加强企业数据中心的安全性，可以来点“黑客”攻击

本文转载企业网，原标题《道德黑客如何为企业加强数据中心安全性》。

“黑客”一词对许多人来说具有负面的含义，但是为了加强企业数据中心或业务系统的安全性，黑客攻击并不总是恶意的。在某些情况下，黑客攻击可以帮助加强企业数据中心的网络安全性。

白帽、红队和渗透性测试

道德黑客会在企业的业务系统中寻找安全漏洞，以帮助企业解决问题。

网络安全服务商AttackIQ公司的副总裁兼首席信息安全官（CISO）Chris Kennedy表示：“红队（Red Teams）就是采用的一种道德黑客的概念，他们可以在恶意攻击者攻击之前发现问题。它允许企业的数据中心在恶意攻击者发现之前堵住安全漏洞。”

他说，这里涉及广泛的活动和技能水平。例如，可以使用自动化工具来查找系统和应用程序中的已知缺陷。另一方面，才华横溢的工程师可以对应用程序进行逆向工程。

他说，“他们可以寻找凭据的管理方式，以及用于通信的协议中的缺陷。”白帽黑客也可以被部署来突破数据中心的物理安全，或者模仿内部人员并试图窃取数据。

Kennedy表示，这完全取决于成本效益分析以及数据中心想要实现的目标。他说，“大多数人都不想承担被恶意攻击的风险。如果遭遇攻击可能带来损失，就会承担责任，这会使员工感到恐惧。”

他说，大多数情况下，渗透性测试（Pen Tests，Pen是“Penetration”的缩写）仅涉及身份卡（badging）系统有效且门锁已固定。黑客具有一些技巧，以避开安全系统的检测。

他说，“以磁性门锁为例，它们依靠运动传感器工作。我亲眼目睹了一次渗透性测试，安全人员采用一根木棍和一张卡片迅速打开了门锁。”

Kennedy警告说，数据中心管理人员在雇佣白帽黑客之前应采取一些防范措施。这包括调查渗透性测试公司的声誉及其审查员工的政策。

他表示，渗透测试还应该有一个明确定义的范围。数据中心需要决定如何监控渗透性测试。安全运营中心是否会意识到发生了什么？对于黑客的行为为什么不会发出警报？或者他们是否会注意到受到攻击？数据中心应提前计划以防万一。

BeyondTrust公司首席技术官 Morey Haber说：“道德黑客就像其他人一样。尽管他们攻击的意图很好，但他们的测试可能会带来不良后果。”

他说，例如，如果一个系统在测试前是适度安全的，那么道德黑客可能会在测试后意外地使其处于易受攻击的状态。如果不加以补救，就可以让真正的攻击者更容易闯入。

Haber说，“道德黑客记录了他们的行为，并且如果这些文件没有得到保护并被视为敏感文件，则可以将它们用作真正的威胁行为者进行破坏的蓝图。黑客甚至会与道德黑客彼此交流。虽然保密协议将禁止命名，但这种方法通常对于论文和会议来说是公平的。这一曝光有助于技术社区，但也可能会让一些黑客尝试其攻击技术。”

罗得岛州技术咨询机构Carousel Industries公司的首席信息安全官Jason Albuquerque表示，为了降低这些风险，企业应该与值得信赖、信誉良好的公司合作。

企业选择的渗透测试公司应该有适当的认证、道德规范和行为准则，以及清晰概述测试范围的结构化流程。

他说：“如果安全工程师遇到敏感的、个人的、机密的或专有的信息，他们的行动必须以百分之百关注保护客户为指导方针。”

当黑客来敲门

有时，白帽黑客在没有获得企业同意的情况侵入其系统。

AttackIQ公司Kennedy的一个朋友表示，一名黑客联系到他，声称已经侵入了该朋友公司的安全系统，该公司的一个程序已经脱离补丁程序管理范围，并已公开泄露。白帽黑客对他说，‘我发现了这个问题，你愿意提供赔偿吗？＇他的朋友进行了漏洞扫描，找到了问题立即修复，并向这位黑客支付了酬金。

Kennedy表示，如果这发生在企业身上，那么第一步就是验证问题。它可以像运行扫描一样简单，也可以要求黑客提供更多信息。

他说：“企业首先需要接触黑客，为了设定正确的赔偿标准，可以让黑客透露可能泄露的资产，也许企业的一位开发人员只是进行了修改，并没有任何商业价值。下一步是确定黑客是否值得信任，企业需要了解其行为是否出于恶意目的还是白帽黑客。现实是，可能会向他们支付费用，否则黑客可能会以恶意方式公开披露漏洞。”

专家建议，数据中心管理人员需要了解白帽黑客可能会提出什么样的要求，并与Bugcrowd等信誉良好的组织签约，或者向黑客支付费用，以符合道德的方式帮助企业查找漏洞。

Keeper Security公司首席技术官兼联合创始人Craig Lurey说：“归根结底，如果道德黑客能够向供应商报告公开的客户数据或访问受保护系统的调查结果，这对每个人都是一件好事。道德黑客从Bug Bounty程序中的Bug Bounty和Status排名中获益，而供应商则从提高安全级别中获益。”

回击是一个“愚蠢的想法”

如果数据中心管理人员看到一些犯罪分子频繁入侵其数据中心而茫然无措，就会感到沮丧，可能会动手回击。

例如，曾经遭遇勒索软件的一名受害者Tobias Frömel最近入侵了网络攻击者的命令和控制服务器，并为近3000名其他受害者提供勒索软件解密密钥，随后他与公众分享了这些密钥。

在最近的另一起案件中，一名黑客侵入地下信用卡数据盗窃市场BriansClub，并盗走了2600多万条记录。这位道德黑客然后与金融组织合作保护账户的安全组织分享了此数据。

尽管这听起来很有趣并且可能令人满意，但安全专家普遍谴责黑客进行的回击。

AttackIQ公司的Kennedy说，“这是违法行为。而进攻性回应是执法部门的责任。最好的办法是向有关当局报告，收集尽可能多的信息，并以高度完整性的方式维护这些信息，以便可以将其用于起诉。但是不建议进行黑客回击。”

阻止企业数据中心安全人员进行黑客入侵的不仅仅是法律责任。欺骗和检测安全服务商Attivo Networks公司首席安全架构师Chris Roberts对此表示认同。他说，“这是一个愚蠢的想法，永远不应该这样做。例如，网络攻击者可能已经在企业的系统中留下并不知道的后门。如果企业进行回击，网络攻击者可能会摧毁他们能找到的一切。但最大的问题是知道谁在攻击。”

Roberts举例说，“如果有人在街上无故殴打你，通常会看清楚是谁干的。但是在数字世界中，黑客可以使用来自多个不同国家的不同计算机进行攻击，企业可能最终会把责任归咎于无关人员。”