道德黑客给公司带来的价值

　　为什么漏洞发现奖励制度正在兴起？

　　即便是准备最为充分的公司在应对网络安全挑战时也会感到气馁。正如道德黑客Jamie Woodruff在“活力数字未来”大会上所做演示时所言，“你最弱的员工决定了你的基础设施的强度。从入侵、破解到社交工程，公司中每名团队成员都属于需要管理的风险。”

　　安全测试公司CA Veracode的EMEA解决方案架构师经理Paul Farrington指出，《2017年软件安全状况报告》显示，77%的应用在初步扫描时会至少有一个漏洞，因此谷歌和苹果等大型公司都设立了自己的漏洞发现奖励制度，雇用或是鼓励道德黑客查找他们软件应用中的漏洞也就不足为奇了。

　　像Woodruff这样的道德黑客或渗透测试者能够与公司合作查找陷阱和潜在问题，进行渗透测试并帮助保护公司和公司数据的安全。由于网络安全技能的差距和人才短缺正在持续影响这一领域，因此将外部技能引入到测试系统中具有重大意义。

　　对渗透测试者的需求正持续增长

　　ISACA的《2017年网络安全状况报告》显示，尽管三分之一的受访者称他们的企业收到了10多名报名者对这一空缺职位的申请，但是其中64%的受访者表示只有不到半数的报名者符合条件。报告还指出，即便是技能熟练的人，“在被雇用后也需要时间和培训才能达到企业已有人员的水平并胜任他们的工作。”

　　随着对这些技能的需求持续增长以及公司开始重视雇用渗透测试者，整个行业正在努力提升这一领域的声誉，因为之前他们的声誉一直不是很好。道德黑客这一术语本身就存在问题，其中含有负面的含义，尤其是在其发展历史上。曾经被称为白帽黑客的人如今更喜欢被称为渗透测试者，其认证和资格评审也正日益规范。

　　RiskSense的首席技术官Danny Quist博士称：“我的首个渗透测试团队（红队）过去并不承认他们的存在。这种情况正在快速发生变化。如今成为一名黑客需要有天生的好奇心和学习能力。”他还补充道，专业的训练让成长之路变得更加容易。如今这些专业训练已经有了充足的可用资源，其中包括YouTube视频、相关书籍和当地的Defcon/2600小组。Quist说：“特许学校的黑客培养正在从孩子抓起。军队则直接从高中征召人员并将他们培训成黑客。如今已经有了相关的资格认证和培训方案，大学也开设了相关的专业。”

　　CREST是一家代表技术信息安全行业的非营利认证机构。他们为从事渗透测试、网络事件响应和威胁情报服务的机构和个人提供国际承认的资格认证。

　　CREST总裁Ian Glover说：“我们引入了专业级的资格认证。这些资格认证已经得到了行业、政府、雇主和个人的承认，等级从基础入门级到专家级以及10000小时级甚至更高级都有。”

　　CREST强调所有的会员公司都要接受定期的严格评估。获得CREST资格认证的个人必须要通过严格的考试以证明自己的学识、技能和工作能力。CREST由经验丰富的安全专家组成的执行委员会管理，这些专家还将促进网络安全市场中的意识、道德与标准的发展。

　　Glover还补充道，虽然全球不同地区正在使用不同的解决办法，但是实现行业专业化的推动力十分强劲。CREST将有助于在东南亚地区实现许可证制度和建立渗透标准。他说：“在新加坡，他们将要实施这些。如果你正在从事渗透测试工作但没有获得批准，那么你可能面临两年的监禁和50000美元的罚款。”

　　作为CREST会员企业的Context Information Security的部门主管Owen Wright说，他们的目标是让公司的咨询人员都获得CREST的相关资格证书，这需要很高的学识与技术水平。如果要访问受保护的重要信息和资产，任何外部咨询人员都必须要获得安全许可，至少要是安检（SC）级许可。

　　他解释说，公司使用道德黑客进行渗透测试以识别IT系统漏洞的力度正在增加。一旦突破，渗透测试者通常会进一步利用漏洞并尝试提升权限以彻底查明风险的等级。

　　Wright说：“‘红队’测试会模拟公司遇到的真实攻击以评估公司安全防护的有效性。”这通常包括观察人员和程序以查看他们在面对真实攻击时是如何应对的。

　　Wright将这比作消防演练。每个人都知道在火警响起时需要撤离建筑物并清楚最安全的逃生路线。消防演练会发现大门被上锁、消防水龙头缺失或不起作用等问题。他说：“通过找出漏洞、发现安全策略与执行之间的差距以及最终的风险管理，渗透测试能够提供与真实攻击相同的体验。”

　　技术信息随后必须要转化为商业情报。FarrPoint公司的网络安全顾问Dan Brown说，道德黑客已经从纯粹的技术角色转变为了与业务持续性和技术漏洞风险息息相关的角色。在过去十年里，他发现这一角色已经越来越受欢迎。

　　“公司经常发现他们将这些纯技术性的报告转换为他们能够看懂的风险，就像他们应对的其他业务风险那样易懂是一项艰巨的挑战。渗透测试者将与网络安全顾问共同工作以将这些风险转换为他们熟悉的商业指标。”

　　渗透测试的四大关键驱动力

　　SecureData公司首席安全策略官Charl van der Walt指出了渗透测试的四大关键驱动力。首先是检验盒。许多客户因为合规性的原因被迫展开渗透测试，这导致经常出现被迫采购，客户几乎没有合作，没有学习动力，也没有意愿去修补已发现的问题。他说：“这类测试经常无法避免，但是合规性绝对不是一个展开渗透测试的好理由。”

　　第二个关键驱动力被van der Walt称之为“新头盔”。他指出这和一段YouTube视频中小男孩拿到新自行车头盔后立即戴上它以跑步方式高速向墙上撞以测试头盔的性能如出一辙。想知道它们是否会起作用，那么最好的方式就是戴上进行测试。

　　“即便是最世故的IT操作部门中也有像视频中的小男孩这样的员工。为这些风险、漏洞和威胁管理投入了大量时间和资金的人想知道，他们真的很想知道自己将如何抵御一个集中攻击以及经历整个考验是一种什么感觉。这是一种原始的心理驱动力，虽然难以获得预算但是会立即吸引具有好奇心的员工和公司。”

　　他解释说，这一价值体现在情绪和管理上。“在渗透测试期间向首席技术官展示首席执行官电子邮箱收件箱中泄露出来的邮件副本，那么随后关于信息安全的所有讨论都会换上另一副完全不同的语调。对于那些试图说服董事会或管理者让他们重视安全性的首席信息安全官来说，这是一个非常有说服力的示例。”

　　van der Walt说，漏洞发现奖励为第三个驱动力。许多成熟的公司，尤其是那些自己开发软件的公司已经把对新代码版本进行渗透测试作为公司的策略。明确攻击范围、设置具体目标、安排测试者轮流实施、记录和追踪发现的漏洞等机制已经被明确制定并被严格执行。

　　van der Walt说：“有意思的是在这类测试中，测试者的主要价值并不是某一种技能或学识，而是一种视角。即以攻击者的思维和行为方式进行训练、引导和激励，而不是站在建设者的视角上。客户自己的员工很少会站在这种视角上进行评估。”

　　最后一种是Wright提出的战争游戏，也是最有趣的。Van der Walt说，尽管这一套通常出现在军队和政府当中，但是它们已经逐渐被商业世界所接受。

　　他说：“我们作为公司也喜欢这种测试，不光是因为这非常有趣，更因为我们可以自由地模拟真实的对手，而不是面对政府或行业标准以及其他的行业测试者。”

　　道德黑客相当于便宜的保险

　　《SANS网络战网络城市》作者兼美国系统网络安全协会（SANS Institute）“SEC560：网络渗透测试与道德黑客”课程首席教官Ed Skoudis说，通过发现程序、技术和安全感知中的瑕疵，道德黑客能够根据实际问题而非理论上的漏洞给出切实的建议。他说：“通过这种方式，道德黑客能够帮助组织机构分配稀缺资源以便更为有效地展开网络防御。”

　　Skoudis表示，从道德黑客或渗透测试者那里获取最有价值的东西的关键，在于找到既拥有出色技术又能知道如何为公司提供价值的人才。他强调说：“将这些领域融会贯通至关重要。”在技术层面上，道德黑客应当能够模拟组织机构常见威胁所使用的攻击技巧，这些威胁包括网络犯罪分子、国家、不怀好意的内部人员等。

　　此外，他指出：“道德黑客还应当清楚如何以组织机构的内部语言描述风险。不同的组织机构会面临不同类型的风险并会以不同的方式讨论。”根据组织机构的不同，业务风险包括金融影响、监管疏漏、物理安全、形象损害等。“你的道德黑客能够帮助将潜在攻击与业务风险联系起来，因此你能够确保自己的防御适用于当面面临的威胁。”

　　他补充道，寻找道德黑客的价值在于他们能够针对提升防御能力给出切实的业务建议，而你的运营团队也能够实际执行这些建议。“一些道德黑客实际上很擅长推荐实用的技术。我们应当尽力寻找他们。”

　　尽管漏洞发现奖励制度和道德入侵是网络安全中非常重要的一个环节，但是Farrington反对只依靠道德黑客来查找安全漏洞。研究表明，道德黑客发现的大部分漏洞能够在开发阶段通过培训或测试被开发人员堵上。对此，他指出：“组织机构必须要确保自己在软件应用开发方面有一套完整的解决方案。”

　　道德黑客的价值在于防范于未然。正如Quist所言：“道德黑客要使用与不道德黑客相同的战术、技术和程序。他们之间的最大区别在于你能够知道他们发现了什么以及如何解决。道德黑客相当于便宜的保险。”

　　原文网址

　　https：//www.csoonline.com/article/3266671/security/testing-the-waters-the-value-of-ethical-hacking-for-business.html

　　作者/Bianca Wright 编译/范范