وقتی صحبت از محافظت از کسب و کار شما می شود ، هرگز نمی توانید خیلی مراقب باشید. به همین دلیل است که در عصر حملات DDoS و فیشینگ ، می توان به داشتن بیمه در کنار شما کمک کرد. هکرهای اخلاقی ، که گاهی اوقات از آنها با عنوان "کلاه سفید" یاد می شود ، دارای مهارت های مشابه هکرهای جنایتکار هستند ، فقط آنها از آنها برای یافتن و رفع نقاط ضعف در فناوری اینترنت یک شرکت استفاده می کنند تا از آنها سوء استفاده کنند. اگر به هکر اخلاقی احتیاج دارید ، با تدوین بیانیه ماموریت مشخص ، آنچه را که می خواهید با کمک آنها به آنها برسید ، مشخص کنید. سپس می توانید از طریق برنامه های رسمی صدور گواهینامه یا بازارهای هکرهای آنلاین به دنبال نامزدهای واجد شرایط باشید.
مراحل
قسمت 1 از 3: پر کردن موقعیت
مرحله 1. خطرات محافظت نشده را ارزیابی کنید
ممکن است وسوسه انگیز باشد که سعی کنید با چسبیدن به تیم فناوری اطلاعات فعلی خود در هزینه خود صرفه جویی کنید. با این حال ، بدون پشتیبان گیری تخصصی ، سیستم های فناوری اطلاعات شرکت شما در برابر حملاتی که بسیار پیچیده تر از حد معمول رایانه هستند ، آسیب پذیر خواهند بود. تنها چیزی که نیاز است یکی از این حملات است که به مالی و اعتبار کسب و کار شما آسیب جدی وارد کند.
- به طور کلی ، متوسط هزینه ایمن سازی و پاکسازی نقض داده های آنلاین حدود 4 میلیون دلار است.
- استخدام کلاه سفید را به عنوان گرفتن بیمه نامه در نظر بگیرید. هرچه خدمات آنها دستور دهد ، هزینه کمی برای پرداخت آرامش شما است.
مرحله 2. نیازهای امنیت سایبری شرکت خود را شناسایی کنید
کافی نیست فقط تصمیم بگیرید که باید دفاعیات اینترنتی خود را تقویت کنید. بیانیه ماموریتی را ارائه دهید که دقیقاً آنچه را که می خواهید با استخدام یک متخصص خارجی انجام دهید ، مشخص کند. به این ترتیب ، هم شما و هم نامزد شما تصور روشنی از وظایف خود خواهید داشت.
- به عنوان مثال ، ممکن است شرکت مالی شما در برابر جعل محتوا یا مهندسی اجتماعی به محافظت بیشتری نیاز داشته باشد ، یا برنامه خرید جدید شما ممکن است مشتریان را در معرض سرقت اطلاعات کارت اعتباری خود قرار دهد.
- بیانیه شما باید به عنوان یک نوع نامه معکوس عمل کند. نه تنها موقعیت را تبلیغ می کند ، بلکه تجربه خاصی را که به دنبال آن هستید توصیف می کند. این به شما این امکان را می دهد که متقاضیان معمولی را کنار گذاشته و بهترین فرد را برای کار پیدا کنید.
مرحله 3. آماده ارائه حقوق رقابتی باشید
داشتن یک هکر اخلاقی در کنار شما اقدامی عاقلانه است ، اما اقدامی ارزان نیست. با توجه به PayScale ، اکثر کلاه های سفید می توانند انتظار داشته باشند که سالانه 70 ، 000 دلار یا بیشتر به فروش برسند. باز هم ، مهم است که به خاطر داشته باشید که شغلی که انجام می دهند ارزش چیزی را دارد که از آنها می خواهند. این سرمایه گذاری است که به احتمال زیاد نمی توانید از عهده آن برآیید.
نرخ افزایش دستمزد در مقایسه با ایجاد حفره ای در سیستم فناوری اطلاعات که شرکت شما برای کسب سود به آن وابسته است ، یک عقب نشینی کوچک مالی است
مرحله 4. ببینید آیا می توانید یک هکر را در این کار استخدام کنید
شاید لازم نباشد کلاه سفید به صورت تمام وقت بر روی کارکنان فناوری اطلاعات خود نگه دارید. به عنوان بخشی از اهداف خود ، مشخص کنید که به دنبال یک مشاور برای هدایت یک پروژه بزرگ هستید ، شاید یک آزمایش نفوذ خارجی یا بازنویسی برخی از نرم افزارهای امنیتی. این به شما این امکان را می دهد تا به عنوان حقوق مستمر به آنها حقوق یکبار پرداخت کنید.
- مشاغل عجیب و غریب ممکن است برای هکرهای آزاد یا کسانی که به تازگی گواهینامه خود را دریافت کرده اند مناسب باشد.
- اگر از عملکرد متخصص امنیت سایبری خود راضی هستید ، می توانید به آنها این فرصت را بدهید تا دوباره در پروژه های آینده با شما همکاری کنند.
قسمت 2 از 3: پیگیری یک نامزد واجد شرایط
مرحله 1. به دنبال نامزدهای دارای گواهینامه Certified Ethical Hacker (CEH) باشید
شورای بین المللی مشاوران تجارت الکترونیک (به اختصار EC-Council) با ایجاد یک برنامه صدور گواهینامه ویژه برای آموزش آنها و کمک به آنها در یافتن کار ، به افزایش تقاضای هکرهای اخلاقی پاسخ داده است. اگر متخصص امنیتی که با او مصاحبه می کنید می تواند به گواهینامه رسمی CEH اشاره کند ، می توانید مطمئن باشید که مقاله اصلی است و نه کسی که مهارت خود را در زیرزمین تاریک یاد گرفته باشد.
- در حالی که تأیید اعتبار اطلاعات هک کار دشواری است ، اما نامزدهای شما باید از همان استانداردهای سختگیرانه ای برخوردار باشند که همه متقاضیان دیگر انجام می دهند.
- از استخدام افرادی که نمی توانند مدرک CEH ارائه دهند خودداری کنید. از آنجا که آنها شخص ثالثی ندارند که برای آنها ضمانت کنند ، خطرات بسیار زیاد است.
مرحله 2. یک بازار آنلاین هکرهای اخلاقی را مرور کنید
به برخی از لیست های سایت هایی مانند Hackers List و Neighborhoodhacker.com نگاهی بیندازید. شبیه به پلتفرم های معمولی جستجوی کار مانند Monster و در واقع ، این سایت ها مطالبی را از هکرهای واجد شرایط جمع آوری می کنند که به دنبال فرصت هایی برای استفاده از مهارت های خود هستند. این ممکن است ساده ترین گزینه برای کارفرمایانی باشد که به فرایند استخدام سنتی عادت دارند.
بازارهای هکرهای اخلاقی فقط متخصصان قانونی و واجد شرایط را تبلیغ می کنند ، به این معنی که شما می توانید راحت بخوابید و بدانید که معیشت شما در دستان خوب است
مرحله 3. میزبانی یک مسابقه هک باز
یکی از راه حل های سرگرم کننده ای که کارفرمایان برای جذب نامزدهای احتمالی شروع کرده اند این است که رقبای خود را در شبیه سازی هک سر به سر یکدیگر قرار دهند. این شبیه سازی ها از بازی های ویدئویی الگوبرداری شده اند و طوری طراحی شده اند که تخصص عمومی و توانایی تصمیم گیری سریع را در آزمایش قرار دهند. ممکن است برنده مسابقه شما کسی باشد که پشتیبانی مورد نظر خود را ارائه می دهد.
- از تیم فناوری خود بخواهید مجموعه ای از معماها را با الگوگیری از سیستم های رایج فناوری اطلاعات بپزد ، یا شبیه سازی پیچیده تری را از توسعه دهنده شخص ثالث خریداری کند.
- با فرض این که طراحی شبیه سازی خود کار یا هزینه زیادی است ، همچنین می توانید با برندگان گذشته مسابقات بین المللی مانند Global Cyberlympics تماس بگیرید.
مرحله 4. به کارکنان خود آموزش دهید تا وظایف ضد هک شما را انجام دهند
هر کسی آزاد است در برنامه EC-Council که کلاه سفیدها برای دریافت گواهینامه CEH خود استفاده می کنند ، ثبت نام کند. اگر ترجیح می دهید چنین موقعیت مهمی را در خانه حفظ کنید ، در نظر بگیرید که یکی از کارکنان فعلی فناوری اطلاعات خود را در این دوره گذراند. در آنجا به آنها آموزش داده می شود تا تکنیک های تست نفوذ را انجام دهند که می تواند برای بررسی نشتی ها مورد استفاده قرار گیرد.
- این برنامه به صورت یک کلاس عملی 5 روزه طراحی شده است ، با یک آزمون جامع 4 ساعته در روز آخر. برای شرکت در مسابقه ، شرکت کنندگان باید حداقل 70 score امتیاز کسب کنند.
- هزینه شرکت در امتحان 500 دلار و هزینه اضافی 100 دلار برای دانشجویانی است که به تنهایی تحصیل می کنند.
قسمت 3 از 3: وارد کردن یک هکر اخلاقی به کسب و کار شما
مرحله 1. یک بررسی کامل سوابق انجام دهید
لازم است قبل از اینکه در مورد قرار دادن آنها در لیست حقوق و دستمزد خود فکر کنید ، نامزدهای خود را به طور کامل مورد بررسی قرار دهید. اطلاعات آنها را به منابع انسانی یا سازمان خارج ارسال کنید و ببینید چه چیزی در اختیار آنها قرار می گیرد. توجه ویژه ای به هرگونه فعالیت مجرمانه گذشته داشته باشید ، به ویژه آنهایی که شامل جرایم آنلاین می شوند.
- هر نوع رفتار مجرمانه ای که در نتایج بررسی سابقه ظاهر می شود باید به عنوان یک پرچم قرمز (و احتمالاً زمینه رد صلاحیت) در نظر گرفته شود.
- اعتماد کلید هر رابطه کاری است. اگر نمی توانید به آن شخص اعتماد کنید ، او هرچقدر هم که تجربه داشته باشد به شرکت شما تعلق ندارد.
مرحله 2. عمیقا با نامزد خود مصاحبه کنید
با فرض اینکه مشتری احتمالی شما با موفقیت سابقه سوابق خود را پشت سر بگذارد ، گام بعدی در این فرایند انجام مصاحبه است. آیا مدیر فناوری اطلاعات شما یکی از اعضای HR با لیستی از سوالات آماده شده ، مانند "چگونه درگیر هک اخلاقی شدید؟" ، "آیا تا به حال کار دیگری با دستمزد انجام داده اید؟" ، "چه نوع آیا از ابزارهایی برای بررسی و خنثی سازی تهدیدها استفاده می کنید؟ " و "به من مثال بزنید که چگونه از سیستم خود در برابر حمله نفوذ خارجی دفاع کنیم."
- به جای تکیه بر تلفن یا ایمیل ، به صورت رو در رو ملاقات کنید ، بنابراین می توانید تصور دقیقی از شخصیت متقاضی دریافت کنید.
- در صورت وجود هرگونه نگرانی طولانی مدت ، یک یا چند مصاحبه بعدی را با یکی دیگر از اعضای تیم مدیریت برنامه ریزی کنید تا بتوانید نظر دوم را دریافت کنید.
مرحله 3. کارشناس امنیت سایبری خود را مأمور کنید تا با تیم توسعه شما همکاری نزدیک داشته باشد
در ادامه ، اولویت شماره یک تیم فناوری اطلاعات شما باید جلوگیری از حملات سایبری باشد تا پاکسازی پس از آنها. از طریق این همکاری ، افرادی که محتوای آنلاین شرکت شما را ایجاد می کنند ، شیوه های کدگذاری ایمن تر ، آزمایش محصول جامع تر و سایر تکنیک ها برای پیشی گرفتن از کلاهبرداران احتمالی را فرا می گیرند.
وجود یک هکر اخلاقی برای بررسی تک تک ویژگی های جدید ممکن است روند توسعه را کمی کند کند ، اما ویژگی های امنیتی جدید که آنها طراحی نمی کنند به تأخیر می اندازد
مرحله 4. خود را در مورد تاثیر امنیت سایبری بر کسب و کار خود آگاه کنید
از ثروت دانش کلاه سفید خود استفاده کنید و کمی درباره انواع تاکتیک هایی که معمولا هکرها استفاده می کنند ، بیاموزید. وقتی شروع به درک نحوه برنامه ریزی و انجام حملات سایبری می کنید ، می توانید آینده آنها را مشاهده کنید.
- از مشاور خود بخواهید که جلسات منظم و مفصلی در مورد آنچه کشف کرده است ارسال کند. راه دیگر این است که یافته های آنها را با کمک تیم فناوری اطلاعات خود تجزیه و تحلیل کنید.
- هکر استخدام شده خود را تشویق کنید تا اقدامات آنها را توضیح دهد و نه اینکه آنها را مجبور به انجام کارهای خود بدون تردید کند.
مرحله 5. مراقب باشید هکر استخدام شده خود را
در حالی که بعید به نظر می رسد که آنها اقدام بی پروا انجام دهند ، اما این خارج از حوزه امکان نیست. به سایر اعضای تیم فناوری اطلاعات خود دستور دهید وضعیت امنیتی شما را زیر نظر داشته باشند و به دنبال آسیب پذیری هایی باشند که قبلاً وجود نداشت. ماموریت شما این است که از تجارت خود به هر قیمتی محافظت کنید. این واقعیت را از دست ندهید که تهدیدها می توانند از داخل و خارج به وجود آیند.
- عدم تمایل به توضیح برنامه ها یا روش های دقیق آنها برای شما ممکن است یک علامت هشدار دهنده باشد.
- اگر دلیلی دارید که مشکوک هستید که یک متخصص برون سپاری به کسب و کار شما آسیب می رساند ، در پایان کار و جستجوی شغل جدید تردید نکنید.
نکات
- امنیت سایبری یک نگرانی حیاتی برای هر تجارت قرن 21 است ، از بزرگترین شرکت مالی گرفته تا کوچکترین استارتاپ.
- خرید بیمه امنیت سایبری می تواند تضمین کند که در صورت کلاهبرداری ، نقض یا نشت اطلاعات ، هر چیزی را که از دست می دهید ، پس می گیرید.
- ممکن است ایده خوبی باشد که نیاز خود را به یک هکر اخلاقی در سایت هایی مانند Reddit ، که کلاه های سفید معروف به فروشگاه هستند تبلیغ کنید.
هشدارها
- از عوامل رایگان مجوزدار ، هکرهای دارای گرایش های سیاسی یا مذهبی قوی و به اصطلاح "هکتیویست ها" دوری کنید. این سرکش ها ممکن است سعی کنند از اطلاعاتی که به آنها دسترسی پیدا می کنند برای اهداف موذیانه استفاده کنند.
- کار با یک هکر ، حتی از نظر اخلاقی ، می تواند در نظر شرکا یا مشتریان شما تأثیر منفی بر شرکت شما بگذارد.
