האקרים פנטסטיים והיכן למצוא אותם
מאת:
טריסטן ליברפול, 11.7.19, 07:50
קהילת ההאקרים הלבנים מוכפלת שנה אחר שנה. הם מרוויחים פי 40 ויותר משכר מהנדסי תוכנה. היכן ארגונים יכולים למצוא אותם? יש לימודים וקורסים עיוניים ומעשיים לקבלת תעודות הסמכה של האקר לבן.
על פי
דו"ח Hacker Report ל-2019, קהילת ההאקרים הלבנים הוכפלה שנה אחר שנה. בשנה שעברה הוענקו פרסים בשווי 19 מיליון דולרים, סכום שווה לסכום הכולל, ששולם להאקרים במהלך 6 השנים האחרונות יחד. הדו"ח גם מעריך, שההאקרים האתיים בעל השכר הגבוה ביותר מרוויחים פי 40 יותר מהשכר השנתי של מהנדסי התוכנה בארץ מוצאם.
העלייה בפופולריות של ההאקר הלבן אינה מפתיעה. ברחבי העולם, עסקים מוצאים, שקשה להתמודד עם המוטיבציה והטקטיקות המתוחכמות והדינמיות של פושעי הסייבר ולא עם התיאבון הגובר שלהם לזריעת הרס. כדי ולהישאר עם היד על הדופק, רבים מהם מעוניינים להילחם באש עם אש - זהו המקום בו האקרים אתיים או "האקרים לבנים" נכנסים לתמונה.
בעוד לארכיטקטים של אבטחת מידע יש ידע עשיר בנוגע ל-
best practices, הם לעיתים חסרים את הניסיון מיד ראשונה לגבי הדרך הערמומית, שבה האקרים אוספים מידע, קושרים יחד התקפות מרובות או זוכים לגישה לרשתות הארגוניות.
כאשר הם מצוידים (בתקווה) בכל המיומנויות ובפקחות ועורמה של היריבים שלהם, ההאקרים האתיים יכולים חוקית לפרוץ את ההגנות של הרשתות ולשפר את המערכות ע"י תיקון פגיעויות, שנמצאו במהלך המבחן. הם גם נחוצים כדי לחשוף את כל הפגיעויות שהתגלו.
אז היכן ארגונים מוצאים את ההאקרים הללו?
השיטה הנפוצה ביותר היא "פרס על כל באג", שפועלת תחת תנאים קפדניים. כך, כל חבר בקהילת ההאקרים הלבנים יכול לחפש ולהגיש פגיעויות שהתגלו עבור הסיכוי לזכות בפרס. זה יכול לעבוד היטב עבור שירותים הזמינים לציבור דוגמת אתרי אינטרנט או יישומי מובייל. הפרסים תלויים ברמת הסיכון המוערך ברגע שהארגון הפגוע מאשר את תקפות הגילוי.
האקרים זוכים לתשואות ומוניטין ו/או לכספים כאשר הם מציגים ובוחנים את הכישורים שלהם בפורום מאד ציבורי. בתמורה, הארגון, ששכר אותם, משיג תובנות חדשות וחכמות אודות אבטחת המידע שלו.
חלק מהארגונים מעדיפים לשכור האקרים ישירות. למרות שזה נשמע מנוגד לאינטואיציה להשתמש בהאקרים חיצוניים - שלחלקם יש רקורד של פעילות עבריינית - דבר אחד, שיש להם בשפע, הוא ניסיון ממשי. בסוף היום, האקר הוא האקר. ההבדל היחיד הוא מה הוא עושה ברגע שהוא חושף באג או פגיעות.
בסופו של דבר, העסקת פושע סייבר לשעבר היא החלטה מסוכנת, שצריכה להתבצע כל מקרה לגופו. לדוגמה, לא סביר, שמישהו שהואשם בביצוע התקפת
DDoS בגיל צעיר פיתח קריירת פשע בינלאומית. ואכן,
עבריינים צעירים הופכים לעיתים קרובות ליועצי אבטחת מידע מכובדים ומנהיגים בתעשייה.
אפשרות נוספת לצוד את ההאקרים הללו היא קרובה יותר לבית מכפי שנדמה. עסקים צריכים לרתום את הכישורים של המומחים, שבונים אצלם את היישומים, הקוד ותשתית הרשתות. הם כבר עשויים לדעת על פגיעויות אבל עדיין לא דיווחו עליהם, שכן זה לא חלק מהתפקיד שלהם. מקבלי ההחלטות חייבים את כל התובנות והעזרה שהם יכולים לקבל ויש יותר ממנה ממה שחושבים.
כיום, האקרים אתיים הופכים לבעלי תוקף חוקי. לימודים וקורסים עיוניים ומעשיים מתבצעים וניתן לקבל תעוןדות הסמכה של האקר אתי -
Certified Ethical Hacker (
CEH),
Offensive Security Certified Professional (
OSCP) או
Global Information Assurance Certification (
GIAC).
חברות שונות מספקות שירותים מסוג זה ומעסיקות האקרים לבנים. באופן טבעי, האקרים משופשפים יירתעו מהאבולוציה האקדמית הזאת, אבל האקרים לבנים הפכו כבר למיינסטרים וחשוב להשתמש בהם.
מאת:
טריסטן ליברפול, יולי 2019.
מנהל הנדסת מערכות בחברת
F5 Networks