اینجاست که هکرهای اخلاقی وارد صحنه می شوند. او می گوید: «آنها این رفتار را تقلید می کنند، سوراخ هایی را پیدا می کنند که هیچ ابزاری قادر به پیدا کردن آن نیست.
هاریس پیلارینوس، مدیر عامل پلتفرم آموزش هکرهای اخلاقی، Hack the Box، میگوید: «مهم نیست چقدر بودجه به ابزار امنیت سایبری اختصاص دهید، به یک عنصر انسانی نیاز دارید.
به گفته پیلارینوس، کنجکاوی ذاتی برای نحوه کار کردن چیزها – که “این نشان می دهد که نامزد می تواند آسیب پذیری ها را به راحتی و با سرعت تشخیص دهد” – و همچنین مهارت های نرم مانند ارتباط، نفوذ و توانایی کار گروهی نیز از ویژگی های اصلی هستند.
پیلارینوس توضیح میدهد: «به طور کلی، برای من، یک آزمایشکننده قلم کاری را توصیف میکند که کسی انجام میدهد – یک متخصص امنیت سایبری که بر راههای نفوذ به شبکهها تمرکز میکند.
در حالی که شرکتهای بیشتری در حال سرمایهگذاری برای تقویت امنیت IT خود هستند، اکثر اقدامات امنیت سایبری هنوز در ماهیت خود واکنشپذیر هستند و با تکیه بر ابزارهای نرمافزاری شناسایی میکنند که چه زمانی رخ داده است – یا تلاش شده است – و سپس به آن پاسخ میدهند.
ببینید: 6 بهترین گواهینامه هک اخلاقی: مهارت های خود را تقویت کنید
پیلارینوس مجدداً خاطرنشان میکند که هکرهای اخلاقی نباید افراد امنیت سایبری باشند – اگرچه آنها باید از فناوری بالایی برخوردار باشند و برخی از ویژگیهایی را که هکرها را در کاری که انجام میدهند خوب میکند به اشتراک بگذارند.
مطابق با یک مطالعه اخیر80 درصد از نقض اطلاعات را می توان به کمبود مهارت های امنیت سایبری در جمعیت شاغل نسبت داد.
البته، استخدام و آموزش افراد به عنوان هکرهای اخلاقی همچنان یک مانع مهم است، به ویژه به دلیل کمبود گسترده استعدادهای موجود.
اما از آنجایی که حملات سایبری به افزایش فراوانی و پیچیدگی ادامه میدهند، واضح است که کسبوکارها باید رویکردی فعالتر برای مقابله با تهدیدات امنیت سایبری داشته باشند. به دنبال هکرهای اخلاقی میگردند تا به کسبوکارها کمک کنند تا تهدیدات و ضعفهای بالقوه در شبکههای خود را قبل از وقوع حمله شناسایی کنند و به طور موثر علیه مجرمان سایبری کار کنند تا آنها را در بازی خود شکست دهند.
با وجود این، این حرفه چیزی شبیه به یک طاقچه باقی مانده است. نزدیکترین چیزی که بیشتر سازمانها به هکرهای اخلاقی دارند، تستکنندههای نفوذ (تستکننده قلم) هستند، که وظیفه آنها بررسی بخشهای خاصی از محیط فناوری اطلاعات یک شرکت برای کشف و افشای هر گونه آسیبپذیری است.
او کاملاً معتقد است که بهترین دفاع یک حمله قوی است. او به ZDNet میگوید: «شما باید مانند مهاجم فکر کنید و عمل کنید تا همه راهها را، بدون توجه به اینکه چقدر خلاق هستند، برای دسترسی غیرمجاز به سیستمهای خود بیابید».
ببینید: کلاهبرداران گستاخ اکنون به عنوان شرکت های امنیت سایبری ظاهر می شوند تا شما را برای نصب بدافزار فریب دهند.
پیلارینوس میگوید: «ارزیابی مهارتهای فنی باید در فرآیند استخدام اولویت داشته باشد، اما خبر خوب این است که ارزیابی مهارتهای فنی اغلب آسانتر است».
پیلارینوس، یک هکر اخلاقی سابق و آزمایشگر قلم با بیش از 15 سال تجربه در فناوری اطلاعات و امنیت سایبری، استدلال میکند که رویکردهای معمولی برای امنیت سایبری محدود هستند زیرا منعکسکننده روشها و تکنیکهایی نیستند که هکرها برای حملات سایبری استفاده میکنند.
شرکتها میتوانند ماشینها و شبکههای تست جعبه ایمنی خود را با آسیبپذیریهای داخلی واقعی ایجاد و بسازند، جایی که تیمها میتوانند مهارتهای خود را در یک محیط امن که در آن کد میتواند به طور ایمن اجرا شود – یا از محیطهایی که از قبل در دسترس هستند، توسعه دهند.
منبع: https://www.zdnet.com/article/what-is-an-ethical-hacker-why-one-of-the-most-intriguing-jobs-in-cybersecurity-could-be-a-good-bet/#ftag=RSSbaffb68
نهادهای بخش عمومی نیز شروع به درک ارزش هک اخلاقی کرده اند. در ماه مه 2022، دفتر کابینه دولت بریتانیا یک آگهی شغلی برای یک هکر ارشد اخلاقی منتشر کنید برای کمک به ارائه تست نفوذ و قابلیتهای تیم قرمز برای دولت، و مسئولیت «شبیهسازی ابزارها و تکنیکهای سایبری تهاجمی».
این به مدیران استخدام اجازه میدهد تا دانش هکرها را از آخرین اکسپلویتها و بردارهای حمله در راهحلها و پلتفرمهای فناوری جدید که امروزه توسط سازمانها و کسبوکارها استفاده میشود، ارزیابی کنند، مانند تخصص ابری.»
در واقع، هک اخلاقی نقش بسیار گسترده تری را در بر می گیرد. آنها از تمام ابزارها و تکنیکهایی که در اختیار دارند برای انجام حملات و آزمایش نقاط ضعف در بخشهای مختلف محیط فناوری اطلاعات استفاده میکنند، درست مانند یک هکر جنایتکار.
هکرهای اخلاقی نیز نباید متخصص امنیت سایبری باشند: “اگر یکی از توسعه دهندگان در یک تیم مانند یک هکر اخلاقی فکر کند، اغلب می تواند آسیب پذیری های امنیتی را قبل از وقوع پیدا کند.”
آموزش افراد به عنوان هکرهای اخلاقی نیز ملاحظات منحصر به فردی را به همراه دارد، زیرا نیازمند یک محیط فنی امن است که در آن کارآموزان بتوانند تکنیک ها و سناریوهای مختلف را آزمایش کنند. پیلارینوس خاطرنشان می کند: «شما نمی توانید فقط بروید و «هک کنید». “این غیرقانونی است و شما می توانید خسارت وارد کنید.”
پیلارینوس پیشنهاد میکند: «من فرض میکنم، مانند بسیاری از سازمانها، آنها نیاز حیاتی به اتخاذ یک طرز فکر هک در محیط پر خطر امروزی را تشخیص میدهند. این تنها راه برای جلو افتادن از جنایتکاران است و باید از آن استقبال کرد.»
Pylarinos میگوید در حالی که برنامههای آموزشی امنیت سایبری میتواند آگاهی سازمانی و انعطافپذیری در برابر حملات سایبری را بهبود بخشد، معمولاً آن نوع تجربه عملی را ارائه نمیدهند که به تیمهای امنیتی اجازه دهد به ذهن دشمنان وارد شوند، یا زمانی را به شبکههای شرکتی تستکننده استرس اختصاص دهند. برای نقص هایی که می تواند توسط هکرها مورد سوء استفاده قرار گیرد.
او می گوید که بهترین هکرهای اخلاقی توانایی برقراری ارتباط واضح و بیان دقیق شدت موقعیت های مختلف را دارند. “مشاوره ای که آنها ارائه می کنند، و همچنین پیشنهادات آنها برای راه های عملی برای کاهش مشکلات، نیاز به اعتماد و خرید فوری تیم گسترده تر برای ایجاد تفاوت در یک محیط کاری پرفشار و سریع دارد.”