美國(guó)軍方在上周冒險(xiǎn)進(jìn)入了新領(lǐng)域,在“黑了軍隊(duì)”懸賞行動(dòng)的第一天,眾多被邀請(qǐng)的黑客挑戰(zhàn)入侵軍方的官方網(wǎng)站,試圖尋找那些可能的漏洞。
美軍部長(zhǎng)Eric Fanning在11月中旬發(fā)布這個(gè)計(jì)劃的時(shí)候說(shuō)道“我們對(duì)于國(guó)防部以外發(fā)生的那些科技變化并非十分靈活,我們也在尋求新的做事方法。”其中就包括打破了以往政府避免與黑客組織打交道的慣例。
和軍方一樣,企業(yè)也意識(shí)到黑客并不是罪犯的同義詞,而且將黑客變成自己的雇員可能是面對(duì)真正挑戰(zhàn)的唯一方法。
在Radware and Merrill Research進(jìn)行的調(diào)研中,超過(guò)59%的受訪經(jīng)理表示曾經(jīng)雇傭或會(huì)雇傭一個(gè)前黑客加入他們的網(wǎng)絡(luò)安全團(tuán)隊(duì)。1/4以上的受訪機(jī)構(gòu)表示雇傭前黑客超過(guò)2年以上,包括所謂的白帽子或有道德的黑客:灰客——那些并非心懷惡意觸犯法律或道德標(biāo)準(zhǔn)的人——而黑客通常是惡意操作。
在科技職業(yè)網(wǎng)站Dice.com上發(fā)布招聘道德黑客的職位從2013年的100個(gè)到了如今的800個(gè)以上。網(wǎng)站董事長(zhǎng)Bob Melk表示“與每天超過(guò)80000個(gè)科技職位的發(fā)布量相比,這是個(gè)小數(shù)目,但很明顯這種專(zhuān)業(yè)需求的增長(zhǎng)十分迅速。”
HackerOne的聯(lián)合創(chuàng)始人兼CTO AlexRice表示,“黑客在尋找一般人無(wú)法找到的細(xì)枝末節(jié)上有特殊的才能,如那些未知的漏洞、并未完全修復(fù)好的錯(cuò)誤,”HackerOne的社區(qū)中有70000個(gè)黑客在線(xiàn)的漏洞懸賞平臺(tái)。“任何機(jī)構(gòu)都有錯(cuò)過(guò)的漏洞。”他們?cè)敢獬袚?dān)讓一位思維獨(dú)特、技術(shù)高超的黑客進(jìn)入尋找問(wèn)題這樣的風(fēng)險(xiǎn)。
“我們作為供應(yīng)商已經(jīng)觀戰(zhàn)良久,現(xiàn)在作為用戶(hù)也是一樣,”Jon Oltsik是Enterprise Strategy集團(tuán)的首席分析師與網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人。“那些為了有趣或者研究目的黑入系統(tǒng)的人是首選雇傭?qū)ο?,他們是很好的獵人與法律調(diào)查員,也許沒(méi)有資質(zhì)證明,但他們有很好的技巧與能力。”
但是雇傭一個(gè)因黑客行為觸犯法律的人的確有其風(fēng)險(xiǎn),企業(yè)也必須權(quán)衡他們想達(dá)成的目的與能承擔(dān)的風(fēng)險(xiǎn)。“你要不要忽略背景雇傭一個(gè)罪犯?得看具體情況,有的時(shí)候答案是肯定的。根據(jù)各自的風(fēng)險(xiǎn)評(píng)估結(jié)果。”Rice認(rèn)為。
有很多著名黑客走上了成功合法的職業(yè)生涯。2008年,18歲的Owen Walker作為國(guó)際黑客組織的頭目,被指控造成2000萬(wàn)美元損失,他后來(lái)去了通信公司Telstra的安全部門(mén)工作。Jeff Moss,是Black hat和DEF CON計(jì)算機(jī)攻擊論壇創(chuàng)始人,經(jīng)營(yíng)著一個(gè)遍布黑客的地下網(wǎng)絡(luò),由好奇心開(kāi)始最后成為罪犯。在2009年,他加入了美國(guó)國(guó)土安全顧問(wèn)委員會(huì),并在2011年被任命為ICANN的CSO。Kevin Mitnick目前是安全意識(shí)培訓(xùn)網(wǎng)站KnowBe4的首席官員,曾因入侵40家以上大企業(yè)被FBI列入通緝名單。
模糊的灰色地帶
大部分黑客不是惡棍或罪犯,Rice認(rèn)為,“他們能很好地把控自己的能力,其實(shí)他們可以選擇去做一個(gè)罪犯但沒(méi)有——這和其他類(lèi)型的專(zhuān)業(yè)人員是一樣的。”
但是在白帽子和黑客之間,有多少企業(yè)能判斷這中間的灰色地帶到底是怎樣的?“一個(gè)人的黑客行為在另一人看來(lái)只是安全研究罷了,”Stu Sjouwerman,KnowBe4的創(chuàng)始人兼CEO表示,“正如同對(duì)一人來(lái)說(shuō)是自由斗士之于他人則變成恐怖分子。”
供應(yīng)商公司通常會(huì)選擇雇傭道德黑客,Oltsik說(shuō),“也許他們?cè)|碰法律邊界,但他們并未背負(fù)罰單或被定罪。”
KnowBe4雇傭了4名白-灰帽子作為安全研究員,偶爾地,公司會(huì)在其避免受攻擊中踩到法律邊界——最近CEO本人就遭遇了欺詐。
有人冒名Sjouwerman發(fā)了郵件給其審計(jì)官并要求電匯40000美元。在馬上意識(shí)到這是個(gè)騙局的同時(shí),他的團(tuán)隊(duì)找到騙子的身份信息以其人之道還制其人之身。
“我們發(fā)了封釣魚(yú)郵件給他的AOL賬號(hào),告知登錄次數(shù)過(guò)多賬戶(hù)被鎖,請(qǐng)重新登錄解鎖。他馬上就掉入陷阱了。”Sjouwerman回憶道。
5分鐘后,Sjouwerman的團(tuán)隊(duì)就收到了騙子AOL賬戶(hù)的用戶(hù)名和密碼。登錄后,他們清空其AOL賬導(dǎo)入他們自己的PSD文檔并檢查他做了什么。這種騙局保證騙子月凈入25萬(wàn)美元。
“我們知道不能這么做但還是做了,”Sjouwerman說(shuō)。那么黑客員工的話(huà),“這種事情很容易去嘗試,無(wú)論白帽子還事灰帽子。”
雇傭黑客的障礙
Global CSO Shawn Burke非常愿意聽(tīng)取黑客關(guān)于他的團(tuán)隊(duì)在Sungard Availability 服務(wù)中的安全控制解決方案里沒(méi)涉及到的那些建議,“他們肯定有很多拿得出手的東西。”但是對(duì)于Sungard這種為高度管制的金融機(jī)構(gòu)及政府機(jī)關(guān)提供服務(wù)的公司來(lái)說(shuō),嚴(yán)格的背景審查必不可少。“當(dāng)然,他們的簡(jiǎn)歷或背景調(diào)查中也不會(huì)顯示他們有什么把柄被抓到。”
Sungard確實(shí)雇傭了一批白帽子做SANS滲透測(cè)試以及培訓(xùn)如何正規(guī)地入侵。其中一名員工在上份工作中被卷入“NSA top-secret work”,“他看到了很多其他人從未意識(shí)到的東西,”Burke說(shuō)道,“然而他們不能談?wù)撨@些——但他們知道如何去說(shuō),用那種秘密的方式,我覺(jué)得我們的安全控制也應(yīng)該用這樣的方式進(jìn)行。”在提到選擇員工時(shí),Burke認(rèn)為信任是關(guān)鍵,“我必須相信他們能夠做好工作。”
小心翼翼地推進(jìn)
專(zhuān)家認(rèn)為企業(yè)雇傭黑客應(yīng)該采取必要的預(yù)防措施。
首先,在招聘前進(jìn)行背景審查,Oltsik說(shuō)道,“任何形式的法律問(wèn)題或者犯罪背景都要亮紅燈,與同僚的摩擦或齟齬經(jīng)歷,人事糾紛,私下兼職——與雇用其他人時(shí)所需注意的沒(méi)什么不同。”
當(dāng)評(píng)價(jià)一個(gè)可能有案底的灰、黑客時(shí),“通常是由各種認(rèn)識(shí)的人推薦來(lái)幫助他們獲得工作,”Sjouwerman說(shuō)。“有人背書(shū)就是某種程度上比較可靠且唯一能夠成功的途徑了。”
一旦成為雇員,黑客們?cè)谧约旱奈恢蒙贤ǔH玺~(yú)得水,但是一定要確保你能夠監(jiān)控并管得住他們。Oltsik說(shuō),“他們擁有的技能殺傷力很大,經(jīng)過(guò)一段時(shí)間的工作,你能很快判斷出是否有人在做些令人懷疑的事。”
企業(yè)同時(shí)應(yīng)該思考黑客是否能融入團(tuán)隊(duì),黑客們天性上趨于單槍匹馬而非團(tuán)隊(duì)合作,Oltsik表示,“如果你有個(gè)員工以入侵破壞系統(tǒng)為樂(lè),也不是那么合群,你是否能找到一個(gè)適合他并且有利于雙方的位置給他呢。”
讓他們做咨詢(xún)顧問(wèn)
Sjouwerman提出,企業(yè)如有雇傭黑客的風(fēng)險(xiǎn)顧慮或文化接受方面的擔(dān)憂(yōu),可以考慮選擇黑客作為項(xiàng)目制的獨(dú)立顧問(wèn)。
類(lèi)似HackerOne這種的漏洞發(fā)布企業(yè),通過(guò)與安全專(zhuān)家的合作為企業(yè)解決其安全漏洞。他們平臺(tái)上超過(guò)70000名黑客已經(jīng)通過(guò)懸賞活動(dòng)為企業(yè)解決漏洞賺取了高達(dá)1000萬(wàn)美元的獎(jiǎng)金。一個(gè)追蹤反饋其個(gè)人漏洞捕捉行為的信用體系檢視著這些從青少年到從事安全滲透測(cè)試的專(zhuān)業(yè)人員,Rice解釋道,“這是一個(gè)讓人以某種好的方式施展黑客技能的組織機(jī)構(gòu),那些被證明有道德的黑客會(huì)得到一些特殊項(xiàng)目的邀請(qǐng),例如‘黑了軍隊(duì)’這樣的活動(dòng)。”
“企業(yè)認(rèn)識(shí)到搶先一步避免被入侵的唯一方式就是與那些沒(méi)有犯罪動(dòng)機(jī)的能力者們并肩作戰(zhàn),”Rice說(shuō),“這能夠讓彼此更加了解。”