个人必须要通过严格的考试以证明自己的学识、技能和工作能力。CREST由经验丰富的安全专家组成的执行委员会管理，这些专家还将促进网络安全市场中的意识、道德与标准的发展。 　　Glover还补充道，虽然全球不同地区正在使用不同的解决办法，但是实现行业专业化的推动力十分强劲。CREST将有助于在东南亚地区实现许可证制度和建立渗透标准。他说：“在新加坡，他们将要实施这些。如果你正在从事渗透测试工作但没有获得批准，那么你可能面临两年的监禁和50000美元的罚款。” 　　作为CREST会员企业的Context Information Security的部?T主管Owen Wright说，他们的目标是让公司的咨询人员都获得CREST的相关资格证书，这需要很高的学识与技术水平。如果要访问受保护的重要信息和资产，任何外部咨询人员都必须要获得安全许可，至少要是安检（SC）级许可。 　　他解释说，公司使用道德黑客进行渗透测试以识别IT系统漏洞的力度正在增加。一旦突破，渗透测试者通常会进一步利用漏洞并尝试提升权限以彻底查明风险的等级。 　　Wright说：“‘红队’测试会模拟公司遇到的真实攻击以评估公司安全防护的有效性。”这通常包括观察人员和程序以查看他们在面对真实攻击时是如何应对的。 　　Wright将这比作消防演练。每个人都知道在火警响起时需要撤离建筑物并清楚最安全的逃生路线。消防演练会发现大门被上锁、消防水龙头缺失或不起作用等问题。他说：“通过找出漏洞、发现安全策略与执行之间的差距以及最终的风险管理，渗透测试能够提供与真实攻击相同的体验。” 　　技术信息随后必须要转化为商业情报。FarrPoint公司的网络安全顾问Dan Brown说，道德黑客已经从纯粹的技术角色转变为了与业务持续性和技术漏洞风险息息相关的角色。在过去十年里，他发现这一角色已经越来越受欢迎。 　　“公司经常发现他们将这