Etik Saldırılar Güvenliğinizi Artırmanıza Yardımcı Olabilir
Etik Saldırılar Güvenliğinizi Artırmanıza Yardımcı Olabilir
Esteban Hernandez
Siber güvenlik uzmanları bazı tehdit unsurlarını veya dış tarafları düşman olarak görüyor. Ancak bu zihniyeti sorgulamak gerekiyor çünkü dış tarafların nasıl düşündüğünü ve çalıştığını anlarsanız kuruluşunuzu onlara karşı daha iyi koruyabilirsiniz. Dünya çapındaki işletmeler bunu göz önünde bulundurarak güvenlik altyapılarını test etmek ve daha güçlü, sağlam güvenlik uygulamaları geliştirmek için hackerlara yöneliyor.
Penetrasyon (sızma) testlerini güvenlik politikalarınıza entegre etmeden önce, farklı hacker türlerini anlamanız önem taşıyor. Her grubun farklı motivasyonları var ve hangi becerilerinin kuruluşunuzun yararı için kullanılabileceğinden emin olmalısınız. Amazon Web Services, Güvenlik, Uzman Çözüm Mimarı Esteban Hernandez, çeşitli hacker gruplarının farklılıklarını açıklıyor.
Siyah şapkalı
Siyah şapkalı hackerlar, kişisel veya finansal kazanç motivasyonu ile hareket eden siber suçlulardır. Bu siber suçlular genç amatör hackerlardan, belirli bir amacı olan deneyimli bireyler ya da ekiplere kadar çeşitlilik gösterebilir. Ancak son yıllarda bazı siyah şapkalı hackerlar, siber becerilerini kuruluşları korumak için kullanmaya yöneldi. Bunun bir örneği, Savunma Bakanlığı bilgisayarına girdiğinde sadece on altı yaşında olan Condor lakaplı Kevin Mitnick’tir. Bu ve diğer birçok saldırı yüzünden Mitnick beş buçuk yıl hapis yattı. Serbest bırakıldıktan sonra, müşterileri için penetrasyon testleri yapan Mitnick Güvenlik Danışmanlığı şirketini kurdu.
Daha önce siyah şapkalı olan bir hacker ile çalışıp çalışmamak tabii ki bir tartışma konusu. F5 Networks’teki kıdemli tehdit evangelisti David Warburton da dahil olmak üzere bazı kişiler, eski hackerların işe alınmasının tehdit ortamının bilincinde ve bir adım önünde kalmak için kritik olduğuna inanıyor. Diğer yandan, bazıları da bu grubun kurumsal sistemlere ve müşteri verilerine erişmesine izin vermekten endişe duyuyor. Ancak ikinci grup, hackerlarla çalışma konusunda başka yaklaşımları da göz önünde bulundurmalıdır.
Beyaz şapkalı
Genellikle etik hackerlar olarak adlandırılan beyaz şapkalı hackerlar kuruluşların güvenlik savunmalarındaki açıkları tespit etmek için kullanılır. Siyah şapkalı hackerlar ile aynı metodları kullanmalarına rağmen bu grubun yaptıkları, kuruluşun izni ile hareket ettikleri için tamamen yasaldır. Bilgilerini kuruluşun güvenlik savunmasını kırmanın yollarını bulmak için kullanırlar ve güvenlik ekipleri ile birlikte çalışarak başkaları keşfetmeden önce sorunları çözerler.
General Motors ve Starbucks da dahil olmak üzere dünyadaki en büyük kuruluşların çoğu, hatalarını bulmak ve proaktif olarak güvenliklerini artırmak için beyaz şapkalı hackerlara yöneliyor. Beyaz şapka hackerlığı, teknik becerilere sahip insanlar için ilginç ve kazançlı bir kariyer yolu sunabilir. Beyaz şapka hackerlarının oynadığı rolün önemine dikkat çekmek, daha fazla yetenekli insanı siyah şapka hackerı olmak yerine olumlu bir yola yönelmeye teşvik edebilir.
Yeni yeteneklerin yetiştirilmesi
Yeni nesil beyaz şapkalı hackerları bulmak, teşvik etmek ve desteklemek için birçok program bulunuyor. Bunun örneklerinden biri, AWS tarafından desteklenen, gençlere beyaz şapkalı olmayı öğretmeyi amaçlayan bir konferans olan r00tz Asylum. Katılımcılar hackerların nasıl çalıştığını ve siber güvenlik uzmanlarının hackerlara karşı nasıl savunma yaptığını öğreniyor. Burada amaç, teknik uzmanlığa sahip insanları bu uzmanlıklarını kariyerlerinde iyiye kullanmaya teşvik etmek. Siber güvenlik profesyoneli olmak isteyenlere bilgi ve beceri kazandırarak, güvenliği daha en başından temele dahil edebilirler. AWS, r00tz’a verdiği destek ile güvenlikle ilgilenen gençlere güvenli bir öğrenme ortamı ve mentorlara erişim sağlayarak, yeni nesillerin gelişimine yardımcı oluyor.
Sağlam temeller üzerine inşa etmek
Müşterilerin güvenini sağlamak ve verileri korumaktan sorumlu olanlar için güvenlik konusuna uçtan uca bir yaklaşım sergilemek önemli. Gördüğümüz üzere etik hackerlar ile çalışmak, kuruluşunuzun güvenlik durumunu siber suçluların bakış açısından ele alarak güvenlik açıklarını tespit etmek ve gidermek için kullanılan güçlü bir yöntem. Bununla birlikte, güvenliğin bir kuruluşun tüm altyapısına işlenmesi gerektiğini bilmek de önemli. Burada bir bulut platformu ile ortaklık kurmak çok faydalı olabilir çünkü en iyi bulut platformları riske en duyarlı kuruluşların ihtiyaçlarını karşılamak için geliştirildi. Bulut platformları aynı zamanda güvenlik değerlendirmeleri, tehdit algılama ve politika yönetimini proaktif olarak yönetebilen otomatik güvenlik hizmetleri de sunuyor. Bu platformlar bunları yaparken, etik hackerlar da dahil olmak üzere güvenlik uzmanları için ağır yüklerin çoğunu üstleniyor.