Daha fazla şirket BT güvenliğini güçlendirmeye yatırım yaparken, çoğu siber güvenlik uygulaması hala tepkiye dayalıdır ve bir saldırının ne zaman gerçekleştiğini veya ne zaman denendiğini belirlemek ve buna göre tepki vermek için yazılım araçlarına güvenir.
Ancak siber saldırıların sıklığı ve karmaşıklığı artmaya devam ettikçe, işletmelerin siber güvenlik tehditlerine karşı daha proaktif bir yaklaşım benimsemeleri gerektiği açıktır.
Etik bilgisayar korsanları, şirketlerin bir saldırı gerçekleşmeden önce ağlarındaki potansiyel tehditleri ve zayıflıkları belirlemelerine yardımcı olmak için aranır ve siber suçluları kendi oyunlarında yenmek için etkili bir şekilde çalışır.
Saldırgan gibi düşün
Etik hacker eğitim platformu Hack the Box’ın CEO’su Haris Pylarinos, “Yalnızca siber güvenlik araçlarına ne kadar para harcarsanız harcayın, bir insan unsuruna ihtiyacınız var” diyor.
15 yılı aşkın BT ve siber güvenlik deneyimine sahip eski bir etik hacker ve casus yazılım test uzmanı olan Haris Pylarinos, siber güvenliğe yönelik tipik yaklaşımların, bilgisayar korsanları tarafından siber saldırılar için kullanılan yöntem ve teknikleri yansıtmadıkları için sınırlı olduğuna inanıyor.
Ona göre en iyi savunma hücumdur. ZDNet’e verdiği demeçte, “Ne kadar yaratıcı olursa olsun, sistemlerinize yetkisiz erişim sağlamanın tüm yollarını bulmak için saldırgan gibi düşünmeli ve davranmalısınız.”
Veri ihlallerinin %80’i beceri eksikliğinden kaynaklanabilir
Binaen yeni bir çalışmaVeri ihlallerinin %80’i, işgücündeki siber güvenlik becerilerinin eksikliğine bağlanabilir.
Haris Pylarinos, siber güvenlik eğitim programları kuruluşların siber saldırılara karşı farkındalığını ve direncini artırabilse de, genellikle güvenlik ekiplerinin rakiplerin yerine geçmesine veya kurumsal ağları test etmek için zaman harcamasına izin veren uygulamalı bir deneyim sağlamaz. bilgisayar korsanlarının yararlanabileceği güvenlik açıkları.
Etik hackerların devreye girdiği yer burasıdır. “Bu davranışı taklit ediyorlar, hiçbir aletin bulamadığı bu kusurları buluyorlar” diyor.
Halkın içindeki etik hackerlar
Kamu sektörü kurumları da etik hacklemenin değerini anlamaya başlıyor. Mayıs 2022’de Birleşik Krallık Hükümeti Kabine Ofisi bir iş ilanı yayınladı. kıdemli bir etik hacker için hükümet için sızma testi ve kırmızı ekip yetenekleri sağlamaya yardımcı olmak ve “siber saldırı araçlarını ve tekniklerini simüle etmek” için sorumluluk almak.
Haris Pylarinos, “Çoğu kuruluş gibi, günümüzün yüksek tehdit ortamında bir bilgisayar korsanlığı zihniyetini benimseme konusundaki kritik ihtiyacın farkında olduklarını varsayıyorum,” dedi.
“Suçluların önüne geçmenin tek yolu bu ve bu memnuniyetle karşılanıyor. »
Buna rağmen, meslek bir niş olmaya devam ediyor. Çoğu kuruluş için etik bilgisayar korsanlarına en yakın şey, işleri herhangi bir güvenlik açığını keşfetmek ve ortaya çıkarmak için bir şirketin bilgi işlem ortamının belirli bölümlerini araştırmak olan penetrasyon test cihazlarıdır (pentester).
Gerçekte, etik hackleme çok daha geniş bir role sahiptir. Saldırılar oluşturmak ve bilgisayar ortamının bir suç korsanı gibi çeşitli bölümlerinin zayıflıklarını test etmek için elindeki tüm araçları ve teknikleri kullanır.
Haris Pylarinos, “Genel olarak, benim görüşüme göre, bir pentester, bir kişinin ne yaptığını açıklar – ağlara girme yollarına odaklanan bir siber güvenlik uzmanı” diyor.
Başka hiçbir şeye benzemeyen işe alım
Etik bilgisayar korsanları da siber güvenlik uzmanları olmak zorunda değil: “Bir ekipteki bir geliştirici etik bir bilgisayar korsanı gibi düşünüyorsa, güvenlik ihlallerini meydana gelmeden önce tespit edebilirler. »
Tabii ki, insanları etik bilgisayar korsanları olmaları için işe almak ve eğitmek önemli bir engel olmaya devam ediyor, özellikle de mevcut yeteneklerde büyük bir eksiklik olduğu için.
Yine Haris Pylarinos, teknoloji konusunda bilgili olmaları ve bilgisayar korsanlarını işlerinde iyi yapan bazı özellikleri paylaşmaları gerekmesine rağmen, etik bilgisayar korsanlarının siber güvenlik uzmanı olmaları gerekmediğine dikkat çekiyor.
“İşe alım sürecinde teknik becerilerin değerlendirilmesi bir öncelik olmalıdır, ancak iyi haber şu ki, bunları değerlendirmek genellikle kolay” diyor. “Bu, işe alım yöneticilerinin, bulut uzmanlığı gibi günümüzde kuruluşlar ve işletmeler tarafından kullanılan yeni teknoloji çözümleri ve platformlarında en son istismarlar ve saldırı vektörleri hakkındaki hacker bilgilerini ölçmesine olanak tanır. »
“Sadece ‘korsan’ olamazsın”
Eski etik hacker’a göre, işlerin nasıl yürüdüğüne dair doğuştan gelen bir merak – bu, “adayın güvenlik açıklarını kolayca ve hızlı bir şekilde tespit edebileceğini gösterir” – ayrıca iletişim ve bir ekip içinde çalışma yeteneği gibi yumuşak beceriler de temel özelliklerdir. .
En iyi etik bilgisayar korsanları, farklı durumların ciddiyetini net ve doğru bir şekilde ifade edebilir, diye ekliyor. “Sorunları azaltmak için eyleme geçirilebilir yol önerileriyle birlikte sağladıkları rehberlik, hızlı tempolu, yüksek basınçlı bir çalışma ortamında bir fark yaratmak için tüm ekibin anında güvenini ve katılımını gerektiriyor. »
Etik hacker eğitimi, öğrencilerin farklı teknikler ve senaryolarla deneyler yapabilecekleri güvenli bir teknik ortam gerektirdiğinden özel hususlarla birlikte gelir. Haris Pylarinos, “Sadece ‘hack’ yapamazsınız” diye uyarıyor. “Yasadışı ve hasara neden olabilirsiniz. »
Kaynak : ZDNet.com