Ettevõtte kaitsmisel ei saa te kunagi olla liiga ettevaatlik. Seetõttu võib DDoS -i rünnakute ja andmepüügi ajastul aidata teil kindlustust pakkuda. Eetilistel häkkeritel, keda mõnikord nimetatakse ka “valgeteks mütsideks”, on samad oskused nagu kuritegelikel häkkeritel, ainult nad kasutavad neid ettevõtte Interneti -tehnoloogia nõrkuste leidmiseks ja kõrvaldamiseks, mitte nende ärakasutamiseks. Kui teil on vaja eetilist häkkerit, alustage selge ülesande sõnastamisega, milles kirjeldate, mida loodate nende abiga saavutada. Seejärel saate otsida kvalifitseeritud kandidaate ametlike sertifitseerimisprogrammide või veebipõhiste häkkerite turgude kaudu.
Sammud
Osa 1 /3: positsiooni täitmine
Samm 1. Hinnake kaitseta jäämise riske
Võib olla ahvatlev proovida säästa raha, pidades kinni oma olemasolevast IT -meeskonnast. Ilma spetsiaalse varundamiseta on teie ettevõtte IT -süsteemid aga haavatavad rünnakute suhtes, mis on liiga keerulised keskmise arvutiviga jaoks. Piisab vaid ühest neist rünnakutest, et kahjustada tõsiselt teie ettevõtte rahandust ja mainet.
- Kokkuvõttes on veebiandmetega seotud rikkumise turvamise ja puhastamise keskmine hind umbes 4 miljonit dollarit.
- Mõelge valge mütsi palkamisele kui kindlustuspoliisi sõlmimisele. Ükskõik, mida nende teenused käsivad, on teie meelerahu eest väike hind.
Samm 2. Tehke kindlaks oma ettevõtte küberturvalisuse vajadused
Sellest ei piisa, kui otsustate lihtsalt, et peate oma Interneti -kaitset tõhustama. Esitage missioon, milles kirjeldatakse täpselt, mida loodate väliseksperdi palkamisega saavutada. Nii saavad nii teie kui ka teie kandidaat oma ülesannetest selge ettekujutuse.
- Näiteks võib teie finantsettevõte vajada suuremat kaitset sisu võltsimise või sotsiaalse kujundamise eest või teie uus osturakendus võib seada kliendid ohtu, et nende krediitkaardiandmed varastatakse.
- Teie avaldus peaks toimima omamoodi vastupidise kaaskirjana. See mitte ainult ei reklaami positsiooni, vaid kirjeldab ka konkreetset kogemust, mida otsite. See võimaldab teil juhuslikke taotlejaid välja juurida ja leida selle töö jaoks parim inimene.
Samm 3. Olge valmis pakkuma konkurentsivõimelist tasu
Eetiline häkker teie poolel on tark samm, kuid see pole odav. PayScale'i andmetel võib enamik valgeid kübaraid oodata 70 000 dollarit või rohkem aastas. Jällegi on oluline meeles pidada, et töö, mida nad täidavad, on seda väärt, mida nad küsivad. See on investeering, mida te tõenäoliselt endale lubada ei saa.
Suurenenud palgamäär on väike rahaline tagasilöök võrreldes sellega, et IT -süsteemis on auk, millest teie ettevõte kasumi saamiseks sõltub
Samm 4. Vaadake, kas saate häkkerit palgata
Võimalik, et IT -töötajad ei pea täiskohaga valget mütsi hoidma. Oma eesmärkide avalduse osana täpsustage, et otsite konsultanti suurprojekti juhtimiseks, võib -olla välise läbitungimise testi või mõne turvatarkvara ümberkirjutamist. See võimaldab teil maksta neile ühekordset kinnipidamist, mitte pidevat palka.
- Kummaline nõustamistöö võib olla ideaalne vabakutselistele häkkeritele või neile, kes on hiljuti oma sertifikaadi saanud.
- Kui olete oma küberturbeeksperdi tulemustega rahul, võite neile pakkuda võimalust töötada koos teiega tulevaste projektide kallal.
Osa 2/3: kvalifitseeritud kandidaadi leidmine
Samm 1. Otsige sertifitseeritud eetilise häkkeri (CEH) sertifikaadiga kandidaate
Rahvusvaheline elektroonilise kaubanduse konsultantide nõukogu (lühendatult EC-Council) on reageerinud kasvavale nõudlusele eetiliste häkkerite järele, luues spetsiaalse sertifitseerimisprogrammi, mille eesmärk on neid koolitada ja aidata neil tööd leida. Kui teie küsitletud turbeekspert võib viidata ametlikule CEH sertifikaadile, võite olla kindel, et see on ehtne artikkel, mitte keegi, kes õppis oma käsitöö pimedas keldris.
- Kuigi volikirjade häkkimist võib olla raske kontrollida, peaksid teie kandidaadid vastama samadele rangetele standarditele nagu kõik teised taotlejad.
- Vältige palkamist kedagi, kes ei suuda tõendada CEH sertifikaati. Kuna neil pole kolmandat osapoolt nende eest kinnitada, on riskid liiga suured.
Samm 2. Sirvige eetiliste häkkerite veebipõhist turgu
Vaadake mõningaid selliste saitide kirjeid nagu Hackers List ja Neighborhoodhacker.com. Sarnaselt tavalistele tööotsimisplatvormidele nagu Monster ja Tõepoolest, koondavad need saidid sissekandeid sobivatelt häkkeritelt, kes otsivad võimalusi oma oskuste rakendamiseks. See võib olla kõige intuitiivsem valik tööandjatele, kes on harjunud traditsioonilisema värbamisprotsessiga.
Eetilised häkkerite turud reklaamivad ainult juriidilisi, kvalifitseeritud spetsialiste, mis tähendab, et saate rahulikult magada, teades, et teie elatusvahendid on heades kätes
Samm 3. Võõrustage avatud häkkimisvõistlust
Üks lõbus lahendus, mida tööandjad on hakanud potentsiaalsete kandidaatide ligimeelitamiseks kasutama, on konkurentide vastastikune häkkimine. Need simulatsioonid on modelleeritud videomängude järgi ja nende eesmärk on panna proovile üldine asjatundlikkus ja kiire mõtlemisvõime. Teie konkursi võitja võib olla see, kes pakub otsitud tuge.
- Laske oma tehnikameeskonnal valmistada välja mõistatuste seeria, mis on kujundatud tavaliste IT -süsteemide järgi, või ostke kolmanda osapoole arendajalt keerukam simulatsioon.
- Eeldades, et oma simulatsiooni väljatöötamine on liiga palju tööjõudu või kulusid, võiksite proovida võtta ühendust ka rahvusvaheliste võistluste, näiteks ülemaailmse küberolümpia, varasemate võitjatega.
Samm 4. Treenige oma töötajat teie häkkimisvastaste ülesannetega hakkama saama
Igaüks võib vabalt registreeruda EÜ-nõukogu programmis, mida valged mütsid kasutavad CEH-sertifikaadi saamiseks. Kui soovite hoida nii kõrgetasemelist positsiooni ettevõttesiseselt, kaaluge kursuse läbimist ühe oma praeguse IT-töötajalt. Seal õpetatakse neid läbima läbitungimise testimise meetodeid, mida saab seejärel kasutada lekete uurimiseks.
- Programm on üles ehitatud 5-päevaseks praktiliseks klassiks, viimasel päeval antakse 4-tunnine terviklik eksam. Osalejad peavad läbima vähemalt 70% skoori.
- Eksami sooritamine maksab 500 dollarit ja üliõpilastele, kes otsustavad iseseisvalt õppida, lisandub lisatasu 100 dollarit.
Osa 3 /3: eetilise häkkeri kaasamine teie ettevõttesse
Samm 1. Tehke põhjalik taustakontroll
Enne kui mõtlete nende palgalehele kandmise üle, peate kandidaadid põhjalikult uurima. Saatke oma teave personalile või välisele organisatsioonile ja vaadake, mida nad näitavad. Pöörake erilist tähelepanu mis tahes varasemale kuritegevusele, eriti võrgukuritegudega seotud tegevustele.
- Igat tüüpi kuritegelikku käitumist, mis ilmneb taustakontrolli tulemustes, tuleks pidada punaseks lipuks (ja tõenäoliselt diskvalifitseerimise põhjuseks).
- Usaldus on iga töösuhte võti. Kui te ei saa inimest usaldada, ei kuulu ta teie ettevõttesse, olenemata sellest, kui kogenud ta on.
Samm 2. Intervjueerige oma kandidaati põhjalikult
Eeldades, et teie klient läbib edukalt taustakontrolli, on protsessi järgmine samm intervjuu läbiviimine. Laske oma IT -juhil personalijuhil istuda koos kandidaadiga ette küsimuste loend, näiteks „kuidas te eetilisse häkkimisse sattusite?“, „Kas olete kunagi teinud mõnda muud palgatööd?“, „Milliseid milliseid tööriistu kasutate ohtude kontrollimiseks ja neutraliseerimiseks? " ja "tooge mulle näide selle kohta, kuidas kaitsta meie süsteemi välise tungimise rünnaku eest."
- Tutvuge silmast silma, selle asemel et loota telefonile või e-kirjale, et saaksite taotleja iseloomust täpse ettekujutuse.
- Kui teil on püsivaid muresid, planeerige üks või mitu järelintervjuud mõne teise juhtkonna liikmega, et saaksite teise arvamuse.
Samm 3. Määrake oma küberturbeekspert oma arendusmeeskonnaga tihedat koostööd tegema
Edaspidi peaks teie IT -meeskonna prioriteet number üks olema küberrünnakute ärahoidmine, mitte nende koristamine. Selle koostöö kaudu õpivad teie ettevõtte veebisisu loovad inimesed turvalisemaid kodeerimispraktikaid, põhjalikumat tootekatsetust ja muid tulevaste petturite üle kavaldamise meetodeid.
Eetiline häkker, kes kontrollib iga uut funktsiooni, võib arendusprotsessi veidi aeglustada, kuid nende väljatöötatud uued õhukindlad turvaelemendid väärivad viivitust
Samm 4. Teavitage end sellest, kuidas küberturvalisus teie ettevõtet mõjutab
Kasutage ära oma valge mütsi rikkalikke teadmisi ja õppige natuke häkkerite tavaliselt kasutatavate taktikate kohta. Kui hakkate mõistma, kuidas küberrünnakuid kavandatakse ja läbi viiakse, näete neid tulemas.
- Paluge oma konsultandil esitada regulaarselt üksikasjalikke ülevaateid selle kohta, mida nad on avastanud. Teine võimalus oma tegevust täiendada on nende leidude analüüsimine oma IT -meeskonna abiga.
- Julgustage oma palgatud häkkerit selgitama meetmeid, mida nad rakendavad, mitte jätma neid vaidlustamata oma asja ajama.
Samm 5. Jälgige tähelepanelikult oma palgatud häkkerit
Kuigi on ebatõenäoline, et nad proovivad midagi hoolimatut, ei jää see võimaluste piiridest välja. Juhendage oma IT -meeskonna teisi liikmeid jälgima teie turvaseisundit ja otsima turvaauke, mida varem polnud. Teie ülesanne on kaitsta oma äri iga hinna eest. Ärge unustage, et ohud võivad tulla nii seest kui väljast.
- Soovimatus teile oma täpseid plaane või meetodeid selgitada võib olla hoiatusmärk.
- Kui teil on põhjust kahtlustada, et sisseostetud spetsialist kahjustab teie ettevõtet, lõpetage kindlasti oma töösuhe ja otsige uus.
Näpunäiteid
- Küberturvalisus on iga 21. sajandi ettevõtte jaoks oluline mure, alates suurimast finantsettevõttest kuni väikseima käivitamiseni.
- Küberjulgeolekukindlustuse ostmine võib garanteerida, et saate pettuse, rikkumise või andmete lekke korral kõik kaotatud tagasi.
- Võib olla hea mõte reklaamida oma vajadust eetilise häkkeri järele sellistel saitidel nagu Reddit, kus valged mütsid räägivad.
Hoiatused
- Hoidke eemale sertifitseerimata vabadest agentidest, tugevate poliitiliste või usuliste kalduvustega häkkeritest ja niinimetatud häkkeritest. Need kelmid võivad proovida kasutada neile kättesaadavat teavet salakavalatel eesmärkidel.
- Häkkeriga töötamine, isegi eetiline, võib teie partnerite või klientide silmis teie ettevõtet halvasti kajastada.
