Когда дело доходит до защиты вашего бизнеса, никогда нельзя быть слишком осторожным. Вот почему в эпоху DDoS-атак и фишинга страховка на вашей стороне может помочь. Этичные хакеры, которых иногда называют «белыми шляпами», обладают тем же набором навыков, что и хакеры-преступники, только они используют их для поиска и исправления слабых мест в интернет-технологиях компании, а не для их использования. Если вам нужен этичный хакер, начните с формулирования четкой миссии, в которой изложите, чего вы надеетесь достичь с их помощью. Затем вы можете искать подходящих кандидатов через официальные программы сертификации или на хакерских онлайн-площадках.
Шаги
Часть 1 из 3: заполнение позиции
Шаг 1. Оцените риски незащищенности
Может возникнуть соблазн попытаться сэкономить, придерживаясь существующей ИТ-команды. Однако без специализированного резервного копирования ИТ-системы вашей компании будут уязвимы для атак, которые слишком сложны, чтобы их мог поймать обычный компьютерный гений. Достаточно одной из этих атак, чтобы нанести серьезный ущерб финансам и репутации вашего бизнеса.
- В целом, средняя стоимость защиты и устранения утечки данных в Интернете составляет около 4 миллионов долларов.
- Думайте о найме в белой шляпе, как о оформлении страхового полиса. Независимо от их услуг - небольшая плата за ваше спокойствие.
Шаг 2. Определите потребности вашей компании в кибербезопасности
Недостаточно просто решить, что вам нужно усилить защиту в Интернете. Придумайте формулировку миссии, в которой точно изложите, чего вы надеетесь достичь, наняв внешнего эксперта. Таким образом, и вы, и ваш кандидат будете иметь четкое представление о своих обязанностях.
- Например, вашей финансовой компании может потребоваться усиленная защита от подделки контента или социальной инженерии, или ваше новое приложение для покупок может подвергнуть клиентов риску кражи информации о кредитной карте.
- Ваше заявление должно служить своего рода обратным сопроводительным письмом. Он не только прорекламирует должность, но и опишет конкретный опыт, который вы ищете. Это позволит вам отсеять случайных соискателей и найти лучшего человека для работы.
Шаг 3. Будьте готовы предложить конкурентоспособную оплату
Иметь на своей стороне этичного хакера - разумный шаг, но не дешевый. Согласно PayScale, большинство белых шляп могут рассчитывать на получение 70 000 долларов и более в год. Опять же, важно помнить, что работа, которую они будут выполнять, стоит того, о чем они просят. Это вложение, которое вы, скорее всего, не можете себе позволить не сделать.
Завышенная ставка заработной платы - это небольшая финансовая неудача по сравнению с дырой в ИТ-системе, от которой зависит получение прибыли вашей компании
Шаг 4. Посмотрите, сможете ли вы нанять хакера по работе
Возможно, нет необходимости держать белую шляпу у ИТ-персонала на постоянной основе. В заявлении о целях укажите, что вы ищете консультанта, который возглавит крупный проект, возможно, внешний тест на проникновение или переписывание некоторого программного обеспечения безопасности. Это позволит вам выплачивать им единовременный аванс, а не постоянную зарплату.
- Случайная работа консультанта может быть идеальной для хакеров-фрилансеров или тех, кто недавно получил сертификат.
- Если вы довольны работой своего эксперта по кибербезопасности, вы можете предложить ему снова поработать с вами над будущими проектами.
Часть 2 из 3: поиск квалифицированного кандидата
Шаг 1. Найдите кандидатов с сертификатом Certified Ethical Hacker (CEH)
Международный совет консультантов по электронной торговле (сокращенно EC-Council) отреагировал на растущий спрос на этичных хакеров, создав специальную программу сертификации, предназначенную для их обучения и помощи в поиске работы. Если эксперт по безопасности, с которым вы беседуете, может указать на официальную сертификацию CEH, вы можете быть уверены, что это подлинный продукт, а не тот, кто изучил свое ремесло в темном подвале.
- Хотя взломать учетные данные может быть сложно проверить, ваши кандидаты должны соответствовать тем же строгим стандартам, что и все остальные кандидаты.
- Избегайте приема на работу тех, кто не может предоставить подтверждение сертификации CEH. Поскольку у них нет сторонних лиц, которые бы за них поручились, риски слишком высоки.
Шаг 2. Просмотрите онлайн-торговую площадку для этических хакеров
Взгляните на некоторые списки на таких сайтах, как Hackers List и Neighborhoodhacker.com. Подобно обычным платформам поиска работы, таким как Monster и Indeed, эти сайты собирают записи от подходящих хакеров, ищущих возможности применить свои навыки. Это может быть наиболее интуитивно понятный вариант для работодателей, которые привыкли к более традиционному процессу найма.
Торговые площадки этичных хакеров продвигают только квалифицированных юристов, а это значит, что вы можете спать спокойно, зная, что ваши средства к существованию будут в надежных руках
Шаг 3. Проведите открытое соревнование по взлому
Одно интересное решение, которое работодатели начали использовать для привлечения потенциальных кандидатов, - это натравить конкурентов друг на друга в хакерских симуляциях лицом к лицу. Эти симуляции смоделированы по образцу видеоигр и предназначены для проверки общего опыта и способности быстро обдумывать решения. Победитель вашего конкурса может оказаться тем, кто окажет вам необходимую поддержку.
- Попросите вашу техническую команду приготовить серию головоломок, смоделированных на основе обычных ИТ-систем, или приобретите более сложную симуляцию у стороннего разработчика.
- Предполагая, что создание собственной симуляции - слишком много труда или затрат, вы также можете попробовать связаться с прошлыми победителями международных соревнований, таких как Global Cyberlympics.
Шаг 4. Обучите сотрудника выполнять свои обязанности по борьбе со взломом
Любой желающий может бесплатно зарегистрироваться в программе EC-Council, которую белые шляпы используют для получения сертификата CEH. Если вы предпочитаете сохранять столь заметную должность в компании, подумайте о том, чтобы обучить одного из ваших нынешних ИТ-сотрудников. Там их научат выполнять методы тестирования на проникновение, которые затем можно будет использовать для поиска утечек.
- Программа структурирована как 5-дневный практический урок с 4-часовым комплексным экзаменом, который проводится в последний день. Чтобы пройти, участники должны набрать не менее 70% баллов.
- Сдача экзамена стоит 500 долларов, а также дополнительная плата в размере 100 долларов для студентов, которые предпочитают учиться самостоятельно.
Часть 3 из 3: Привлечение этичного хакера в ваш бизнес
Шаг 1. Проведите тщательную проверку биографических данных
Необходимо будет тщательно изучить ваших кандидатов, прежде чем вы даже подумаете о включении их в свою платежную ведомость. Отправьте их информацию в отдел кадров или в стороннюю организацию и посмотрите, что они найдут. Обратите особое внимание на любую прошлую преступную деятельность, особенно связанную с преступлениями в Интернете.
- Любой тип преступного поведения, всплывающий в результате проверки биографических данных, следует рассматривать как красный флаг (и, возможно, основание для дисквалификации).
- Доверие - ключ к любым рабочим отношениям. Если вы не можете доверять этому человеку, он не принадлежит вашей компании, каким бы опытным он ни был.
Шаг 2. Проведите подробное собеседование со своим кандидатом
Предполагая, что ваш потенциальный клиент успешно прошел проверку биографических данных, следующим шагом в этом процессе будет проведение собеседования. Попросите вашего ИТ-менеджера, сотрудника отдела кадров, сесть с кандидатом и подготовить список вопросов, например: «Как вы стали заниматься этическим взломом?», «Выполняли ли вы какую-либо другую оплачиваемую работу?», «Какие виды работы». инструментов, которые вы используете для выявления и нейтрализации угроз? и «дайте мне пример того, как защитить нашу систему от атак внешнего проникновения».
- Встречайтесь лицом к лицу, а не полагайтесь на телефон или электронную почту, чтобы получить точное представление о характере кандидата.
- Если у вас есть какие-то нерешенные проблемы, запланируйте одно или несколько повторных собеседований с другим членом управленческой команды, чтобы вы могли получить второе мнение.
Шаг 3. Назначьте своего эксперта по кибербезопасности для тесного сотрудничества с вашей командой разработчиков
В дальнейшем приоритетом номер один вашей ИТ-команды должно быть предотвращение кибератак, а не их устранение. Благодаря этому сотрудничеству люди, создающие онлайн-контент вашей компании, узнают о более безопасных методах программирования, более всестороннем тестировании продукта и других методах перехитрения потенциальных мошенников.
Наличие этичного хакера для проверки каждой новой функции может немного замедлить процесс разработки, но новые надежные функции безопасности, которые они разрабатывают, будут стоить задержки
Шаг 4. Узнайте, как кибербезопасность влияет на ваш бизнес
Воспользуйтесь обширными знаниями, которые дает ваша белая шляпа, и узнайте немного о типах тактик, обычно используемых хакерами. Когда вы начнете понимать, как планируются и проводятся кибератаки, вы сможете увидеть их приближение.
- Попросите своего консультанта регулярно проводить подробные брифинги о том, что он обнаружил. Еще один способ освежить свои знания - это проанализировать полученные данные с помощью ИТ-команды.
- Поощряйте нанятого вами хакера объяснять меры, которые они принимают, вместо того, чтобы просто оставлять его заниматься своим делом без всяких сомнений.
Шаг 5. Внимательно следите за нанятым хакером
Хотя маловероятно, что они предпримут какие-либо недобросовестные попытки, это вполне возможно. Поручите другим членам вашей ИТ-команды следить за состоянием вашей безопасности и искать уязвимости, которых раньше не было. Ваша миссия - защитить свой бизнес любой ценой. Не упускайте из виду тот факт, что угрозы могут исходить как снаружи, так и изнутри.
- Нежелание объяснить вам их точные планы или методы может быть предупреждающим знаком.
- Если у вас есть основания подозревать, что сторонний специалист вредит вашему бизнесу, не бойтесь увольняться и искать нового.
подсказки
- Кибербезопасность - жизненно важная проблема для каждого бизнеса 21 века, от крупнейшей финансовой компании до самого маленького стартапа.
- Приобретение страховки кибербезопасности может гарантировать, что вы получите обратно все, что потеряете в случае мошенничества, взлома или утечки данных.
- Было бы неплохо рекламировать свою потребность в этичном хакере на таких сайтах, как Reddit, где белые шляпы, как известно, любят говорить.
Предупреждения
- Держитесь подальше от несертифицированных свободных агентов, хакеров с сильными политическими или религиозными убеждениями и так называемых «хактивистов». Эти мошенники могут попытаться использовать информацию, к которой они получают доступ, в коварных целях.
- Работа с хакером, даже если он придерживается этических норм, может плохо отразиться на вашей компании в глазах ваших партнеров или клиентов.
