Що се отнася до защитата на вашия бизнес, никога не можете да бъдете твърде внимателни. Ето защо в ерата на DDoS атаки и фишинг може да ви помогне да имате някаква застраховка на ваша страна. Етичните хакери, понякога наричани „бели шапки“, притежават същия набор от умения като престъпните хакери, само че те ги използват, за да откриват и отстраняват слабостите в интернет технологиите на компанията, вместо да ги експлоатират. Ако имате нужда от етичен хакер, започнете с формулиране на ясно изявление на мисията, очертаващо какво се надявате да постигнете с тяхна помощ. След това можете да търсите квалифицирани кандидати чрез официални програми за сертифициране или онлайн пазари за хакери.
Стъпки
Част 1 от 3: Попълване на длъжността
Стъпка 1. Оценете рисковете да останете незащитени
Може да се изкушите да опитате да спестите пари, като се придържате към съществуващия си ИТ екип. Без специализирано архивиране обаче ИТ системите на вашата компания ще бъдат уязвими за атаки, които са твърде сложни, за да може да улови обикновения компютър. Всичко, което е необходимо, е една от тези атаки да нанесе сериозни щети на финансите и репутацията на вашия бизнес.
- Всичко казано, средната цена за осигуряване и почистване на онлайн пробив на данни е около 4 милиона долара.
- Мислете за наемането на бяла шапка като за сключване на застрахователна полица. Каквото и да командват техните услуги, това е малка цена, която трябва да платите за вашето спокойствие.
Стъпка 2. Определете нуждите на вашата компания за киберсигурност
Не е достатъчно просто да решите, че трябва да подобрите защитата на интернет. Излезте с декларация за мисия, очертаваща точно какво се надявате да постигнете, като наемете външен експерт. По този начин вие и вашият кандидат ще имате ясна представа за изпълняваните от тях задължения.
- Например, вашата финансова компания може да се нуждае от повишена защита от фалшифициране на съдържание или социално инженерство, или новото ви приложение за пазаруване може да изложи клиентите на риск да откраднат данните им за кредитни карти.
- Вашето изявление трябва да функционира като вид обратно мотивационно писмо. Той не само ще рекламира позицията, но и ще опише конкретния опит, който търсите. Това ще ви позволи да премахнете случайни кандидати и да намерите най -добрия човек за работата.
Стъпка 3. Бъдете готови да предложите конкурентно заплащане
Да имаш етичен хакер на своя страна е мъдър ход, но не е евтин. Според PayScale повечето бели шапки могат да очакват 70 000 или повече долара годишно. Отново е важно да имате предвид, че работата, която ще изпълняват, си заслужава това, което искат. Това е инвестиция, която най -вероятно не можете да си позволите да не направите.
Надутата ставка на заплащане е малка финансова неуспех в сравнение с пробиването на дупка в ИТ системата, от която зависи вашата компания, за да реализира печалба
Стъпка 4. Вижте дали можете да наемете хакер от работата
Може да не е необходимо да държите бяла шапка на вашия ИТ персонал на пълен работен ден. Като част от декларацията за целите си посочете, че търсите консултант, който да ръководи голям проект, може би външен тест за проникване или пренаписване на някакъв софтуер за сигурност. Това ще ви позволи да им плащате еднократно, а не непрекъсната заплата.
- Странната консултантска работа може да е идеална за хакери на свободна практика или за тези, които наскоро са получили сертификат.
- Ако сте доволни от работата на вашия експерт по киберсигурност, можете да им предложите възможност да работят отново с вас по бъдещи проекти.
Част 2 от 3: Проследяване на квалифициран кандидат
Стъпка 1. Потърсете кандидати със сертификат Certified Ethical Hacker (CEH)
Международният съвет на консултантите по електронна търговия (накратко Съветът на ЕС) отговори на нарастващото търсене на етични хакери, като създаде специална програма за сертифициране, предназначена да ги обучава и да им помага да си намерят работа. Ако експертът по сигурността, който интервюирате, може да посочи официалното сертифициране по CEH, можете да сте сигурни, че това е истинската статия, а не някой, който е научил занаята си в тъмно мазе.
- Докато хакерските идентификационни данни могат да бъдат трудни за проверка, вашите кандидати трябва да се придържат към същите строги стандарти, които биха направили всички останали кандидати.
- Избягвайте да наемате всеки, който не може да представи доказателство за CEH сертифициране. Тъй като те нямат трета страна, която да гарантира за тях, рисковете са твърде високи.
Стъпка 2. Разгледайте онлайн пазар за етични хакери
Разгледайте някои от списъците на сайтове като Hackers List и Neighborhoodhacker.com. Подобно на обикновените платформи за търсене на работа като Monster и Наистина, тези сайтове компилират записи от отговарящи на условията хакери, търсещи възможности да приложат своите умения. Това може да е най -интуитивният вариант за работодателите, които са свикнали с по -традиционен процес на наемане.
Пазарите на етични хакери насърчават само юридически, квалифицирани специалисти, което означава, че можете да спите спокойно, знаейки, че прехраната ви ще бъде в добри ръце
Стъпка 3. Организирайте отворено състезание за хакерство
Едно забавно решение, което работодателите са започнали да привличат бъдещи кандидати, е да противопоставят конкурентите един срещу друг в симулации на хакерство. Тези симулации са моделирани след видео игри и са предназначени да поставят на изпитание общ опит и способности за бързо мислене при вземане на решения. Победителят във вашето състезание може да бъде само този, който ще осигури подкрепата, която търсите.
- Накарайте вашия технически екип да приготви поредица от пъзели, моделирани по общите ИТ системи, или да закупите по -сложна симулация от разработчик на трета страна.
- Ако приемем, че създаването на собствена симулация е твърде много труд или разход, можете също да опитате да се свържете с минали победители в международни състезания като Global Cyberlympics.
Стъпка 4. Обучете член на вашия персонал да се справя с вашите задължения за контрахакване
Всеки е свободен да се запише в програмата на Съвета на ЕС, която белите шапки използват, за да спечелят своя CEH сертификат. Ако предпочитате да запазите такава високопоставена длъжност вътрешно, помислете дали да не включите един от настоящите си служители в областта на информационните технологии през курса. Там те ще бъдат научени да извършват техники за тестване на проникване, които след това могат да се използват за изследване за течове.
- Програмата е структурирана като 5-дневен практически курс, с 4-часов изчерпателен изпит, даден в последния ден. Участниците трябва да направят оценка от поне 70%, за да преминат.
- Полагането на изпита струва 500 долара, заедно с допълнителна такса от 100 долара за студенти, които изберат да учат самостоятелно.
Част 3 от 3: Въвеждане на етичен хакер във вашия бизнес
Стъпка 1. Извършете задълбочена проверка на миналото
Ще бъде необходимо вашите кандидати да бъдат разследвани старателно, преди дори да помислите да ги включите във вашата заплата. Изпратете информацията им до HR или външна организация и вижте какво ще излязат. Обърнете специално внимание на всяка минала престъпна дейност, особено на тези, свързани с онлайн престъпления.
- Всеки вид престъпно поведение, което се появява в резултатите от проверка на миналото, трябва да се счита за червен флаг (и вероятно основание за дисквалификация).
- Доверието е ключът към всяка работна връзка. Ако не можете да се доверите на човека, той не принадлежи към вашата компания, независимо колко опитен е той.
Стъпка 2. Интервюирайте вашия кандидат задълбочено
Ако приемем, че вашият потенциален клиент успешно преминава проверката им, следващата стъпка в процеса е да проведете интервю. Вашият ИТ мениджър, член на човешките ресурси, седна с кандидата със подготвен списък с въпроси, като например „как се включихте в етично хакерство?“, „Изпълнявали ли сте някога друга платена работа?“, „Какви видове инструменти, които използвате за скрининг и неутрализиране на заплахите? и „дайте ми пример за това как да защитим нашата система от атака на външно проникване“.
- Запознайте се лице в лице, вместо да разчитате на телефон или имейл, за да получите точна представа за характера на кандидата.
- Ако имате някакви продължителни притеснения, насрочете едно или повече последващи интервюта с друг член на ръководния екип, за да можете да получите второ мнение.
Стъпка 3. Назначете вашия експерт по киберсигурност да работи в тясно сътрудничество с вашия екип за разработка
Занапред приоритетът на вашия ИТ екип трябва да бъде предотвратяването на кибератаки, а не почистването след тях. Чрез това сътрудничество хората, създаващи онлайн съдържанието на вашата компания, ще научат по-безопасни практики за кодиране, по-изчерпателни тестове на продукти и други техники за надхитряване на потенциални измамници.
Наличието на етичен хакер, който да проверява всяка нова функция, може леко да забави процеса на разработка, но новите херметични защитни функции, които те измислят, си заслужават забавянето
Стъпка 4. Информирайте се как киберсигурността влияе върху вашия бизнес
Възползвайте се от богатството на знанията на вашата бяла шапка и научете малко за типовете тактики, често използвани от хакерите. Когато започнете да формирате разбиране за това как кибер атаките се планират и извършват, ще можете да видите как те идват.
- Помолете вашия консултант да предоставя редовни, подробни инструктажи за това, което са открили. Друг начин да се освежите е да анализирате техните констатации с помощта на вашия IT екип.
- Насърчете наетия си хакер да обясни мерките, които прилага, вместо просто да ги оставя да си вършат работата без съмнение.
Стъпка 5. Следете отблизо вашия нает хакер
Макар че е малко вероятно те да се опитат да направят нещо безскрупулно, това не е извън сферата на възможностите. Инструктирайте другите членове на вашия ИТ екип да следят състоянието ви на сигурност и да търсят уязвимости, които не са съществували преди. Вашата мисия е да защитите бизнеса си на всяка цена. Не изпускайте от поглед факта, че заплахите могат да идват както отвътре, така и отвън.
- Нежеланието да ви обяснят точните си планове или методи може да бъде предупредителен знак.
- Ако имате основание да подозирате, че външен специалист вреди на вашия бизнес, не се колебайте да прекратите работата им и да потърсите нова.
Съвети
- Киберсигурността е жизненоважна грижа за всеки бизнес от 21 век, от най -голямата финансова фирма до най -малкото стартиране.
- Закупуването на застраховка за киберсигурност може да гарантира, че ще получите обратно всичко, което загубите в случай на измама, нарушение или изтичане на данни.
- Може да е добра идея да рекламирате нуждата си от етичен хакер на сайтове като Reddit, където е известно, че белите шапки говорят в магазина.
Предупреждения
- Стойте далеч от несертифицирани свободни агенти, хакери със силни политически или религиозни пристрастия и така наречените „хактивисти“. Тези измамници могат да се опитат да използват информацията, до която получават достъп, за коварни цели.
- Работата с хакер, дори етичен, може да се отрази лошо върху вашата компания в очите на вашите партньори или клиенти.
