فائدة الهكر الأخلاقي للشركات

فائدة الهكر الأخلاقي للشركات

 

كيف تستفيد الشركات من الهكر الأخلاقي

تستمر الاختراقاات والهجمات علي الأمن السيبراني في التطور.

ما لم تتطور الأنظمة لإدارة هذه التهديدات ، فإنها ستكون بطيئة.

في حين أن تدابير الأمان التقليدية ضرورية ، فمن المهم الحصول على منظور الأشخاص الذين يمكن أن يهددوا الأنظمة أو المتسللين.

سمحت المنظمات لفئة من المخترقين، تُعرف باسم المخترقين الأخلاقيين أو المخترقين ذوي القبعات البيضاء ،

بتحديد نقاط ضعف النظام وتقديم اقتراحات حول إصلاحها. المخترقين الأخلاقيين ، بموافقة صريحة من مالكي النظام أو أصحاب المصلحة ،

يخترقون الأنظمة لتحديد نقاط الضعف وتقديم توصيات بشأن تحسين التدابير الأمنية. القرصنة الأخلاقية تجعل الأمن شاملاً وشاملاً.

فيما يلي بعض المعلومات عن فائدة الهكر الأخلاقي للشركات

هل تحتاج حقًا إلى قراصنة أخلاقيين؟

من المعروف والمصدق به أنه ليس فرضا ولا الزاما استخدام خدمات الهكر الأخلاقي ،

لكن أنظمة الأمان التقليدية فشلت مرارًا وتكرارًا في توفير الحماية الكافية ضد عدو ينمو في الحجم والتنوع.

مع انتشار الأجهزة الذكية والمتصلة ، تتعرض الأنظمة باستمرار للتهديد.

في الواقع ، يُنظر إلى القرصنة على أنها وسيلة مربحة من الناحية المالية ، بالطبع على حساب المنظمات.

كما قال (Bruce Schneier) ، مؤلف كتاب “حماية جهاز Macintosh الخاص بك” ، ”

من السهل حماية الأجهزة: أغلقها في غرفة ، أو اربطها بمكتب ، أو اشترِ قطعة إضافية.  ( أقوال مأثورة )

تشكل المعلومات مشكلة أكبر.

يمكن أن توجد في أكثر من مكان ؛ يتم نقلك في منتصف الطريق عبر الكوكب في ثوانٍ ؛ ويُسرق دون علمك “.

يمكن لقسم تكنولوجيا المعلومات لديك ، ما لم يكن لديك ميزانية كبيرة ، أن يثبت أنه أقل شأناً من هجوم المخترقين ،

لذلك من المحتمل جدا سرقة المعلومات القيمة والمهمة دون ان يتم ادراك ذلك

لذلك ، من المنطقي إضافة بُعد إلى إستراتيجية أمان تكنولوجيا المعلومات الخاصة بك من خلال توظيف متسللين أخلاقيين يعرفون طرق قراصنة القبعة السوداء.

خلاف ذلك ، قد تتعرض مؤسستك لخطر إبقاء الثغرات مفتوحة دون قصد في النظام.

 

كيف تعرف طرق الهاكرز

لمنع القرصنة ، من المهم فهم طريقة تفكير المخترقين.

بالنسبة للدور التقليدي في أمان النظام فمن الممكن جدا ان يقدم الكثير وحده حتي يتسني تقديم عقلية المخترق

من الواضح أن طرق المخترقين فريدة ويصعب على أدوار أمان النظام التقليدية التعامل معها.

هذا يهيئ قضية توظيف متسلل أخلاقي يمكنه الوصول إلى النظام مثل المتسلل الخبيث ، وفي الطريق ، يكتشف أي ثغرات أمنية.

 

اختبار الاختراق

يُعرف أيضًا باسم اختبار القلم ، ويستخدم الاختبار الاختراق لتحديد نقاط الضعف في النظام التي يمكن للمهاجم استهدافها.

هناك طرق عديدة للاختبار الاختراق. قد تستخدم المنظمة طرقًا مختلفة حسب متطلباتها.

 

• يشمل الاختبار المستهدف موظفي المنظمة والمتسللين. يعرف موظفو المنظمة جميعًا عمليات القرصنة التي يتم إجراؤها.
• يخترق الاختبار الخارجي جميع الأنظمة المكشوفة خارجيًا مثل خوادم الويب ونظام أسماء النطاقات.
• يكشف الاختبار الداخلي عن نقاط الضعف المفتوحة للمستخدمين الداخليين الذين لديهم امتيازات الوصول.
• الاختبار الأعمى يحاكي الهجمات الحقيقية من المتسللين.

 

يتم إعطاء المختبرين معلومات محدودة حول الهدف ، مما يتطلب منهم إجراء استطلاع قبل الهجوم.

الاختبار المخترق هو أقوى حالة لتوظيف قراصنة أخلاقيين.

 

تحديد نقاط الضعف

لا يوجد نظام محصن تمامًا من الهجمات.

لا تزال المنظمات بحاجة إلى توفير حماية متعددة الأبعاد.

يضيف نموذج الهاكر الأخلاقي بُعدًا مهمًا.

وخير مثال على ذلك هو دراسة حالة مؤسسة كبيرة في مجال التصنيع.

كانت المنظمة تعرف حدودها فيما يتعلق بأمن النظام ، لكنها لم تستطع فعل الكثير بمفردها.

لذلك ، استعانت بقراصنة أخلاقيين لتقييم أمن نظامها وتقديم نتائجها وتوصياتها.

تضمن التقرير المكونات التالية:

المنافذ الأكثر ضعفًا مثل Microsoft RPC والإدارة عن بُعد ،

وتوصيات تحسين أمان النظام مثل نظام الاستجابة للحوادث ، والنشر الكامل لبرنامج إدارة الثغرات الأمنية ، وجعل إرشادات التقوية أكثر شمولاً.

 

الاستعداد للهجمات

الهجمات لا مفر منها مهما كان النظام محصنا.

في النهاية سيجد المهاجم نقطة ضعف أو ثغرة.

ذكرت هذه المقالة بالفعل أن الهجمات الإلكترونية ، بغض النظر عن مدى تحصين النظام ، أمر لا مفر منه.

هذا لا يعني أن المنظمات يجب أن تتوقف عن تعزيز أمن أنظمتها بل على العكس من ذلك ،

في الواقع. تتطور الهجمات الإلكترونية ، والطريقة الوحيدة لمنع أو تقليل الضرر هي الاستعداد الجيد.

تتمثل إحدى طرق إعداد الأنظمة ضد الهجمات في السماح للقراصنة الأخلاقيين بتحديد نقاط الضعف مسبقًا.

 

هناك العديد من الأمثلة على ذلك ومن المناسب مناقشة مثال وزارة الأمن الداخلي الأمريكية (DHS).

تستخدم وزارة الأمن الداخلي نظامًا كبيرًا ومعقدًا للغاية يقوم بتخزين ومعالجة كميات ضخمة من البيانات السرية.

يعد خرق البيانات تهديدًا خطيرًا ، وهو بمثابة تهديد للأمن القومي.

أدركت وزارة الأمن الداخلي أن إقناع المتسللين الأخلاقيين لاقتحام نظامها قبل متسللي القبعة السوداء كان طريقة ذكية لرفع مستوى التأهب.

لذلك ، تم تمرير قانون Hack DHS ، والذي سيسمح للمتسللين الأخلاقيين المختارين باختراق نظام DHS.

حدد القانون بالتفصيل كيف ستعمل المبادرة.

سيتم تعيين مجموعة من المتسللين الأخلاقيين لاقتحام نظام DHS وتحديد نقاط الضعف ، إن وجدت.

بالنسبة لأي ثغرة أمنية جديدة يتم تحديدها ، سيتم مكافأة المتسللين الأخلاقيين ماليًا.

لن يخضع المتسللون الأخلاقيون لأي إجراء قانوني بسبب أفعالهم ، على الرغم من أنه سيتعين عليهم العمل في ظل قيود وإرشادات معينة.

كما جعل القانون ذلك إلزاميًا لجميع المخترقين الأخلاقيين المشاركين في البرنامج من خلال فحص شامل للخلفية.

مثل وزارة الأمن الداخلي ، تقوم المنظمات المشهورة بتوظيف مخترقين أخلاقيين لرفع مستوى الاستعداد لأمن النظام لفترة طويلة.

 

استنتاج

يحتاج كل من الهكر الأخلاقي وأمن تكنولوجيا المعلومات التقليدي إلى العمل معًا لحماية أنظمة المؤسسة.

ومع ذلك ، تحتاج الشركات إلى وضع استراتيجيتها تجاه القرصنة الأخلاقية.

لذلك ربما يمكنهم أخذ ورقة من سياسة وزارة الأمن الداخلي تجاه القرصنة الأخلاقية.

يجب تحديد دور ونطاق المتسللين الأخلاقيين بوضوح ؛ من المهم أن تحتفظ المؤسسة بضوابط وتوازنات حتى لا يتجاوز المخترق نطاق العمل أو يتسبب في أي ضرر للنظام.

تحتاج المؤسسة أيضًا إلى منح المخترقين الأخلاقيين ضمانًا بعدم اتخاذ أي إجراء قانوني في حالة حدوث خرق على النحو المحدد في عقدهم.

 

للمزيد عن فائدة الهكر الأخلاقي للشركات