پیلارینوس، یک هکر اخلاقی سابق و آزمایشگر قلم با بیش از 15 سال تجربه در فناوری اطلاعات و امنیت سایبری، استدلال میکند که رویکردهای معمولی برای امنیت سایبری محدود هستند زیرا منعکسکننده روشها و تکنیکهایی نیستند که هکرها برای حملات سایبری استفاده میکنند.
البته، استخدام و آموزش افراد به عنوان هکرهای اخلاقی همچنان یک مانع مهم است، به ویژه به دلیل کمبود گسترده استعدادهای موجود.
Pylarinos میگوید در حالی که برنامههای آموزشی امنیت سایبری میتواند آگاهی سازمانی و انعطافپذیری در برابر حملات سایبری را بهبود بخشد، معمولاً آن نوع تجربه عملی را ارائه نمیدهند که به تیمهای امنیتی اجازه دهد به ذهن دشمنان وارد شوند، یا زمانی را به شبکههای شرکتی تستکننده استرس اختصاص دهند. برای نقص هایی که می تواند توسط هکرها مورد سوء استفاده قرار گیرد.
به گفته پیلارینوس، کنجکاوی ذاتی برای نحوه کار کردن چیزها – که “این نشان می دهد که نامزد می تواند آسیب پذیری ها را به راحتی و با سرعت تشخیص دهد” – و همچنین مهارت های نرم مانند ارتباط، نفوذ و توانایی کار گروهی نیز از ویژگی های اصلی هستند.
او می گوید که بهترین هکرهای اخلاقی توانایی برقراری ارتباط واضح و بیان دقیق شدت موقعیت های مختلف را دارند. “مشاوره ای که آنها ارائه می کنند، و همچنین پیشنهادات آنها برای راه های عملی برای کاهش مشکلات، نیاز به اعتماد و خرید فوری تیم گسترده تر برای ایجاد تفاوت در یک محیط کاری پرفشار و سریع دارد.”
در واقع، هک اخلاقی نقش بسیار گسترده تری را در بر می گیرد. آنها از تمام ابزارها و تکنیکهایی که در اختیار دارند برای انجام حملات و آزمایش نقاط ضعف در بخشهای مختلف محیط فناوری اطلاعات استفاده میکنند، درست مانند یک هکر جنایتکار.
آموزش افراد به عنوان هکرهای اخلاقی نیز ملاحظات منحصر به فردی را به همراه دارد، زیرا نیازمند یک محیط فنی امن است که در آن کارآموزان بتوانند تکنیک ها و سناریوهای مختلف را آزمایش کنند. پیلارینوس خاطرنشان می کند: «شما نمی توانید فقط بروید و «هک کنید». “این غیرقانونی است و شما می توانید خسارت وارد کنید.”
نهادهای بخش عمومی نیز شروع به درک ارزش هک اخلاقی کرده اند. در ماه مه 2022، دفتر کابینه دولت بریتانیا یک آگهی شغلی برای یک هکر ارشد اخلاقی منتشر کنید برای کمک به ارائه تست نفوذ و قابلیتهای تیم قرمز برای دولت، و مسئولیت «شبیهسازی ابزارها و تکنیکهای سایبری تهاجمی».
با وجود این، این حرفه چیزی شبیه به یک طاقچه باقی مانده است. نزدیکترین چیزی که بیشتر سازمانها به هکرهای اخلاقی دارند، تستکنندههای نفوذ (تستکننده قلم) هستند، که وظیفه آنها بررسی بخشهای خاصی از محیط فناوری اطلاعات یک شرکت برای کشف و افشای هر گونه آسیبپذیری است.
مطابق با یک مطالعه اخیر80 درصد از نقض اطلاعات را می توان به کمبود مهارت های امنیت سایبری در جمعیت شاغل نسبت داد.
اما از آنجایی که حملات سایبری به افزایش فراوانی و پیچیدگی ادامه میدهند، واضح است که کسبوکارها باید رویکردی فعالتر برای مقابله با تهدیدات امنیت سایبری داشته باشند. به دنبال هکرهای اخلاقی میگردند تا به کسبوکارها کمک کنند تا تهدیدات و ضعفهای بالقوه در شبکههای خود را قبل از وقوع حمله شناسایی کنند و به طور موثر علیه مجرمان سایبری کار کنند تا آنها را در بازی خود شکست دهند.
پیلارینوس توضیح میدهد: «به طور کلی، برای من، یک آزمایشکننده قلم کاری را توصیف میکند که کسی انجام میدهد – یک متخصص امنیت سایبری که بر راههای نفوذ به شبکهها تمرکز میکند.
هاریس پیلارینوس، مدیر عامل پلتفرم آموزش هکرهای اخلاقی، Hack the Box، میگوید: «مهم نیست چقدر بودجه به ابزار امنیت سایبری اختصاص دهید، به یک عنصر انسانی نیاز دارید.
پیلارینوس مجدداً خاطرنشان میکند که هکرهای اخلاقی نباید افراد امنیت سایبری باشند – اگرچه آنها باید از فناوری بالایی برخوردار باشند و برخی از ویژگیهایی را که هکرها را در کاری که انجام میدهند خوب میکند به اشتراک بگذارند.
در حالی که شرکتهای بیشتری در حال سرمایهگذاری برای تقویت امنیت IT خود هستند، اکثر اقدامات امنیت سایبری هنوز در ماهیت خود واکنشپذیر هستند و با تکیه بر ابزارهای نرمافزاری شناسایی میکنند که چه زمانی رخ داده است – یا تلاش شده است – و سپس به آن پاسخ میدهند.
اینجاست که هکرهای اخلاقی وارد صحنه می شوند. او می گوید: «آنها این رفتار را تقلید می کنند، سوراخ هایی را پیدا می کنند که هیچ ابزاری قادر به پیدا کردن آن نیست.