道德黑客遵循严格的道德准则,以确保他们的行为对公司有利而无害。许多培训或认证道德黑客的组织,如国际电子商务顾问局等都发布了自己的正式书面道德准则。虽然不同黑客和不同组织所规定的道德准则可能有所不同,但一般准则是:
- 道德黑客获得他们所攻击的公司的许可:道德黑客受雇于他们所攻击的组织或与其合作。他们与公司一起定义活动的范围,包括黑客攻击何时发生、黑客可以测试哪些系统和资产,以及他们可以使用哪些方法。
道德黑客不会造成任何伤害:道德黑客不会对入侵的系统造成任何实际损害,也不会窃取发现的任何敏感数据。当白帽黑客攻击网络时,他们只是为了展示真正的网络犯罪分子可能会使用的手段。
道德黑客对发现的情况或数据保密:道德黑客与合作公司分享他们收集的有关漏洞和安全系统的信息,而且只与合作公司分享。他们还协助合作公司利用这些发现加强网络防御。
道德黑客遵守法律要求:道德黑客仅使用合法的方法来评估信息安全。他们不与黑帽黑客来往或参与恶意黑客攻击。
相对于这种道德准则,还有另外两种类型的黑客。
彻头彻尾的恶意黑客
恶意黑客有时被称为“黑帽黑客”,他们出于个人利益、网络恐怖主义或其他原因实施网络犯罪。他们侵入计算机系统以窃取敏感信息、窃取资金或扰乱运营。
不道德的道德黑客
有时称为“灰帽黑客”,他们使用不道德的方法,甚至违法行为来达到道德的目的。例如他们未经许可攻击网络或信息系统以测试漏洞,或公开利用供应商将予以修复的软件漏洞。虽然出于善意,但他们的行为也可能向恶意攻击者提供新的攻击向量。
道德黑客是一条合法的职业路径。大多数道德黑客都拥有计算机科学、信息安全或相关领域的学士学位。他们往往了解常见的编程和脚本语言,例如 python 和 SQL。他们熟练掌握恶意黑客使用的工具和方法,包括 Nmap 等网络扫描工具、Metasploit 等渗透测试平台以及 Kali Linux 等黑客攻击专用操作系统,并不断提高自身技能。
像其他网络安全专业人员一样,道德黑客通常会获得证书以证明他们的技能和遵守道德的承诺。许多人参加道德黑客课程或参加特定于该领域的认证计划。一些最常见的道德黑客认证包括:
道德黑客认证 (CEH):CEH 由国际网络安全认证机构国际电子商务顾问局提供,是最广泛认可的道德黑客认证之一。
CompTIA PenTest+:该认证侧重于渗透测试和漏洞评估。
SANS GIAC 渗透测试员 (GPEN):与 PenTest+ 一样,SANS Institute 的 GPEN 认证可验证道德黑客的渗透测试技能。
道德黑客提供一系列服务
渗透测试
渗透测试是模拟的安全漏洞。渗透测试人员模仿恶意黑客未经授权访问公司系统。当然,渗透测试人员不会造成任何实际伤害。他们利用测试结果帮助公司抵御真正的网络犯罪分子攻击。
渗透测试分三个阶段:
1. 搜索
在情报收集阶段,渗透测试人员收集有关计算机、移动设备、Web 应用程序、Web 服务器以及公司网络上其他资产的信息。因为渗透测试人员在此期间绘制网络的整个足迹图,所以这个阶段有时称为“足迹图”阶段。
渗透测试人员使用手动和自动方法进行检测。他们可能会搜索员工的社交媒体资料和 GitHub 页面以获取线索。他们可能使用 Nmap 等工具扫描开放端口,使用 Wireshark 等工具检查网络流量。如果公司允许,他们可能会使用社交工程策略诱骗员工共享敏感信息。
2. 发起攻击
渗透测试人员了解了网络的轮廓,以及可以利用的漏洞后,就会入侵系统。渗透测试人员可能会尝试各种攻击,具体取决于渗透测试的范围。一些最常测试的攻击包括:
– SQL 注入:渗透测试人员试图通过在输入字段中输入恶意代码来让网页或应用程序泄露敏感数据。
– 跨站脚本攻击:渗透测试人员试图在公司网站中植入恶意代码。
– 拒绝服务攻击:渗透测试人员试图通过虚假流量对服务器、应用程序和其他网络资源进行洪泛攻击,致使服务器、应用程序和其他网络资源处于瘫痪的状态。
– 社会工程:渗透测试人员使用网络钓鱼、诱饵、借口或其他策略来诱骗员工做出危害网络安全的行为。
在攻击过程中,渗透测试人员探索恶意黑客如何利用现有漏洞,以及在进入网络后如何移动。他们找出黑客可以访问的数据和资产类型。他们还测试现有的安全措施是否可以检测或阻止他们的活动。
攻击结束后,渗透测试人员会掩盖自己的踪迹。这样做有两个目的。首先,可以展示网络犯罪分子如何隐藏在网络中。其次,可以防止恶意黑客秘密跟随道德黑客进入系统。
3. 报告
渗透测试人员记录他们在黑客攻击期间的所有活动,然后向信息安全团队提交报告,概述他们利用的漏洞、访问的资产和数据以及如何绕开安全系统。道德黑客还提出重视和解决这些问题的建议。
漏洞评估
漏洞评估类似于渗透测试,但并没有达到利用漏洞的程度。在漏洞评估中,道德黑客使用手动和自动方法来查找、分类和优先处理系统中的漏洞;然后向公司分享他们的发现。
恶意软件分析
一些道德黑客专门从事勒索软件和恶意软件类别的分析工作。他们研究新的恶意软件版本,以了解其工作原理,并与公司和更广泛的信息安全社区分享他们的结论。
风险管理
道德黑客还协助高级战略性风险管理。他们能够识别新型和新兴威胁,分析威胁如何影响公司的安全状况,并帮助公司制定对策。
虽然评估网络安全的方法有很多,但道德黑客可以帮助公司从攻击者的角度了解网络漏洞。道德黑客获得许可入侵网络后,可以向公司展示恶意黑客如何利用操作系统、应用程序、无线网络和其他资产的漏洞。这些信息可以帮助公司发现最关键的漏洞,及时堵住这些漏洞。
从道德黑客的角度也可能发现内部安全分析师可能遗漏的内容。例如,道德黑客正面攻击防火墙、加密算法、入侵检测系统 (IDS)、扩展检测系统 (XDR) 和其他对策。因此他们确切地知道这些防御措施在实践中的作用及不足之处,而公司并不会遭受数据泄露的危害。
《2023 年 IBM Security® X-Force® Threat Intelligence 指数》为首席信息安全官 (CISO)、安全团队和企业领导提供了切实可行的洞察,帮助企业了解威胁参与者如何发动攻击,以及他们能如何主动采取措施保护企业。
浏览 2023 年《数据泄露的代价》报告的全面调查结果。该报告提供了有关企业所面临威胁的宝贵洞察成果,以及升级网络安全和最大程度减少损失的实用建议。
安全运营中心统一和协调所有网络安全技术和运营,从而提高组织的威胁检测、响应和预防能力。
IBM 研究人员发现了新的威胁,针对称为深度生成模型 (DGM) 的不同类型的 AI 模型开发了可行的防御措施。深度生成模型是新兴的 AI 技术,能够合成复杂高维导管的数据。
计算机网络安全是互联网络安全的一个领域,重点是保护计算机网络免受网络威胁。计算机网络安全可保护网络基础架构、资源和流量的完整性,阻止攻击并最大程度地减少对财务和运营的影响。
攻击面管理 (ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。