هکر اخلاقی چیست؟ چرا یکی از جذاب ترین مشاغل در امنیت سایبری می تواند شرط خوبی باشد


امنیت-تیم-توسعه مهندسین-کارگران فناوری-همکاری

تصویر: گتی

در حالی که شرکت‌های بیشتری در حال سرمایه‌گذاری برای تقویت امنیت IT خود هستند، اکثر اقدامات امنیت سایبری هنوز در ماهیت خود واکنش‌پذیر هستند و با تکیه بر ابزارهای نرم‌افزاری شناسایی می‌کنند که چه زمانی رخ داده است – یا تلاش شده است – و سپس به آن پاسخ می‌دهند.

اما از آنجایی که حملات سایبری به افزایش فراوانی و پیچیدگی ادامه می‌دهند، واضح است که کسب‌وکارها باید رویکردی فعال‌تر برای مقابله با تهدیدات امنیت سایبری داشته باشند. به دنبال هکرهای اخلاقی می‌گردند تا به کسب‌وکارها کمک کنند تا تهدیدات و ضعف‌های بالقوه در شبکه‌های خود را قبل از وقوع حمله شناسایی کنند و به طور موثر علیه مجرمان سایبری کار کنند تا آنها را در بازی خود شکست دهند.

هاریس پیلارینوس، مدیر عامل پلتفرم آموزش هکرهای اخلاقی، Hack the Box، می‌گوید: «مهم نیست چقدر بودجه به ابزار امنیت سایبری اختصاص دهید، به یک عنصر انسانی نیاز دارید.

پیلارینوس، یک هکر اخلاقی سابق و آزمایشگر قلم با بیش از 15 سال تجربه در فناوری اطلاعات و امنیت سایبری، استدلال می‌کند که رویکردهای معمولی برای امنیت سایبری محدود هستند زیرا منعکس‌کننده روش‌ها و تکنیک‌هایی نیستند که هکرها برای حملات سایبری استفاده می‌کنند.

او کاملاً معتقد است که بهترین دفاع یک حمله قوی است. او به ZDNet می‌گوید: «شما باید مانند مهاجم فکر کنید و عمل کنید تا همه راه‌ها را، بدون توجه به اینکه چقدر خلاق هستند، برای دسترسی غیرمجاز به سیستم‌های خود بیابید».

ببینید: کلاهبرداران گستاخ اکنون به عنوان شرکت های امنیت سایبری ظاهر می شوند تا شما را برای نصب بدافزار فریب دهند.

مطابق با یک مطالعه اخیر80 درصد از نقض اطلاعات را می توان به کمبود مهارت های امنیت سایبری در جمعیت شاغل نسبت داد.

Pylarinos می‌گوید در حالی که برنامه‌های آموزشی امنیت سایبری می‌تواند آگاهی سازمانی و انعطاف‌پذیری در برابر حملات سایبری را بهبود بخشد، معمولاً آن نوع تجربه عملی را ارائه نمی‌دهند که به تیم‌های امنیتی اجازه دهد به ذهن دشمنان وارد شوند، یا زمانی را به شبکه‌های شرکتی تست‌کننده استرس اختصاص دهند. برای نقص هایی که می تواند توسط هکرها مورد سوء استفاده قرار گیرد.

اینجاست که هکرهای اخلاقی وارد صحنه می شوند. او می گوید: «آنها این رفتار را تقلید می کنند، سوراخ هایی را پیدا می کنند که هیچ ابزاری قادر به پیدا کردن آن نیست.

نهادهای بخش عمومی نیز شروع به درک ارزش هک اخلاقی کرده اند. در ماه مه 2022، دفتر کابینه دولت بریتانیا یک آگهی شغلی برای یک هکر ارشد اخلاقی منتشر کنید برای کمک به ارائه تست نفوذ و قابلیت‌های تیم قرمز برای دولت، و مسئولیت «شبیه‌سازی ابزارها و تکنیک‌های سایبری تهاجمی».

پیلارینوس پیشنهاد می‌کند: «من فرض می‌کنم، مانند بسیاری از سازمان‌ها، آنها نیاز حیاتی به اتخاذ یک طرز فکر هک در محیط پر خطر امروزی را تشخیص می‌دهند. این تنها راه برای جلو افتادن از جنایتکاران است و باید از آن استقبال کرد.»

با وجود این، این حرفه چیزی شبیه به یک طاقچه باقی مانده است. نزدیک‌ترین چیزی که بیشتر سازمان‌ها به هکرهای اخلاقی دارند، تست‌کننده‌های نفوذ (تست‌کننده قلم) هستند، که وظیفه آن‌ها بررسی بخش‌های خاصی از محیط فناوری اطلاعات یک شرکت برای کشف و افشای هر گونه آسیب‌پذیری است.

در واقع، هک اخلاقی نقش بسیار گسترده تری را در بر می گیرد. آن‌ها از تمام ابزارها و تکنیک‌هایی که در اختیار دارند برای انجام حملات و آزمایش نقاط ضعف در بخش‌های مختلف محیط فناوری اطلاعات استفاده می‌کنند، درست مانند یک هکر جنایتکار.

پیلارینوس توضیح می‌دهد: «به طور کلی، برای من، یک آزمایش‌کننده قلم کاری را توصیف می‌کند که کسی انجام می‌دهد – یک متخصص امنیت سایبری که بر راه‌های نفوذ به شبکه‌ها تمرکز می‌کند.

هکرهای اخلاقی نیز نباید متخصص امنیت سایبری باشند: “اگر یکی از توسعه دهندگان در یک تیم مانند یک هکر اخلاقی فکر کند، اغلب می تواند آسیب پذیری های امنیتی را قبل از وقوع پیدا کند.”

البته، استخدام و آموزش افراد به عنوان هکرهای اخلاقی همچنان یک مانع مهم است، به ویژه به دلیل کمبود گسترده استعدادهای موجود.

پیلارینوس مجدداً خاطرنشان می‌کند که هکرهای اخلاقی نباید افراد امنیت سایبری باشند – اگرچه آنها باید از فناوری بالایی برخوردار باشند و برخی از ویژگی‌هایی را که هکرها را در کاری که انجام می‌دهند خوب می‌کند به اشتراک بگذارند.

پیلارینوس می‌گوید: «ارزیابی مهارت‌های فنی باید در فرآیند استخدام اولویت داشته باشد، اما خبر خوب این است که ارزیابی مهارت‌های فنی اغلب آسان‌تر است».

ببینید: 6 بهترین گواهینامه هک اخلاقی: مهارت های خود را تقویت کنید

این به مدیران استخدام اجازه می‌دهد تا دانش هکرها را از آخرین اکسپلویت‌ها و بردارهای حمله در راه‌حل‌ها و پلتفرم‌های فناوری جدید که امروزه توسط سازمان‌ها و کسب‌وکارها استفاده می‌شود، ارزیابی کنند، مانند تخصص ابری.»

به گفته پیلارینوس، کنجکاوی ذاتی برای نحوه کار کردن چیزها – که “این نشان می دهد که نامزد می تواند آسیب پذیری ها را به راحتی و با سرعت تشخیص دهد” – و همچنین مهارت های نرم مانند ارتباط، نفوذ و توانایی کار گروهی نیز از ویژگی های اصلی هستند.

او می گوید که بهترین هکرهای اخلاقی توانایی برقراری ارتباط واضح و بیان دقیق شدت موقعیت های مختلف را دارند. “مشاوره ای که آنها ارائه می کنند، و همچنین پیشنهادات آنها برای راه های عملی برای کاهش مشکلات، نیاز به اعتماد و خرید فوری تیم گسترده تر برای ایجاد تفاوت در یک محیط کاری پرفشار و سریع دارد.”

آموزش افراد به عنوان هکرهای اخلاقی نیز ملاحظات منحصر به فردی را به همراه دارد، زیرا نیازمند یک محیط فنی امن است که در آن کارآموزان بتوانند تکنیک ها و سناریوهای مختلف را آزمایش کنند. پیلارینوس خاطرنشان می کند: «شما نمی توانید فقط بروید و «هک کنید». “این غیرقانونی است و شما می توانید خسارت وارد کنید.”

شرکت‌ها می‌توانند ماشین‌ها و شبکه‌های تست جعبه ایمنی خود را با آسیب‌پذیری‌های داخلی واقعی ایجاد و بسازند، جایی که تیم‌ها می‌توانند مهارت‌های خود را در یک محیط امن که در آن کد می‌تواند به طور ایمن اجرا شود – یا از محیط‌هایی که از قبل در دسترس هستند، توسعه دهند.


منبع: https://www.zdnet.com/article/what-is-an-ethical-hacker-why-one-of-the-most-intriguing-jobs-in-cybersecurity-could-be-a-good-bet/#ftag=RSSbaffb68