Specjaliści od bezpieczeństwa cybernetycznego postrzegają niektóre podmioty zewnętrzne jako swoich wrogów. Warto jednak podważać taki sposób myślenia. – Można lepiej chronić swoją organizację przed podmiotami zewnętrznymi, jeśli rozumiemy, jak one myślą i działają – mówi Tomasz Stachlewski, Senior Solutions Architecture Manager w Amazon Web Services. – Mając to na uwadze, firmy na całym świecie zwracają się do hakerów, aby przetestować infrastrukturę bezpieczeństwa i opracować silniejsze, a zarazem solidne praktyki bezpieczeństwa. Co ważne, przed włączeniem testów penetracyjnych do swojej polityki bezpieczeństwa, należy zrozumieć charakterystykę różnych typów hakerów. Każda grupa ma inne motywacje, i trzeba mieć jasność co do tego, które z ich umiejętności mogą być wykorzystane z korzyścią dla organizacji.
Czarne kapelusze
Czarne kapelusze to cyberprzestępcy motywowani osobistym lub finansowym zyskiem. Są to zarówno nastoletni amatorzy, jak i doświadczone osoby lub zespoły o określonych kompetencjach. Jednakże w ostatnich latach kilku znanych hakerów tego typu ponownie skoncentrowało się na wykorzystaniu swoich umiejętności w celu ochrony organizacji. Przykładem jest Kevin Mitnick aka Condor, który miał zaledwie szesnaście lat, gdy uzyskał dostęp do komputera Departamentu Obrony. Po tym i wielu innych włamaniach, Mitnick spędził pięć i pół roku w więzieniu. Po uwolnieniu założył własną firmę, Mitnick Security Consulting, która obecnie prowadzi testy penetracyjne dla klientów.
Kwestia tego, czy pracować z hakerem, który miał kiedyś „czarny kapelusz”, jest kontrowersyjna. Niektórzy, w tym David Warburton, Senior Threat Evangelist w F5 Networks, uważają, że zatrudnianie byłych hakerów ma kluczowe znaczenie dla uprzedzenia sytuacji zagrożenia. Inni jednak obawiają się przekazać im dostęp do systemów korporacyjnych i danych klientów. Ta ostatnia grupa powinna jednak rozważyć zmianę podejścia do pracy z hakerami.
Białe kapelusze
Często określani mianem hakerów etycznych, białe kapelusze są zatrudniane przez organizacje w celu poszukiwania słabych punktów w systemach ochronnych. Pomimo stosowania tej samej taktyki, co czarne kapelusze, grupa ta posiada zgodę organizacji, dzięki czemu ich działania są całkowicie legalne. Wykorzystując swoją wiedzę w celu znalezienia sposobów na przełamanie systemów zabezpieczeń, współpracują z zespołami ochrony, aby rozwiązać problemy jeszcze zanim odkryją je inni.
Wiele z największych organizacji na świecie, w tym General Motors i Starbucks, zwracają się do białych kapeluszy, aby pomóc w identyfikacji usterek i proaktywnie poprawić zakres bezpieczeństwa. Białe kapelusze mogą zaoferować ciekawą i lukratywną ścieżkę kariery dla osób posiadających umiejętności techniczne. A zwrócenie uwagi na ważną rolę, jaką odgrywają, może zachęcić bardziej utalentowane osoby do obrania tej pozytywnej ścieżki kariery zamiast „czarnego kapelusza”.
Pielęgnowanie talentów
Istnieje wiele programów mających na celu znalezienie, zachęcenie i wsparcie następnego pokolenia białych kapeluszy. – Przykładem takiej inicjatywy, wspieranej przez AWS, jest r00tz Asylum, konferencja poświęcona edukacji młodych ludzi, jak zostać „białym kapeluszem” – mówi Tomasz Stachlewski. – Uczestnicy uczą się, jak działają hakerzy i eksperci ds. bezpieczeństwa cybernetycznego. Celem konferencji jest zachęcenie osób posiadających fachową wiedzę techniczną do wykorzystania jej w swojej karierze w dobrym celu. Aspirujący specjaliści zyskują wiedzę i umiejętności, dzięki czemu mogą od podstaw poznać bezpieczeństwo w infrastrukturze. Wsparcie AWS dla r00tz to dla nas szansa na zapewnienie środowiska do nauki i dostępu do mentorów dla osób zainteresowanych działaniem w obszasze bezpieczeństwa cybernetycznego – dodaje Tomasz Stachlewski.
Budowanie na solidnych fundamentach
Dla osób odpowiedzialnych za utrzymanie zaufania klientów i ochronę danych kluczowe znaczenie ma kompleksowe podejście do bezpieczeństwa. – Praca z etycznymi hakerami jest istotnym sposobem na postrzeganie bezpieczeństwa z perspektywy cyberprzestępcy, aby zidentyfikować i wyeliminować słabe punkty. Przy tym należy pamiętać, że bezpieczeństwo musi być wplecione w całą infrastrukturę organizacji – mówi Tomasz Stachlewski. – To właśnie tutaj współpraca z platformą chmury może być korzystna. Co więcej, takie platformy chmurowe oferują również zautomatyzowane usługi bezpieczeństwa, które są w stanie proaktywnie zarządzać oceną ryzyka, wykrywaniem zagrożeń i zarządzaniem polityką bezpieczeństwa. Dzięki temu, platformy te odciążają specjalistów ds. bezpieczeństwa, w tym także białe kapelusze – podkreśla Tomasz Stachlewski.
