1

Для чого потрібні етичні хакери

Ви, мабуть, чули фразу «ви не знаєте того, чого не знаєте». На цьому етапі час від часу опиняється більшість людей. Що стосується кібербезпеки, хакери досягають успіху, знаходячи прогалини та вразливості у безпеці, які ви пропустили. Це стосується зловмисників. Але це також стосується їхніх опонентів, які на вашому боці: сертифікованих етичних хакерів.

 

Сертифікований етичний хакер (CEH – certified ethical hacker) може бути одним із ваших найцінніших спеціалістів із захисту від кіберзагроз.

 

Що таке етичний хакінг?

 

Етичний хакер — це професійний пентестер (penetration tester), який проводить тестування на проникнення, а також консультант або співробітник, який володіє мистецтвом кіберзламу. Термін «етичний хакінг» визначив у 1990-х роках колишній виконавчий директор IBM Джон Патрік, щоб відрізняти «білих капелюхів» (термін, яким позначають хакера або експерта з комп’ютерної безпеки, який спеціалізується на тесті на проникнення і інших перевірках інформаційних систем) від хлопців зі світу кіберзлочинців, який не стоїть на місці.

 

Як етичні, так і злі генії кібербезпеки можуть використовувати подібні методи для зламу систем і доступу до даних у корпоративних мережах. Різниця полягає в тому, що деякі з них прагнуть використовувати недоліки та вразливі місця для особистої вигоди. Інші докладають зусиль, щоб усунути їх заради безпеки свого клієнта. Їх також називають білими хакерами (на відміну від зловмисників або чорних капелюхів). Етичні хакери використовують свої атакуючі навички на користь «жертви».

 

Спільним для всіх етичних хакерів є те, що вони розглядають систему клієнта з точки зору зловмисників.

 

Етичні хакери=фрілансери, які виконують роботу за винагороду в рамках програм bug bounty, або просто з цікавості, можуть допомогти знайти вразливості. Кожен може займатись етичним хакінгом. Проте лише сертифіковані етичні хакери можуть довести, що вони володіють знаннями та вміннями, які потрібні більшості організацій.

 

Хто такі сертифіковані етичні хакери?

 

Сертифікація CEH для неурядових організацій має два рівні. Базовий сертифікат CEH надається після проходження тесту. Наступний рівень магістра CEH вимагає успішного проходження тестування на проникнення у змодельованих системах.

 

Є три основні організації, які видають ліцензії CEH: the International Council of E-Commerce Consultants, курс 1the Certified Penetration Tester’ від the Information Assurance Certification Review Board, а також the Global Information Assurance Certification.

 

Амбіційним працівникам із кібербезпеки рекомендується отримати сертифікат CEH.

 

Які навички повинні розвивати етичні хакери?

 

Сертифікований етичний хакер повинен мати навички у трьох сферах. Перша — це навички та знання, необхідні для дослідження прогалин і вразливостей. Ключовим елементом цього навчання є діапазон.

 

По-друге, це креативність — нестандартне мислення та спроба незвичайних і складних способів зламу мереж. Це більша частина роботи. Роль етичного хакера полягає в тому, щоб знайти сліпі зони, прогалини та вразливі місця, які є потенційними лазівками для зловмисників.

 

По-третє — надійність — професійний підхід до отримання доступу до конфіденційних даних: захищаючи їх і ніколи не зловживаючи доступом, наданим клієнтом. Професіонали CEH повинні серйозно ставитися до етичної частини свого звання. На додаток до отримання доступу до конфіденційних або персональних даних і збереження їх у безпеці, CEH застосовують соціальну інженерію в етичний спосіб. Наприклад, етичним вважається навмисно залишити флешку на парковці, щоб перевірити, чи підніме її працівник і підключить. Але неетичним та таким, що суперечить кодексу професії CEH, є погрози насильства чи використання особистих даних працівника.

 

Як етичні хакери можуть вам допомогти

 

Сертифікований етичний хакер може бути дуже корисним для підвищення рівня кібербезпеки вашої організації. Ось чекліст того, чим конкретно можуть допомогти етичні хакери:

  • Знайти вразливі місця, зокрема, прогалини в програмному забезпеченні, фізичній безпеці або політиках
  • Dumpster diving, сканування загальнодоступних ресурсів в пошуках інформації, яка може стати в нагоді для атаки
  • Сканування для пошуку відкритих портів
  • Визначити, як зловмисники можуть обійти брандмауери, приманки і системи виявлення проникнень
  • Тестування на проникнення (різниця між тестуванням на проникнення та етичним хакінгом полягає в тому, що тестування на проникнення є запланованим і більш сфокусованим на конкретних аспектах кібербезпеки)
  • Допомога з моделюванням кризових ситуацій з кібербезпеки
  • Викриття внутрішніх загроз
  • Участь і допомога в організації змагань червоної/синьої команди
  • Аналіз мережевого трафіку
  • Застосування широкого спектру способів соціальної інженерії. Можливість тестувати не лише системи та політики кібербезпеки, а й проводити тренінги з кібергігієни для працівників, щоб підвищити їхню обізнаність з кібербезпеки.
  • Перевірка й впровадження методів управління виправленнями
  • Навчання команди безпеки найновішим методам, які використовують кіберзлочинці.

 

Отже, робота CEH професіоналів може бути надзвичайно цінною. Вам потрібно інвестувати в інфраструктуру кібербезпеки, досвід і навчання співробітників.

Related Posts

card__image

Пріоритизація кібербезпеки збільшує прибутки

Нове дослідження від Diligent і Bitsight показало, що пріоритизація кібербезпеки в компаніях та створення потужних команд з аудиту або управління ризиками напряму впливає на покращення фінансових показників підприємства.   Підвищення рівня кібербезпеки та фінансовий успіх тісно пов’язані в тих компаніях, які впроваджують надійні заходи безпеки. Саме такі компанії забезпечують на цілих 372% більше прибутку акціонерам […]

card__image

У 2023 році кількість фішингових атак зросла на 40%

У 2023 році було заблоковано понад 709 мільйонів фішингових атак, що на 40% більше, ніж у 2022 році, згідно щорічного аналізу Касперського. Месенджери, платформи зі Штучним Інтелектом, соцмережі та криптобіржі були одними з шляхів, які найчастіше використовували зловмисники для обману користувачів.   Щорічний аналіз загроз спаму та фішингу виявив стійку тенденцію у 2022 році: помітне […]

card__image

Атаки програм-вимагачів різко зростають через недостатній рівень комплаєнсу – Thales Group

Thales Group оприлюднила the 2024 Thales Data Threat Report, щорічний звіт про останні загрози безпеки даних і нові тенденції на основі опитування майже 3000 спеціалістів з ІТ та безпеки у 18 країнах у 37 галузях. Цьогорічний звіт показує, що 93% ІТ-фахівців вважають, що загрози зростають за обсягом або рівнем небезпеки, що значно більше порівняно з […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *