Šiandieniniame itin skaitmeniniame ir susietame pasaulyje vis svarbiau apsisaugoti nuo kibernetinių atakų. Vienas iš būdų tai padaryti – leisti etiniams įsilaužėliams parodyti savo įgūdžius tiesioginiuose įsilaužimo renginiuose. Štai atidžiau pažvelkime, kaip šios pastangos veikia.
Taigi, kas yra tiesioginis įsilaužimas? Kaip tai veikia?
Kas yra etiškas įsilaužimas?
Etinis įsilaužimas arba „white-hat“ įsilaužimas įvyksta, kai kibernetinio saugumo atstovai gauna leidimą pabandykite įsilaužti į internetinę infrastruktūrą arba prijungtą įrenginį, tada ieškokite pažeidžiamumų išnaudoti.
Dalyvaujančios šalys veikia vadovaujamos savo klientų ir kaupia duomenis, kuriuos vėliau įtrauks į rezultatų kortelę. Jis pažeidžia kliento veiklą ir rekomenduoja, ką daryti, kad būtų išvengta kenkėjiškų atakų.
Kas yra tiesioginis įsilaužimas?
Tiesioginių įsilaužimų renginiai įpareigoja dalyvius atrasti pažeidžiamumą ir atlikti konkrečius veiksmus, padedančius pelnyti taškų, dažniausiai dirbant komandose. Šie susibūrimai vyksta asmeniškai arba internetu, todėl žmonės turi dirbti greitai ir patiriant spaudimą, kad atskleistų sistemos problemas.
Daugelio pasaulyje pirmaujančių technologijų prekių ženklų sprendimus priimantys asmenys dažnai mano, kad tokie konkursai yra labai svarbūs siekiant išsaugoti savo reputaciją ir pelną. Taip yra todėl, kad šie etiškų įsilaužėlių susibūrimai gali atskleisti rimtų kibernetinio saugumo problemų, kol programos, svetainės ir susiję produktai nebus plačiai išleidžiami.
Susijęs: Kaip užsidirbti pragyvenimui kaip etiškam įsilaužėliui
Pavyzdžiui2019 m. „Ericsson“ davė daugiau nei 80 etiškų įsilaužėlių iš 10 šalių vieną dieną surasti saugumo problemas, susijusias su savo nauja 5G įranga. Dalyviai ieškojo problemų dėl jau rinkoje esančių produktų ir dar neišleistų prekių. Jie gavo piniginius prizus pagal savo rezultatus.
Kaip veikia tiesioginiai įsilaužimo žaidimai?
Žmonės, kurie studijuoja mokymąsi, dažnai daro išvadą, kad žaidimai yra puikus būdas padidinti įsitraukimą. Pavyzdžiui, populiari kalbų mokymosi programėlė „Duolingo“ žmonėms, baigus mokymosi modulius, suteikia taškų ir skatina per dieną uždirbti bent konkretų jų skaičių.
Tačiau žaidimai taip pat taikomi tiesioginiams įsilaužimo susibūrimams ar kitokio pobūdžio renginiams. Paimkite, pavyzdžiui, jei asmuo uždirbo taškų už ryšius su kitais kibernetinio saugumo entuziastais; toks požiūris sumažina nepatogumus susipažįstant su naujais žmonėmis, ypač jei įvykis vyksta virtualioje aplinkoje.
Kitos taškų uždirbimo galimybės galėtų apimti registraciją įsilaužimo konkurse ir pasirodymą renginio dieną. Tai viskas prieš pradedant pagrindinį veiksmą.
Susijęs: Kodėl etiškas įsilaužimas yra teisėtas ir kodėl mums to reikia
Dr. Alexandros Kapravelos yra NC valstijos kompiuterių mokslo docentas ir HackPack, universiteto studentų įsilaužimo ir kibernetinio saugumo klubo, patarėjas. Jis paaiškino kaip jo organizacija taiko žaidimus įsilaužimo varžybose:
„[Mes rengiame] saugumo konkursus, kurie buvo sukurti tam, kad būtų galima iš esmės suvaidinti įsilaužimą ir pateikti įvairių saugumo iššūkių. kur mokiniai iš esmės turi sukurti naujas atakas prieš sistemas, įsilaužti į jas, gauti informacijos ir surinkti taškų žaidimas“.
Kokie yra tiesioginio įsilaužimo pranašumai?
Kibernetinis saugumas kenčia nuo įgūdžių trūkumo. A 2021 metų studija nustatė, kad 95 procentai atsakiusių organizacijų teigė, kad problema per pastaruosius kelerius metus nepagerėjo.
Tada 44 procentai manė, kad problema pablogėjo. Be to, 62 procentai apklaustųjų teigė, kad trūkumas sukėlė didesnį darbo krūvį kibernetinio saugumo komandos nariams, o 38 procentai teigė, kad dėl to liko neužimtų pareigų.
Vien tik tiesioginiai įsilaužimo įvykiai nėra įgūdžių krizės sprendimas. Tačiau jie gali būti labai svarbūs norint sudominti žmones kibernetiniu saugumu ir suteikti jiems įdomių būdų patobulinti savo įgūdžius ir pritraukti potencialių darbdavių dėmesį.
Vienu atveju „Trend Micro“ ir „Tesla“ bendrai rėmė įsilaužimo renginį, kuriame dalyviai varžėsi dėl prizinių lygių, bandydami įsilaužti į „Tesla Model 3“ prijungtas sistemas. Sudėtingesni įsilaužimai atnešė žmonėms didesnius piniginius prizus ir net automobilius.
Etinis įsilaužimas taip pat yra karjeros kūrimo hobis todėl kibernetinio saugumo entuziastai yra labiau pasirengę darbo rinkai.
Ir tai turi panašių privalumų įmonėms, kurios gali neturėti didelių vidinių kibernetinio saugumo komandų. Pavyzdžiui, „Bug Crowd“ rengia „Bug Bash“ tiesioginius įsilaužimo įvykius, kurie, kaip pranešama, generuoja nuo 80 iki 100 pažeidžiamumo ataskaitų per dieną, o trys ketvirtadaliai iš jų yra pagrįstos problemos.
Tiesioginis įsilaužimas yra abipusiai naudingas
Žmonės, kurie nežino tiesioginio įsilaužimo apibrėžimo, gali manyti, kad tai skamba kaip kažkas baisaus. Tačiau tai padeda etiniams įsilaužėliams nuolat tobulinti savo įgūdžius ir suteikia įmonėms reikiamų išteklių būsimoms kibernetinėms atakoms pažaboti.
Nesvarbu, ar turite aistrą kibernetiniam saugumui, ar dirbate įmonėje, kurios vadovai nori pagerinti organizacijos kibernetinį atsparumą, tiesioginis įsilaužimas gali padėti.
Norėdami išmokti etiško įsilaužimo, turite įsilaužti kaip nusikaltėlis, tačiau elkitės protingai. Pradėkite nuo šių svetainių, į kurias galite legaliai įsilaužti.
Skaitykite toliau
- Saugumas
- Etinis įsilaužimas
- Kibernetinė sauga
- Interneto sauga
Shannon yra turinio kūrėjas, įsikūręs Philly, PA. Ji rašo technologijų srityje apie 5 metus po to, kai baigė IT studijas. Shannon yra žurnalo „ReHack“ vadovaujanti redaktorė ir nagrinėja tokias temas kaip kibernetinis saugumas, žaidimai ir verslo technologijos.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!
Norėdami užsiprenumeruoti, spustelėkite čia
