Jeśli chodzi o ochronę Twojej firmy, nigdy nie możesz być zbyt ostrożny. Dlatego w dobie ataków DDoS i wyłudzania informacji warto mieć jakieś ubezpieczenie po swojej stronie. Hakerzy etyczni, czasami określani jako „białe kapelusze”, posiadają ten sam zestaw umiejętności co hakerzy kryminalni, ale wykorzystują je do znajdowania i naprawiania słabych punktów w technologii internetowej firmy, a nie do ich wykorzystywania. Jeśli potrzebujesz etycznego hakera, zacznij od sformułowania jasnej misji, określającej, co chcesz osiągnąć z ich pomocą. Następnie możesz wyszukiwać wykwalifikowanych kandydatów za pośrednictwem oficjalnych programów certyfikacji lub internetowych rynków hakerskich.
Kroki
Część 1 z 3: Obsadzanie stanowiska
Krok 1. Oceń ryzyko braku ochrony
Może być kuszące, aby spróbować zaoszczędzić pieniądze, pozostając przy istniejącym zespole IT. Jednak bez specjalistycznej kopii zapasowej systemy informatyczne Twojej firmy będą narażone na ataki, które są zbyt wyrafinowane, aby przeciętny komputerowy geniusz mógł je złapać. Wystarczy jeden z tych ataków, aby poważnie zaszkodzić finansom i reputacji firmy.
- Podsumowując, średni koszt zabezpieczenia i usunięcia naruszenia danych online wynosi około 4 miliony dolarów.
- Pomyśl o wynajęciu białego kapelusza jako wykupieniu polisy ubezpieczeniowej. Niezależnie od polecenia ich usług jest to niewielka cena za spokój ducha.
Krok 2. Zidentyfikuj potrzeby Twojej firmy w zakresie cyberbezpieczeństwa
Nie wystarczy po prostu zdecydować, że musisz wzmocnić swoją obronę internetową. Wymyśl misję, w której dokładnie określisz, co chcesz osiągnąć, zatrudniając zewnętrznego eksperta. W ten sposób zarówno Ty, jak i Twój kandydat będziecie mieli jasny obraz swoich obowiązków.
- Na przykład Twoja firma finansowa może potrzebować zwiększonej ochrony przed podszywaniem się pod treścią lub inżynierią społeczną albo Twoja nowa aplikacja zakupowa może narazić klientów na ryzyko kradzieży danych karty kredytowej.
- Twoje oświadczenie powinno funkcjonować jako rodzaj odwróconego listu motywacyjnego. Nie tylko zareklamuje stanowisko, ale także opisze konkretne doświadczenie, którego szukasz. To pozwoli ci wyeliminować przypadkowych kandydatów i znaleźć najlepszą osobę do pracy.
Krok 3. Przygotuj się na oferowanie konkurencyjnego wynagrodzenia
Posiadanie etycznego hakera po swojej stronie jest mądrym posunięciem, ale nie jest tani. Według PayScale, większość białych kapeluszy może liczyć na 70 000 dolarów lub więcej rocznie. Ponownie, ważne jest, aby pamiętać, że praca, którą będą wykonywać, jest warta tego, o co proszą. To inwestycja, której najprawdopodobniej nie możesz sobie pozwolić.
Zawyżona stawka płac to niewielka komplikacja finansowa w porównaniu z wybiciem dziury w systemie informatycznym, od której zależy Twoja firma, aby osiągnąć zysk
Krok 4. Sprawdź, czy możesz zatrudnić hakera przy pracy
Może nie być konieczne noszenie białego kapelusza na cały etat personelu IT. W ramach deklaracji celów określ, że szukasz konsultanta, który poprowadzi duży projekt, na przykład zewnętrzny test penetracyjny lub przepisanie jakiegoś oprogramowania zabezpieczającego. To pozwoli ci zapłacić im jednorazową zaliczkę, a nie stałą pensję.
- Dziwna praca konsultingowa może być idealna dla niezależnych hakerów lub tych, którzy niedawno otrzymali certyfikat.
- Jeśli jesteś zadowolony z wyników swojego eksperta ds. cyberbezpieczeństwa, możesz zaoferować mu możliwość ponownej współpracy przy przyszłych projektach.
Część 2 z 3: Odnalezienie wykwalifikowanego kandydata
Krok 1. Poszukaj kandydatów z certyfikatem Certified Ethical Hacker (CEH)
Międzynarodowa Rada Konsultantów Handlu Elektronicznego (w skrócie EC-Council) odpowiedziała na rosnące zapotrzebowanie na etycznych hakerów, tworząc specjalny program certyfikacji, którego celem jest szkolenie ich i pomoc w znalezieniu zatrudnienia. Jeśli ekspert ds. bezpieczeństwa, z którym rozmawiasz, może wskazać oficjalny certyfikat CEH, możesz być pewien, że jest to prawdziwy artykuł, a nie ktoś, kto nauczył się swojego rzemiosła w ciemnej piwnicy.
- Chociaż weryfikacja danych uwierzytelniających może być trudna, Twoi kandydaci powinni podlegać takim samym rygorystycznym standardom, jak wszyscy inni kandydaci.
- Unikaj zatrudniania osób, które nie mogą przedstawić dowodu certyfikacji CEH. Ponieważ nie mają strony trzeciej, która za nich poręczy, ryzyko jest po prostu zbyt wysokie.
Krok 2. Przeglądaj internetowy rynek etycznych hakerów
Spójrz na niektóre wykazy w witrynach takich jak Hackers List i Neighborhoodhacker.com. Podobnie jak w przypadku zwykłych platform wyszukiwania ofert pracy, takich jak Monster i Indeed, witryny te gromadzą wpisy odpowiednich hakerów poszukujących możliwości zastosowania swoich umiejętności. Może to być najbardziej intuicyjna opcja dla pracodawców przyzwyczajonych do bardziej tradycyjnego procesu zatrudniania.
Rynki etycznych hakerów promują wyłącznie legalnych, wykwalifikowanych specjalistów, co oznacza, że możesz spać spokojnie, wiedząc, że Twoje źródło utrzymania będzie w dobrych rękach
Krok 3. Zorganizuj otwarty konkurs hakerski
Jednym z zabawnych rozwiązań, które pracodawcy zaczęli stosować, aby przyciągnąć potencjalnych kandydatów, jest zmierzenie się z konkurentami w symulacjach hakowania typu head-to-head. Symulacje te są wzorowane na grach wideo i mają na celu przetestowanie ogólnej wiedzy i umiejętności szybkiego podejmowania decyzji. Zwycięzcą Twojego konkursu może być właśnie ten, który zapewni wsparcie, którego szukasz.
- Pozwól swojemu zespołowi technicznemu przygotować serię łamigłówek wzorowanych na popularnych systemach informatycznych lub kup bardziej zaawansowaną symulację od zewnętrznego programisty.
- Zakładając, że tworzenie własnej symulacji jest zbyt pracochłonne lub kosztowne, możesz również spróbować skontaktować się z byłymi zwycięzcami międzynarodowych konkursów, takich jak Global Cyberlympics.
Krok 4. Wyszkol członka swojego personelu, aby radził sobie z twoimi obowiązkami w zakresie przeciwdziałania hakerom
Każdy może zapisać się do programu EC-Council, którego używają białe kapelusze, aby zdobyć certyfikat CEH. Jeśli wolisz utrzymać tak wysokie stanowisko w firmie, rozważ przeprowadzenie kursu przez jednego z Twoich obecnych pracowników IT. Tam zostaną nauczeni wykonywania technik testów penetracyjnych, które mogą następnie zostać wykorzystane do sondowania wycieków.
- Program składa się z 5-dniowych zajęć praktycznych, z 4-godzinnym kompleksowym egzaminem podanym ostatniego dnia. Aby zdać, uczestnicy muszą uzyskać wynik co najmniej 70%.
- Koszt przystąpienia do egzaminu wynosi 500 USD, a dla studentów, którzy zdecydują się na samodzielne studiowanie, dodatkowa opłata wynosi 100 USD.
Część 3 z 3: Wprowadzenie etycznego hakera do Twojej firmy
Krok 1. Przeprowadź dokładne sprawdzenie przeszłości
Konieczne będzie dokładne zbadanie kandydatów, zanim w ogóle pomyślisz o umieszczeniu ich na liście płac. Wyślij swoje informacje do działu HR lub organizacji zewnętrznej i zobacz, co się pojawi. Zwróć szczególną uwagę na wszelką przeszłą działalność przestępczą, zwłaszcza związaną z przestępstwami internetowymi.
- Każdy rodzaj zachowania przestępczego, który pojawia się w wynikach sprawdzenia przeszłości, powinien być uważany za sygnał ostrzegawczy (i prawdopodobnie podstawę do dyskwalifikacji).
- Zaufanie jest kluczem do każdej relacji roboczej. Jeśli nie możesz zaufać tej osobie, nie należy ona do Twojej firmy, bez względu na to, jak ma doświadczenie.
Krok 2. Przeprowadź dogłębną rozmowę z kandydatem
Zakładając, że Twój potencjalny klient pomyślnie przejdzie kontrolę, następnym krokiem w procesie jest przeprowadzenie rozmowy kwalifikacyjnej. Niech Twój menedżer IT, członek HR, usiądzie z kandydatem z przygotowaną listą pytań, np. „Jak zaangażowałeś się w etyczny hacking?”, „Czy kiedykolwiek wykonywałeś inną płatną pracę?”, „Jakie rodzaje narzędzi, których używasz do wykrywania i neutralizowania zagrożeń?” i „daj mi przykład, jak chronić nasz system przed atakiem penetracji zewnętrznej”.
- Spotykaj się twarzą w twarz, zamiast polegać na telefonie lub e-mailu, aby uzyskać dokładne wyobrażenie o charakterze kandydata.
- Jeśli masz jakiekolwiek utrzymujące się obawy, zaplanuj jedną lub więcej rozmów kwalifikacyjnych z innym członkiem zespołu zarządzającego, aby uzyskać drugą opinię.
Krok 3. Przydziel swojego eksperta ds. cyberbezpieczeństwa do ścisłej współpracy z zespołem programistów
W przyszłości priorytetem numer jeden Twojego zespołu IT powinno być zapobieganie cyberatakom, a nie sprzątanie po nich. Dzięki tej współpracy osoby tworzące treści online Twojej firmy poznają bezpieczniejsze praktyki kodowania, bardziej wyczerpujące testowanie produktów i inne techniki przechytrzania potencjalnych oszustów.
Posiadanie etycznego hakera, który sprawdzi każdą nową funkcję, może nieco spowolnić proces rozwoju, ale nowe, hermetyczne zabezpieczenia, które opracują, będą warte opóźnienia
Krok 4. Dowiedz się, jak cyberbezpieczeństwo wpływa na Twój biznes
Skorzystaj z bogactwa wiedzy białego kapelusza i poznaj rodzaje taktyk powszechnie stosowanych przez hakerów. Kiedy zaczniesz rozumieć, w jaki sposób są planowane i przeprowadzane cyberataki, będziesz mógł je zobaczyć.
- Poproś swojego konsultanta o regularne, szczegółowe informacje na temat tego, co odkrył. Innym sposobem na odświeżenie jest analiza wyników z pomocą zespołu IT.
- Zachęć wynajętego hakera, aby wyjaśnił środki, które wdraża, zamiast pozostawiać go bez kwestionowania.
Krok 5. Uważnie obserwuj wynajętego hakera
Chociaż jest mało prawdopodobne, że spróbują czegoś bez skrupułów, nie jest to poza sferą możliwości. Poinstruuj innych członków swojego zespołu IT, aby monitorowali Twój stan zabezpieczeń i szukali luk, których wcześniej nie było. Twoim zadaniem jest ochrona Twojej firmy za wszelką cenę. Nie trać z oczu faktu, że zagrożenia mogą pochodzić zarówno z wewnątrz, jak iz zewnątrz.
- Niechęć do wyjaśnienia ci dokładnych planów lub metod może być sygnałem ostrzegawczym.
- Jeśli masz powody, by podejrzewać, że zewnętrzny specjalista szkodzi Twojej firmie, nie wahaj się rozwiązać z nim stosunku pracy i poszukaj nowego.
Porady
- Cyberbezpieczeństwo jest istotnym problemem każdej firmy XXI wieku, od największej firmy finansowej po najmniejszy start-up.
- Zakup ubezpieczenia cyberbezpieczeństwa może zagwarantować, że odzyskasz wszystko, co stracisz w przypadku oszustwa, naruszenia lub wycieku danych.
- Dobrym pomysłem może być zareklamowanie swojej potrzeby etycznego hakera na stronach takich jak Reddit, gdzie białe kapelusze znane są z rozmów sklepowych.
Ostrzeżenia
- Trzymaj się z dala od niecertyfikowanych wolnych agentów, hakerów o silnych skłonnościach politycznych lub religijnych i tak zwanych „haktywistów”. Ci łotrzycy mogą próbować wykorzystać informacje, do których uzyskują dostęp, do podstępnych celów.
- Praca z hakerem, nawet etycznym, może źle odbić się na Twojej firmie w oczach Twoich partnerów lub klientów.
