כשזה מגיע להגנה על העסק שלך, אתה אף פעם לא יכול להיות זהיר מדי. זו הסיבה שבעידן של התקפות DDoS ודיוג, זה יכול לעזור שיהיה קצת ביטוח בצד שלך. האקרים אתיים, המכונים לפעמים "כובעים לבנים", הם בעלי אותה כישורים כמו האקרים עבריינים, רק שהם משתמשים בהם כדי למצוא ולתקן חולשות בטכנולוגיית האינטרנט של החברה במקום לנצל אותן. אם יש לך צורך בהאקר אתי, התחל בניסוח הצהרת משימה ברורה המתארת מה אתה מקווה להשיג בעזרתם. לאחר מכן תוכל לחפש מועמדים מוסמכים באמצעות תוכניות הסמכה רשמיות או בשוקי האקרים מקוונים.
צעדים
חלק 1 מתוך 3: מילוי התפקיד
שלב 1. העריך את הסיכונים של אי הגנה
זה עשוי להיות מפתה לנסות לחסוך כסף על ידי עמידה בצוות ה- IT הקיים שלך. אולם ללא גיבוי מיוחד, מערכות ה- IT של החברה שלך יהיו פגיעות להתקפות שהן מתוחכמות מדי מכדי שאוור מחשבים ממוצע יוכל לתפוס. כל מה שצריך זה אחת ההתקפות האלה כדי לגרום נזק רציני לכלכלת העסק ולמוניטין שלו.
- בסך הכל, העלות הממוצעת לאבטחת וניקוי הפרת נתונים מקוונת היא בסביבות 4 מיליון דולר.
- חשבו על שכירת כובע לבן כנטילת פוליסת ביטוח. לא משנה מה פקודת השירותים שלהם זה מחיר קטן לשלם עבור השקט הנפשי שלך.
שלב 2. זיהוי צרכי אבטחת הסייבר של החברה שלך
זה לא מספיק פשוט להחליט שאתה צריך להגביר את הגנות האינטרנט שלך. ציין הצהרת משימה המתארת בדיוק מה אתה מקווה להשיג על ידי שכירת מומחה חיצוני. כך, גם לך וגם למועמד שלך יהיה מושג ברור לגבי חובותיהם.
- לדוגמה, ייתכן שהחברה הפיננסית שלך תצטרך הגנה מוגברת מפני זיוף תוכן או הנדסה חברתית, או שאפליקציית הקניות החדשה שלך עלולה לסכן את הלקוחות בכך שפרטי כרטיס האשראי שלהם ייגנבו.
- ההצהרה שלך צריכה לתפקד כמעין מכתב כיסוי הפוך. זה לא רק יפרסם את התפקיד, אלא גם יתאר את החוויה הספציפית שאתה מחפש. זה יאפשר לכם לעקור מועמדים מזדמנים ולמצוא את האדם הטוב ביותר לתפקיד.
שלב 3. היו מוכנים להציע שכר תחרותי
החזקת האקר לצידך היא צעד נבון, אך הוא אינו זול. על פי PayScale, רוב הכובעים הלבנים יכולים לצפות למשוך 70, 000 $ או יותר בשנה. שוב, חשוב לזכור כי התפקיד שהם יבצעו שווה את מה שהם מבקשים. זו השקעה שסביר להניח שלא תוכל להרשות לעצמך לא לבצע.
שיעור תשלום מנופח הוא נסיגה פיננסית קטנה בהשוואה לחור שנפרץ במערכת ה- IT שהחברה שלך תלויה בו כדי להרוויח
שלב 4. בדוק אם אתה יכול לשכור האקר לפי התפקיד
ייתכן שלא יהיה צורך להחזיק כובע לבן על צוות ה- IT שלך במשרה מלאה. כחלק מהצהרת המטרות שלך, ציין שאתה מחפש יועץ שיוביל פרויקט גדול, אולי מבחן חדירה חיצוני או שכתוב של תוכנות אבטחה מסוימות. זה יאפשר לך לשלם להם משמורת חד פעמית ולא משכורת מתמשכת.
- עבודת הייעוץ המוזרה עשויה להיות מושלמת עבור האקרים עצמאים, או כאלה שקיבלו לאחרונה את ההסמכה שלהם.
- אם אתה מרוצה מהביצועים של מומחה אבטחת הסייבר שלך, תוכל להציע להם הזדמנות לעבוד איתך שוב על פרויקטים עתידיים.
חלק 2 מתוך 3: מעקב אחר מועמד מוסמך
שלב 1. חפש מועמדים בעלי הסמכה לאתר האקרים מוסמכים (CEH)
המועצה הבינלאומית ליועצי מסחר אלקטרוני (בקיצור מועצת EC) הגיבה לדרישה הגוברת להאקרים אתיים על ידי יצירת תוכנית הסמכה מיוחדת שנועדה להכשיר אותם ולסייע להם למצוא עבודה. אם מומחה האבטחה שאתה מראיין יכול להצביע על הסמכה רשמית של CEH, אתה יכול להיות בטוח שהם המאמר האמיתי ולא מישהו שלמד את מלאכתו במרתף חשוך.
- אמנם אישורי פריצה עשויים להיות קשים לאמת, אך המועמדים שלך צריכים להישמר לאותם סטנדרטים קפדניים שכל שאר המועמדים היו.
- הימנע מלגייס כל מי שאינו יכול לספק הוכחת אישור CEH. מכיוון שאין להם צד שלישי לערוב להם, הסיכונים פשוט גבוהים מדי.
שלב 2. עיון בשוק האקרים אתיים מקוון
תסתכל על כמה מהרישומים באתרים כמו Hackers List ו- Neighborhoodhacker.com. בדומה לפלטפורמות חיפוש עבודה רגילות כמו מפלצת ואכן, אתרים אלה אוספים ערכים מהאקרים כשירים המחפשים הזדמנויות ליישם את כישוריהם. זו עשויה להיות האופציה האינטואיטיבית ביותר עבור מעסיקים שרגילים לתהליך גיוס מסורתי יותר.
שוקי האקרים אתיים מקדמים רק מומחים משפטיים ומוסמכים, מה שאומר שאתה יכול לישון קל בידיעה שהפרנסה שלך תהיה בידיים טובות
שלב 3. אירחו תחרות פריצה פתוחה
פתרון מהנה אחד שהמעסיקים החלו להשתמש בו כדי למשוך מועמדים פוטנציאליים הוא להציב מתחרים זה מול זה בסימולציות פריצה ראש בראש. סימולציות אלו מעוצבות על פי משחקי וידיאו, והן נועדו להעמיד למבחן מומחיות כללית ויכולות קבלת החלטות מהירות. המנצח בתחרות שלך עשוי להיות רק זה שיספק את התמיכה שחיפשת.
- בקש מהצוות הטכנולוגי שלך לבשל סדרת חידות שעוצבו לפי מערכות IT נפוצות, או לרכוש סימולציה מתוחכמת יותר ממפתח צד שלישי.
- בהנחה שתכנון סימולציה משלך הוא יותר מדי עבודה או הוצאה, אתה יכול גם לנסות ליצור קשר עם מנצחים קודמים בתחרויות בינלאומיות כמו אולימפיאדת הסייבר העולמית.
שלב 4. הכשיר איש צוות שלך להתמודד עם חובותיך נגד פריצה
כל אחד רשאי להירשם לתוכנית המועצה EC אשר משתמשת בכובעים לבנים כדי לקבל את הסמכת CEH. אם אתה מעדיף לשמור על תפקיד כה פרופיל בתוך הבית, שקול להעמיד את אחד מעובדי ה- IT הנוכחיים שלך לקורס. שם ילמדו אותם לבצע טכניקות של בדיקת חדירה שאפשר להשתמש בהן כדי לחקור אחר נזילות.
- התוכנית בנויה כשיעור מעשי בן 5 ימים, עם בחינה מקיפה בת 4 שעות ביום האחרון. על המשתתפים לקבל ציון של 70% לפחות על מנת לעבור.
- עלות הבחינה עולה 500 $, יחד עם תשלום נוסף של 100 $ לסטודנטים שבוחרים ללמוד בעצמם.
חלק 3 מתוך 3: הכנסת האקר אתי לעסק שלך
שלב 1. בצע בדיקת רקע יסודית
יהיה עליך לבחון את המועמדים שלך היטב לפני שאתה בכלל חושב על העלאתם למשכורת שלך. שלח את המידע שלהם לאנשי משאבי אנוש או לארגון חיצוני וראה מה הם ימצאו. שימו לב במיוחד לכל פעילות עבריינית בעבר, במיוחד לאלה הכרוכים בעבירות מקוונות.
- כל סוג של התנהגות פלילית שצצה בתוצאות של בדיקת רקע צריך להיחשב כדגל אדום (וכנראה עילה לפסילה).
- אמון הוא המפתח לכל יחסי עבודה. אם אינך יכול לסמוך על האדם, הוא אינו שייך לחברה שלך, לא משנה עד כמה הם מנוסים.
שלב 2. ראיין את המועמד שלך לעומק
בהנחה שהסיכוי שלך עובר בהצלחה את בדיקת הרקע שלו, השלב הבא בתהליך הוא לערוך ראיון. תן למנהל ה- IT שלך חבר משאבי אנוש לשבת עם המועמד עם רשימת שאלות מוכנות, כגון: "איך השתתפת בפריצה אתית?", "האם אי פעם ביצעת עבודה בתשלום אחרת?", "אילו סוגים של כלים שבהם אתה משתמש כדי לנטרל ואיומים ולנטרל אותם? " ו"תן לי דוגמה כיצד להגן על המערכת שלנו מפני מתקפת חדירה חיצונית ".
- הכירו פנים אל פנים, במקום להסתמך על טלפון או דוא"ל, כך שתוכלו לקבל מושג מדויק על אופיו של המבקש.
- אם יש לך חששות מתמשכים, תזמן ראיון מעקב אחד או יותר עם חבר אחר בצוות הניהול, כך שתוכל לקבל חוות דעת נוספת.
שלב 3. הקצה למומחה אבטחת הסייבר שלך לעבוד בשיתוף פעולה הדוק עם צוות הפיתוח שלך
בעתיד, צוות ה- IT שלך בראש סדר העדיפויות צריך להיות מניעת מתקפות סייבר במקום לנקות אחריהן. באמצעות שיתוף פעולה זה, האנשים שיוצרים את התוכן המקוון של החברה שלך ילמדו שיטות קידוד בטוחות יותר, בדיקות מוצר ממצות יותר וטכניקות אחרות להערמת רמאים עתידיים.
אם יש שם האקר אתי שיבדוק כל תכונה וחדשה עשוי להאט מעט את תהליך הפיתוח, אך תכונות האבטחה החדשות האטומות שהן מתכננות יהיו שוות את העיכוב
שלב 4. הודע לעצמך כיצד אבטחת הסייבר משפיעה על העסק שלך
נצל את הידע הרב של הכובע הלבן שלך ולמד קצת על סוגי הטקטיקות בהן משתמשים האקרים. כאשר תתחיל לגבש הבנה כיצד מתוכננות ומתבצעות מתקפות סייבר, תוכל לראות אותן מגיעות.
- בקש מהיועץ שלך לשלוח תדרוכים קבועים ומפורטים על מה שחשף. דרך נוספת להתחדש היא לנתח את ממצאיהם בעזרת צוות ה- IT שלך.
- עודד את ההאקר השכור שלך להסביר את האמצעים שהם מבצעים ולא רק להשאיר אותם לעשות את שלהם ללא עוררין.
שלב 5. שמור מקרוב על ההאקר השכור שלך
אמנם לא סביר שהם ינסו משהו חסר מצפון, אבל זה לא מחוץ לתחום האפשרויות. הנח את שאר חברי צוות ה- IT שלך לעקוב אחר מצב האבטחה שלך ולחפש נקודות תורפה שהיו לא קיימות קודם לכן. המשימה שלך היא להגן על העסק שלך בכל מחיר. אל תעזוב את העובדה שאיומים יכולים לבוא מבפנים וגם מבחוץ.
- חוסר נכונות להסביר לך את התוכניות או השיטות המדויקות שלהם עשוי להיות סימן אזהרה.
- אם יש לך סיבה לחשוד שמומחה במיקור חוץ פוגע בעסק שלך, אל תהסס לסיים את העסקתו ולחפש עסק חדש.
טיפים
- אבטחת הסייבר מהווה דאגה חיונית לכל עסק מהמאה ה -21, מהחברה הפיננסית הגדולה ביותר ועד ההקמה הקטנה ביותר.
- רכישת ביטוח אבטחת סייבר יכולה להבטיח שתקבל בחזרה את כל מה שתפסיד במקרה של הונאה, הפרה או דליפת נתונים.
- זה עשוי להיות רעיון טוב לפרסם את הצורך שלך בהאקר אתי באתרים כמו Reddit, שבהם ידועים כובעים לבנים.
אזהרות
- התרחקו מסוכנים חופשיים ללא אישור, מהאקרים בעלי נטיות פוליטיות או דתיות חזקות, ומה שמכונה "האקטיביסטים". נוכלים אלה עשויים לנסות להשתמש במידע שאליו הם מקבלים גישה למטרות חתרניות.
- עבודה עם האקר, אפילו אתי, יכולה לשקף את החברה שלך בצורה גרועה בעיני השותפים או הלקוחות שלך.
