Co tydzień rozmawiamy z osobą reprezentującą inny zawód, aby dowiedzieć się, jak to naprawdę jest. W tym tygodniu rozmawiamy z hakerem zajmującym się etyką i dyrektorem ds. produktu w The Hacking Games, Johnem Madelinem.

Typowa pensja początkującego to… 35–55 tys. funtów. Dowiesz się, jak systemy się psują i jak je naprawić. Rośnie szybko, gdy potrafisz pisać raporty, które ludzie mogą przeczytać, lub jeśli wnosisz do pracy widoczne umiejętności. W przypadku stanowisk średniego szczebla jest to kwota od 65 tys. do ponad 100 tys. funtów. Dzięki bliznom w świecie rzeczywistym po operacjach czerwonej drużyny (scenariusze testowe) lub incydentom na żywo możesz mieć pewność, że będziesz chronić rzeczy, które mają znaczenie. Dodaj do tego silną komunikację i umiejętności interpersonalne, a będziesz cenny. Jeśli jesteś zaawansowany, możesz zarobić ponad 125 tys. funtów. Są to osoby o głębokim umyśle technicznym i strategicznym – ci, którzy rozumieją, jak naprawdę działają napastnicy, mogą zarobić pieniądze na poziomie przywódczym; i na tym poziomie zazwyczaj na górze znajdują się premie i zachęty. Otrzymujesz głównie wynagrodzenie plus premię lub stawkę dzienną (600–2500 GBP). Najlepsi dalej tworzą firmy lub doradzają rządom; w tym miejscu stwierdzenie „sky’s the limit” przestaje być metaforą.

Hakerzy nigdy nie śpią… a firmy zwykle proszą o pomoc w sprawdzaniu systemów, gdy zostały łaskotane z ciemnej strony. Tradycyjne czerwone zespoły zwykle odbywają się w tradycyjnych godzinach pracy, ale gaszenie pożarów oznacza, że ​​godziny mogą się zmieniać w zależności od krajobrazu zagrożeń: spokojne tygodnie, gdy systemy zachowują się, a następnie strzelanina o 2 w nocy, gdy tak nie jest. Formalnie jest to około 37-40 godzin tygodniowo na papierze, w tym 20-25 dni urlopu plus dni ustawowo wolne od pracy. W praktyce czasami będziesz mieć ochotę zamienić przestoje na adrenalinę, ale inteligentne zespoły dbają o to, aby wszystko się wyrównało.

Odwiedź blog Money, aby uzyskać najnowsze wskazówki dotyczące finansów konsumenckich

Wielu z nas ma wykształcenie techniczne, więc przekładanie złożonych zagrożeń na fragmenty dźwiękowe przyjazne dla programu PowerPoint może wydawać się bolesne… Spędzasz dni na rozglądaniu się za subtelnym łańcuchem luk, by zostać zapytanym „ale czy teraz jesteśmy bezpieczni?”, jakby to kiedykolwiek było pytanie typu tak/nie. Gdybym mógł zamienić jedno spotkanie na kilka spokojnych godzin z snifferem pakietów (oprogramowaniem analizującym dane w sieci komputerowej) i kawą, pewnie bym to zrobił.

Stereotyp hakera będącego kujonem, niezdarnym społecznie i działającym samotnie był całkiem prawdziwy… Wielu z nas wolało maszyny od spotkań. Ale świat dogonił. Tak zwani „geekowie”, niegdyś postrzegani jako obywatele drugiej kategorii, teraz chodzą po korytarzach z podniesioną głową. Dowiedzieliśmy się, że kreatywność, skupienie i ciekawość są ważniejsze niż zwykła pogawędka. Większość etycznych hakerów, których znam, nadal jest introwertykiem, ale współpracują, są pomysłowi i kierują się celem. Współczesny haker jest po części inżynierem, po części detektywem, po części artystą. Stereotyp nie zniknął, został po prostu udoskonalony.

Hakerzy nie są zbyt wiernie przedstawiani w filmach… Hollywood uwielbia obraz samotnego geniusza uderzającego w klawiaturę i krzyczącego „Wchodzę w to!”, ale prawdziwe hakowanie jest znacznie bardziej wyrafinowane i ludzkie. Zestaw narzędzi etycznego hakera to nie tylko kod, to psychologia, perswazja i rozpoznawanie wzorców. Możesz spędzić więcej czasu na analizowaniu zachowań, tworzeniu wiarygodnej dezinformacji lub skutecznym dostępie za pomocą inżynierii społecznej, niż na pisaniu exploitów.

Firmy zbyt często płacą okupy złym hakerom… Kiedy zagrożone jest życie, łańcuchy dostaw lub bezpieczeństwo narodowe, moralna odpowiedź staje się akademicka w obliczu bezpośredniej szkody. Szpitale, producenci z kaskadowymi zależnościami lub operacje przechowujące dane wrażliwe z punktu widzenia obronności stają przed bolesnymi wyborami. Organy ścigania i ubezpieczyciele mogą pomóc, ale nie zawsze dostępne są systemy i możliwości skutecznego rozwiązania tego problemu. Prawdziwą miarą sukcesu nie jest to, czy odmówisz zapłaty, ale to, czy nigdy nie będziesz musiał wykonywać tego telefonu.

Zagrożenie cyberatakami jest ogromne i szybko rośnie… Brytyjska agencja cybernetyczna zgłasza w tym roku wzrost liczby poważnych incydentów o 50%, przy czterech atakach o znaczeniu ogólnokrajowym tygodniowo. To nie jest szum; to nowa normalność. Dla przedsiębiorstw ryzyko cybernetyczne jest obecnie głównym przedmiotem troski zarządu, obok inflacji i geopolityki. Ataki są bardziej zautomatyzowane, oparte na danych i motywowane komercyjnie, a wiele z nich wykorzystuje ludzką psychikę w takim samym stopniu jak kod. W przypadku osób fizycznych jest to ciągła wojna na niskim szczeblu: wyłudzanie informacji, oszustwa typu deepfake, kradzież tożsamości i wycieki danych. Żyjemy w systemach cyfrowych, które są poddawane ciągłemu obciążeniu. Zła wiadomość jest taka, że ​​zagrożenie ma charakter systemowy. Dobra wiadomość? Podobnie jest z obroną – w końcu uczymy się wykrywać, powstrzymywać i odzyskiwać siły w ramach codziennej odporności biznesowej, a nie po namyśle.

Madelin twierdzi, że „dobra komunikacja i umiejętności interpersonalne” sprawiają, że etyczny haker jest cenny
Obraz:
Madelin twierdzi, że „dobra komunikacja i umiejętności interpersonalne” sprawiają, że etyczny haker jest cenny

Przeczytaj więcej ze Sky News:
Jak to naprawdę jest być ochroniarzem
Prywatny detektyw – „oto, ile kosztujemy”
200 tys. funtów pensji – tajemnice pilota

Oto moje trzy najważniejsze wskazówki, jak chronić swoje dane…

1. Silne uwierzytelnienie.

Tak, hasła nadal mają znaczenie, ale połącz je z uwierzytelnianiem wieloskładnikowym i dobrym zarządzaniem uprawnieniami. Większość naruszeń zaczyna się od zalogowania się osoby, która nie powinna. Diabeł w szczegółach sugeruje, że etyczni hakerzy odgrywają tutaj silną rolę w testowaniu i sprawdzaniu.

2. Higiena, a nie bohaterstwo.

Aktualizuj oprogramowanie, segmentuj sieci i monitoruj dziwne zachowania. To nudne, powtarzalne i absolutnie niezbędne. Bezpieczeństwo to 90% sprzątania, 10% błyskotliwości. Kolejny ważny obszar, który etyczni hakerzy muszą stale sprawdzać i testować!

3. Kopia zapasowa… Offline. Nieaktywny. Nieaktywny.

Utwórz kopię zapasową najważniejszych danych, a następnie odłącz tę kopię zapasową od sieci. Ransomware nie może zaszyfrować tego, do czego nie może dotrzeć. Zadziwiające, jak wiele firm o tym zapomina, aż jest już za późno. Krótko mówiąc: twardo uwierzytelniaj, utrzymuj higienę i zawsze noś szczelną siatkę zabezpieczającą.

Najczęstszym błędem jest… nieostrożność. Większość naruszeń ma swoje źródło w niezałatanych systemach, słabych lub ponownie użytych hasłach lub dostępach, które powinny zostać cofnięte, ale tak się nie stało. Ludzie rozluźniają swoją dyscyplinę, bo „wczoraj zadziałało”. Bezpieczeństwo tkwi w szczegółach: otwarty port pozostawiony po testach, pominięta łatka, użytkownik, który wyłącza MFA „na razie”. Atakujący żyją dla tych pęknięć. Kolejnym słabym punktem jest zaufanie do łańcucha dostaw. Organizacje zakładają, że partnerzy i dostawcy oprogramowania są bezpieczni, choć często tak nie jest.

Zwykle nic nie wskazuje na to, że zostałeś zhakowany… nie na początku. Dzisiejsi napastnicy nie atakują; osiedlają się. Mogą używać Twoich systemów do wydobywania kryptowalut, kierowania się w stronę większego celu lub po prostu obserwowania i czekania. Wczesne wskazówki są subtelne: niewyjaśniony ruch wychodzący, powolne serwery, nowe konta administratorów, dziwne zaplanowane zadania lub powłoki internetowe, fragmenty ukrytego kodu wrzucone do aplikacji internetowej, aby można było do nich wrócić później. Zanim zobaczysz niebieskie ekrany, żądania Bitcoina lub lawinę dziwnych e-maili, jesteś już na finiszu. Sztuka polega na wychwytywaniu szeptów, a nie eksplozji – po to jest dobre wykrywanie i zdyscyplinowane monitorowanie.

Nie kusiło mnie, żeby przejść na ciemną stronę… Istnieje wyraźny podział moralny. Albo jesteś przestępcą, albo nie. Większość ludzi jest zaprogramowana neurologicznie i społecznie, aby dostrzec różnicę. Ale krajobraz się zmienia. Wzrost liczby oszustw do gier, rynków exploitów i nagród online zatarł granice dla nowego pokolenia. Wielu młodych, uzdolnionych technicznie graczy wpada w szarą strefę, pisząc lub sprzedając kody, testując exploity, nie zdając sobie sprawy, jak blisko zbliżyli się do przestępczości. Właśnie po to stworzono The Hacking Games. Wybór nie wynika z pokusy; chodzi o kierunek.

Etyczni hakerzy tak naprawdę chronią bezpieczeństwo narodowe Wielkiej Brytanii… choć prawdziwi sprawcy ataku siedzą w elitarnych agencjach, takich jak Narodowe Siły Cybernetyczne (Wielka Brytania), Dowództwo Cybernetyczne Stanów Zjednoczonych i NSA. Etyczni hakerzy w szerszej społeczności odgrywają kluczową rolę wspierającą, znajdując luki w zabezpieczeniach zanim zrobią to przestępcy, wzmacniając infrastrukturę krytyczną i dzieląc się informacjami wywiadowczymi. Razem tworzą ekosystem, który utrzymuje systemy krajowe w dobrej kondycji. Zagrożenie jest całkowicie realne. Atak w odpowiednim czasie na sieci energetyczne, transport lub finanse może sparaliżować codzienne życie i w ciągu kilku godzin odbić się na gospodarce. Spokojna rzeczywistość jest taka, że ​​każdego dnia setki wykwalifikowanych obrońców, w tym wielu z naszej społeczności etycznych hakerów, powstrzymuje te scenariusze, zanim opinia publiczna o nich usłyszy.

Najdziwniejsze prace to zazwyczaj te, których się nie podejmuje... Niejednokrotnie proszono mnie o ofensywne wykorzystanie moich umiejętności, wydobycie informacji lub włamanie się do systemów konkurencji „tylko po to, aby zobaczyć, co jest możliwe”. Tam właśnie linia etyczna ma największe znaczenie, a ja zawsze temu zaprzeczałem.

Po jaśniejszej stronie… Kiedyś pomogłem dużemu sprzedawcy detalicznemu wyśledzić tajemniczy sygnał Wi-Fi, który zakłócał pracę ich kas. Okazało się, że była to inteligentna lodówka w kuchni dla personelu, która bez przerwy próbowała się aktualizować. Więc tak, dziwne prace wahają się od moralnie niejednoznacznych po lekko śmieszne.

Dopiero po dwudziestce dostrzegłem okablowanie hakerskie w swoim mózgu… Wtedy właśnie zadziałał dla mnie właściwy, udany hack. To uczucie uzależnia: połączenie intelektualnego przepływu i cichej satysfakcji z przemyślanego systemu. Chcemy, aby młodzi hakerzy-gracze dostali tę wiadomość szybciej, ale bezpiecznie.

Trzy krótkie wskazówki dla każdego, kto właśnie znalazł błąd… najpierw naucz się zasad, znajdź dobrych mentorów i rywalizuj w bezpiecznych CTF lub programach nagród za błędy – ćwicz ciężko, ale w granicach.

Przyszłość hakowania zmieni się radykalnie, ale… to nie jest nieunikniona zagłada. Prawdziwa zmiana nie polega na tym, że samotna sztuczna inteligencja wszczyna zamieszki; to kointeligencja, ludzie współpracujący z potężnymi asystentami AI. To partnerstwo zwiększa zasięg i szybkość. Ale jest też druga strona: obrońcy otrzymują takie samo wzmocnienie. Sztuczna inteligencja znacznie usprawni wykrywanie, selekcję i automatyczne przechowywanie, jeśli organizacje zainwestują w dane, podręczniki i ludzi, którzy będą mogli korzystać z tych narzędzi.

Czym się martwić najbardziej…

  • Szybka, zautomatyzowana adaptacja ataków (kampanie polimorficzne).
  • Skala: tanie i skuteczne ataki dostępne dla większej liczby aktorów.
  • Ryzyko związane z łańcuchem dostaw i zatruciem praniem pieniędzy.

Co trzeba zrobić…

  • Szkolić ludzi w zakresie wspólnego korzystania z inteligencji (nie tylko narzędzi).
  • Zautomatyzuj wykrywanie i powstrzymywanie (program SOAR).
  • Zainwestuj w odporną konstrukcję: segmentuj, kopie zapasowe w szczelinie powietrznej, zakładaj naruszenie.
  • Dostosuj politykę i etykę do szybkiego odpowiedzialnego ujawniania informacji, tworzenia zespołów czerwonych i prawa kryzysowego.

Chodzi więc o ciągłą czujność i pragmatyzm. Przyszłość jest trudna, szybka i interesująca. Potrzebujemy mądrzejszych ludzi pracujących przy użyciu inteligentniejszych narzędzi. To jest dokładnie problem, do rozwiązania którego stworzone zostały gry Hacking Games.

Source link

PODOBNE ARTYKUŁYWIĘCEJ OD AUTORA