公司付钱让这家伙侵入他们的网络和办公室

由:Allison Troutner|
黑客"width=
Asher de Metz是一名渗透测试员,这意味着公司雇佣他来测试他们的网络和建筑物的安全性。没错,他被雇来侵入这两家公司。芝麻/盖蒂图片社

阿瑟·德·梅茨从超市的前门走进来。挂在他身边的不是可重复使用的购物袋,而是一个独立的笔记本电脑包。德·梅茨不是在买杂货,这是入室抢劫。但无论是鳄梨无论是检查购物者还是刷信用卡的收银员,他们都意识到自己受到了攻击。

德·梅茨穿过商店,发现一间屋子里都是电脑前的人。那是一次训练课。完美的融入场所。于是,他坐下来劫持一台机器

广告

德梅茨说:“我只是走进去,拔掉了其中一台机器后面的电缆,把它插到我的笔记本电脑上。”“我一直在做黑客工作,很快就从那个房间进入了系统和数据库。”

追踪“黑客”

不久之后,教练找到德梅斯。她很有礼貌,但对他没有把握。“我是从总部来的,”德梅茨解释道,“我是来安装一些更新的,”他告诉她。这个故事让她平静了几分钟,但她决定告诉她的主管。

这时德梅斯觉得是时候出发了。德梅斯回忆说:“我关闭了所有的东西,准备离开。”但教练紧追不舍。“我走上楼梯,不幸的是,当我推开门时,警报响了。”

广告

追逐在安全警报的声音中继续进行,最后,教练在商店的另一头嚎叫着:“是他!就是他!”另一名超市员工找到了德梅斯,但德梅斯有备而来。他有个马尼拉文件夹里面有伪造的工作订单。

他告诉他们他是公司的,有一件事严重的黑客在商店的系统里。“你知道昨晚你的网络被入侵了吗?”数百万被偷了。”“不,”主管说。“我不知道。”两人同意当天下午晚些时候进行一次电话会议,以避免因严重的网络安全违规而导致任何人员伤亡。

德梅斯对超市经理讲的故事有一部分是真的;他是被超市的领导雇来的。18新利最新登入然而,唯一发生的黑客攻击是德梅斯自己做的,他没有偷一分钱。他被雇来观察18新利最新登入他能黑多远进入超市的系统。在这种情况下,他走得很远。现在,他有一些有用的信息要与领导团队分享,如何让18luck手机登录他们的安保对员工和客户更有效、更安全。18新利最新登入

电脑训练班"width=
像Asher de Metz这样的渗透测试人员接受的训练包括,闯入和混入公司会议和培训课程,看看他们是否能黑进电脑,以及主管是否会注意到他们的存在。
希尔街工作室/盖蒂图片社

广告

为什么企业要花钱被黑客攻击

德·梅茨是Sungard可用性服务是一家全球性IT服务管理公司。他有超过20年的渗透测试经验,并为英国、欧洲、中东和北美的一些世界上最大的公司提供了宝贵的建议。

德梅茨说:“公司之所以进行渗透测试,是因为他们不知道自己不知道什么。你可以有一个很棒的内部IT或安全团队,他们正在安装软件包,并试图保护系统,但直到你有一个黑客在那里挖洞,做一些他们不应该做的事情,找到那些人们忽略的风险,公司才知道他们的风险是什么。”

广告

德·梅茨的目标是找到漏洞之前坏人——对各种规模的企业构成越来越大的威胁。根据2017年数据泄露成本研究由IBM安全公司赞助,每年有60%的中小型企业受到攻击。更糟糕的是,在这些企业中,60%在袭击发生后的六个月内关门大吉。全球平均成本为违约赔偿362万美元。

但还有更糟的消息。在2021年的前六个月,受勒索软件攻击影响的企业数量——那些安装恶意软件的企业会阻止网络访问,直到支付“赎金”相比之下增加了一倍多根据Check Point软件技术公司的研究,到2020年。还有火眼公司的MandiantM-Trends 2021报告发现,在2019年10月1日至2020年9月30日期间,公司数据遭到了800次敲诈勒索。

广告

赌注非常高

这就是为什么越来越多的组织雇佣渗透测试人员,也被称为白帽黑客(这是对20世纪中期西方电影象征主义的致敬),像德梅斯那样故意闯入他们的系统。

“这就像一份保险政策。如果公司现在把钱花在安全上,就可以节省1000到1亿美元的损失,如果他们被入侵的话。”德梅茨解释道。“例如,如果他们对自己的勒索软件进行了评估,并为自己接种了疫苗,这就为公司省去了几个月的头痛和因无法开展业务而损失的收入。”

广告

企业为被黑客攻击付费的另一个原因是确保自己符合更严格的监管标准。新利国际网站品牌官网除其他外,医疗保健、金融组织和政府机构必须满足联邦、州和国家的要求行业网络安全法规随着黑客攻击变得越来越普遍,成本也越来越高。

网络安全是物理的和技术的

当人们想到黑客攻击时,他们通常会想到一个独行侠从他们母亲黑暗的地下室里安全攻击一家公司的私人数据。18新利最新登入然而,渗透测试人员同时关注组织安全程序的物理和技术方面,因此他们从组织内部进行攻击。

德梅茨说:“公司不想在谈判桌上留下任何东西,这可能是姿态上的弱点之一。”“我们测试物理控制;我们能进入大楼,通过安检,从后门走吗?我们能访问物理文件吗?我们能否进入公司印制信用卡或礼品卡的领域?”德梅茨指出,除了访问网络或敏感数据等技术方面之外,这些都是关键的物理问题。

广告

他还提供建议,比如建议员工培训项目,这样他遇到的主管等人就能知道如何核实大楼里应该有哪些人。18新利最新登入或者,如果他们不认识某个人该怎么办(而不是开始在全店范围内进行追踪,即使这确实是一个很好的故事)。“我们做这件事很有趣,但我们也为客户提供了很多价值。”

电脑黑客"width=
如果你认为黑客是坐在黑暗地下室的电脑前的人,那你得三思了。它们比以往任何时候都更加复杂。
Milan_Jovic /盖蒂图片社

广告

18新利最新登入渗透测试的工作原理

渗透测试人员必须有详细的技术知识,这需要经验,而不仅仅是花哨的工具。“渗透测试是理解技术并与之交互——了解技术应该如何工作。它是一种方法论,可能会将工具对准它,但它不仅仅是脚本或工具。”

一旦德梅茨进入一个系统,他会寻找三件事:他可以在哪里登录,正在使用的软件版本以及系统是否配置正确。“我们能猜密码吗?”我们能不能找到其他登陆方式?也许软件已经过时,存在漏洞,所以我们尝试利用一些勒索软件代码来攻击它,试图访问系统,”他说。“有些事情可以在审计中发现,但我们也发现了(该组织)没有想到的事情。”

广告

穿透比网络审计更深入,这是一个重要的区别。审核员问,安全程序是否得到遵守?渗透测试的问题是,程序是否有效?

渗透测试人员从安全策略的鸟瞰角度来看待它。问题可能不只是软件过时那么简单,而是整个安全策略需要改进。这就是德梅斯发现的。

许多中小型企业难以为基础良好的安全基础设施提供资金。不过,白帽黑客在负责个人数据的组织中越来越受欢迎,比如Facebook,它以通过自己的账户激励白帽黑客而闻名漏洞赏金计划,找出他们系统中的漏洞。

德梅斯也有在播客上发言用他最引人注目的渗透测试故事。他的目标有两个:用疯狂的故事娱乐听众,但更重要的是,强调渗透测试的价值——以及如果公司不这样做会有什么风险。你可能永远看不到他们,永远不知道他们在那里,但渗透测试人员有助于保证企业的安全,以及像你一样的客户的安全。

广告

特色

广告

加载……
Baidu