Khi nói đến việc bảo vệ doanh nghiệp của bạn, bạn không bao giờ có thể quá cẩn thận. Đó là lý do tại sao trong thời đại của các cuộc tấn công DDoS và lừa đảo, bạn có thể có một số bảo hiểm. Những tin tặc có đạo đức, đôi khi được gọi là “mũ trắng”, sở hữu bộ kỹ năng tương tự như tin tặc tội phạm, chỉ có điều họ sử dụng chúng để tìm và sửa chữa những điểm yếu trong công nghệ internet của công ty thay vì khai thác chúng. Nếu bạn cần một hacker có đạo đức, hãy bắt đầu bằng cách xây dựng một tuyên bố sứ mệnh rõ ràng, phác thảo những gì bạn hy vọng đạt được với sự giúp đỡ của họ. Sau đó, bạn có thể tìm kiếm các ứng viên đủ tiêu chuẩn thông qua các chương trình chứng nhận chính thức hoặc các chợ tin tặc trực tuyến.
Các bước
Phần 1/3: Điền vào vị trí
Bước 1. Đánh giá rủi ro của việc không được bảo vệ
Bạn có thể cố gắng tiết kiệm tiền bằng cách gắn bó với nhóm CNTT hiện có của mình. Tuy nhiên, nếu không có bản sao lưu chuyên dụng, hệ thống CNTT của công ty bạn sẽ dễ bị tấn công bởi các cuộc tấn công quá tinh vi mà máy tính bình thường có thể bắt được. Tất cả những gì cần làm là một trong những cuộc tấn công này sẽ gây thiệt hại nghiêm trọng cho tài chính và danh tiếng của doanh nghiệp bạn.
- Tất cả đã nói, chi phí trung bình để bảo mật và xóa một vi phạm dữ liệu trực tuyến là khoảng 4 triệu đô la.
- Hãy coi việc thuê một chiếc mũ trắng giống như việc bạn mua một hợp đồng bảo hiểm. Bất kể lệnh dịch vụ của họ là một cái giá nhỏ để trả cho sự yên tâm của bạn.
Bước 2. Xác định nhu cầu an ninh mạng của công ty bạn
Chỉ đơn giản quyết định rằng bạn cần tăng cường khả năng bảo vệ internet của mình là chưa đủ. Đưa ra một tuyên bố sứ mệnh phác thảo chính xác những gì bạn hy vọng đạt được bằng cách thuê một chuyên gia bên ngoài. Bằng cách đó, cả bạn và ứng viên của bạn sẽ có một ý tưởng rõ ràng về nhiệm vụ của họ.
- Ví dụ: công ty tài chính của bạn có thể cần được tăng cường bảo vệ khỏi giả mạo nội dung hoặc kỹ thuật xã hội hoặc ứng dụng mua sắm mới của bạn có thể khiến khách hàng có nguy cơ bị đánh cắp thông tin thẻ tín dụng của họ.
- Tuyên bố của bạn nên hoạt động như một loại thư xin việc ngược lại. Nó không chỉ quảng cáo vị trí mà còn mô tả trải nghiệm cụ thể mà bạn đang tìm kiếm. Điều này sẽ cho phép bạn loại bỏ những ứng viên bình thường và tìm được người phù hợp nhất cho công việc.
Bước 3. Hãy chuẩn bị để đưa ra hình thức trả lương cạnh tranh
Có một hacker có đạo đức ở bên bạn là một bước đi khôn ngoan, nhưng nó không phải là một hành động rẻ tiền. Theo PayScale, hầu hết những người mũ trắng có thể kiếm được 70.000 đô la trở lên mỗi năm. Một lần nữa, điều quan trọng cần ghi nhớ là công việc họ sẽ thực hiện xứng đáng với những gì họ đang yêu cầu. Đó là khoản đầu tư mà bạn rất có thể không thể không thực hiện.
Tỷ lệ trả lương tăng cao là một trở ngại tài chính nhỏ so với việc thổi một lỗ hổng trong hệ thống CNTT mà công ty của bạn phụ thuộc vào để tạo ra lợi nhuận
Bước 4. Xem liệu bạn có thể thuê một hacker trong công việc hay không
Có thể không cần thiết phải đội mũ trắng cho nhân viên CNTT của bạn toàn thời gian. Là một phần của tuyên bố mục tiêu của bạn, hãy nêu rõ rằng bạn đang tìm kiếm một nhà tư vấn để dẫn đầu một dự án lớn, có thể là một thử nghiệm thâm nhập bên ngoài hoặc viết lại một số phần mềm bảo mật. Điều này sẽ cho phép bạn trả cho họ khoản tiền giữ chân một lần thay vì trả lương liên tục.
- Công việc tư vấn kỳ quặc có thể hoàn hảo cho các hacker tự do, hoặc những người gần đây đã nhận được chứng chỉ của họ.
- Nếu hài lòng với hiệu suất của chuyên gia an ninh mạng, bạn có thể cho họ cơ hội làm việc lại với bạn trong các dự án trong tương lai.
Phần 2/3: Theo dõi ứng viên đủ điều kiện
Bước 1. Tìm kiếm các ứng viên có chứng nhận Certified Ethical Hacker (CEH)
Hội đồng Tư vấn Thương mại Điện tử Quốc tế (viết tắt là EC-Council) đã đáp ứng nhu cầu ngày càng tăng về các hacker đạo đức bằng cách tạo ra một chương trình chứng nhận đặc biệt được thiết kế để đào tạo và giúp họ tìm việc làm. Nếu chuyên gia bảo mật mà bạn phỏng vấn có thể chỉ ra chứng nhận CEH chính thức, bạn có thể chắc chắn rằng họ là bài báo chính hãng chứ không phải ai đó đã học nghề của họ trong một tầng hầm tối tăm.
- Mặc dù việc hack thông tin đăng nhập có thể khó xác minh, nhưng các ứng viên của bạn phải được tuân theo các tiêu chuẩn khắt khe giống như tất cả các ứng viên khác.
- Tránh thuê bất kỳ ai không thể cung cấp bằng chứng về chứng nhận CEH. Vì họ không có bên thứ ba để đảm bảo cho họ nên rủi ro là quá cao.
Bước 2. Duyệt qua thị trường trực tuyến của hacker có đạo đức
Hãy xem một số danh sách trên các trang web như Danh sách tin tặc và Neighborhoodhacker.com. Tương tự như các nền tảng tìm kiếm việc làm thông thường như Monster và Indeed, các trang web này tổng hợp các mục nhập từ các tin tặc đủ điều kiện tìm kiếm cơ hội áp dụng kỹ năng của họ. Đây có thể là lựa chọn trực quan nhất cho những nhà tuyển dụng đã quen với quy trình tuyển dụng truyền thống hơn.
Thị trường hacker có đạo đức chỉ quảng bá các chuyên gia hợp pháp, có trình độ, có nghĩa là bạn có thể yên tâm khi biết rằng sinh kế của bạn sẽ nằm trong tay tốt
Bước 3. Tổ chức một cuộc thi hack mở
Một giải pháp thú vị mà các nhà tuyển dụng đã bắt đầu sử dụng để thu hút các ứng viên tiềm năng là đánh bại các đối thủ cạnh tranh với nhau trong các mô phỏng hack trực tiếp. Những mô phỏng này được mô phỏng theo các trò chơi điện tử và được thiết kế để đưa chuyên môn chung và khả năng ra quyết định tư duy nhanh vào bài kiểm tra. Người chiến thắng trong cuộc thi của bạn có thể chỉ là người cung cấp sự hỗ trợ mà bạn đang tìm kiếm.
- Yêu cầu nhóm công nghệ của bạn thực hiện một loạt câu đố được mô phỏng theo các hệ thống CNTT thông thường hoặc mua một mô phỏng phức tạp hơn từ nhà phát triển bên thứ ba.
- Giả sử rằng việc tạo ra mô phỏng của riêng bạn là quá nhiều lao động hoặc chi phí, bạn cũng có thể thử liên hệ với những người từng đoạt giải trong các cuộc thi quốc tế như Global Cyberlympics.
Bước 4. Đào tạo một nhân viên của bạn để xử lý các nhiệm vụ chống hack của bạn
Bất kỳ ai cũng có thể tự do đăng ký vào chương trình của Hội đồng EC mà đội mũ trắng sử dụng để đạt được chứng nhận CEH của họ. Nếu bạn muốn giữ một vị trí cao cấp như vậy trong nhà, hãy cân nhắc đưa một trong những nhân viên CNTT hiện tại của bạn tham gia khóa học. Tại đó, họ sẽ được dạy để thực hiện các kỹ thuật kiểm tra thâm nhập mà sau đó có thể được sử dụng để thăm dò xem có rò rỉ hay không.
- Chương trình có cấu trúc như một lớp học thực hành trong 5 ngày, với bài kiểm tra tổng hợp kéo dài 4 giờ vào ngày cuối cùng. Người tham dự phải đạt số điểm ít nhất 70% để vượt qua.
- Chi phí tham dự kỳ thi là 500 đô la, cùng với khoản phí bổ sung là 100 đô la cho những sinh viên chọn tự học.
Phần 3/3: Đưa hacker có đạo đức vào doanh nghiệp của bạn
Bước 1. Tiến hành kiểm tra lý lịch kỹ lưỡng
Điều cần thiết là các ứng viên của bạn đã được điều tra kỹ lưỡng trước khi bạn nghĩ đến việc đưa họ vào biên chế của mình. Gửi thông tin của họ cho bộ phận nhân sự hoặc một tổ chức bên ngoài và xem những gì họ đưa ra. Đặc biệt chú ý đến bất kỳ hoạt động tội phạm nào trong quá khứ, đặc biệt là những hoạt động liên quan đến tội phạm trực tuyến.
- Bất kỳ loại hành vi tội phạm nào xuất hiện trong kết quả kiểm tra lý lịch đều được coi là một dấu hiệu đỏ (và có thể là cơ sở để bị truất quyền thi đấu).
- Niềm tin là chìa khóa cho bất kỳ mối quan hệ công việc nào. Nếu bạn không thể tin tưởng người đó, họ không thuộc về công ty của bạn, cho dù họ có kinh nghiệm đến đâu.
Bước 2. Phỏng vấn chuyên sâu ứng viên của bạn
Giả sử khách hàng tiềm năng của bạn vượt qua vòng kiểm tra lý lịch của họ thành công, bước tiếp theo trong quy trình là tiến hành một cuộc phỏng vấn. Có giám đốc CNTT của bạn, một thành viên của bộ phận nhân sự ngồi xuống với ứng viên với một danh sách các câu hỏi được chuẩn bị sẵn, chẳng hạn như "bạn đã tham gia vào việc hack đạo đức như thế nào?", "Bạn đã bao giờ thực hiện bất kỳ công việc được trả lương nào khác chưa?", "Đại loại là trong số các công cụ mà bạn sử dụng để sàng lọc và vô hiệu hóa các mối đe dọa? " và "cho tôi một ví dụ về cách bảo vệ hệ thống của chúng tôi khỏi một cuộc tấn công xâm nhập từ bên ngoài."
- Gặp gỡ trực tiếp, thay vì dựa vào điện thoại hoặc email, để bạn có thể biết chính xác về tính cách của người nộp đơn.
- Nếu bạn còn bất kỳ mối lo ngại nào, hãy lên lịch một hoặc nhiều cuộc phỏng vấn tiếp theo với một thành viên khác của nhóm quản lý để bạn có thể có ý kiến thứ hai.
Bước 3. Chỉ định chuyên gia an ninh mạng của bạn làm việc chặt chẽ với nhóm phát triển của bạn
Về sau, ưu tiên số một của nhóm CNTT của bạn phải là ngăn chặn các cuộc tấn công mạng hơn là dọn dẹp chúng. Thông qua sự hợp tác này, những người tạo nội dung trực tuyến của công ty bạn sẽ học được các phương pháp mã hóa an toàn hơn, kiểm tra sản phẩm toàn diện hơn và các kỹ thuật khác để đánh giá cao hơn những kẻ lừa đảo.
Việc có một hacker có đạo đức ở đó để kiểm tra từng tính năng mới có thể làm chậm quá trình phát triển một chút, nhưng các tính năng bảo mật kín khít mới mà họ phát triển sẽ đáng để trì hoãn
Bước 4. Thông báo cho bản thân về mức độ ảnh hưởng của an ninh mạng đối với doanh nghiệp của bạn
Tận dụng vốn kiến thức phong phú của đội mũ trắng và tìm hiểu một chút về các loại chiến thuật thường được tin tặc sử dụng. Khi bạn bắt đầu hiểu về cách các cuộc tấn công mạng được lên kế hoạch và thực hiện, bạn sẽ có thể thấy chúng sắp xảy ra.
- Yêu cầu nhà tư vấn của bạn gửi các cuộc họp thường xuyên, chi tiết về những gì họ đã khám phá ra. Một cách khác để hoàn thiện là phân tích những phát hiện của họ với sự trợ giúp của nhóm CNTT của bạn.
- Khuyến khích tin tặc được thuê của bạn giải thích các biện pháp mà họ đang thực hiện thay vì chỉ để họ làm việc của họ mà không cần nghi ngờ.
Bước 5. Theo dõi chặt chẽ tin tặc được thuê của bạn
Mặc dù không chắc rằng họ sẽ cố gắng làm bất cứ điều gì vô đạo đức, nhưng nó không nằm ngoài khả năng xảy ra. Hướng dẫn các thành viên khác trong nhóm CNTT của bạn giám sát trạng thái bảo mật của bạn và tìm kiếm các lỗ hổng chưa có trước đây. Nhiệm vụ của bạn là bảo vệ doanh nghiệp của bạn bằng mọi giá. Đừng quên thực tế rằng các mối đe dọa có thể đến từ bên trong cũng như bên ngoài.
- Không sẵn sàng giải thích các kế hoạch hoặc phương pháp chính xác của họ cho bạn có thể là một dấu hiệu cảnh báo.
- Nếu bạn có lý do để nghi ngờ rằng một chuyên gia thuê ngoài đang làm hại doanh nghiệp của bạn, đừng ngần ngại chấm dứt công việc của họ và tìm kiếm một công việc mới.
Lời khuyên
- An ninh mạng là mối quan tâm sống còn đối với mọi doanh nghiệp trong thế kỷ 21, từ công ty tài chính lớn nhất đến công ty khởi nghiệp nhỏ nhất.
- Mua bảo hiểm an ninh mạng có thể đảm bảo rằng bạn sẽ nhận lại được bất cứ thứ gì bạn mất trong trường hợp lừa đảo, vi phạm hoặc rò rỉ dữ liệu.
- Có thể là một ý tưởng hay khi bạn quảng cáo nhu cầu của bạn về một hacker có đạo đức trên các trang web như Reddit, nơi những chiếc mũ trắng được biết đến là cửa hàng nói chuyện.
Cảnh báo
- Tránh xa các tác nhân tự do chưa được chứng nhận, tin tặc có khuynh hướng chính trị hoặc tôn giáo mạnh mẽ và cái gọi là “những kẻ theo chủ nghĩa tin tặc”. Những kẻ giả mạo này có thể cố gắng sử dụng thông tin mà họ có quyền truy cập cho các mục đích quỷ quyệt.
- Làm việc với một hacker, thậm chí là một kẻ có đạo đức, có thể phản ánh xấu về công ty của bạn trong mắt đối tác hoặc khách hàng của bạn.
