Etyczny haker to w zasadzie zaprzeczenie wszystkiego, o czym słyszał przeciętny użytkownik sieci w kontekście słowa „haker”. Tymczasem tzw. white hacking to dynamicznie rozwijająca się dziedzina cyberbezpieczeństwa, która ma za zadanie bezkompromisowo obnażać wszystkie możliwe luki i podatności systemów bezpieczeństwa. Odpowiedzmy więc na kilka podstawowych pytań: kim są tzw. białe kapelusze? Na jakiej zasadzie działają? Co mogą zrobić dla Twojej firmy?
Kim jest etyczny haker i czym się zajmuje?
Słowa haker oraz hacking są w społeczeństwie odbierane jednoznacznie - negatywnie. Kojarzą się z atakami cybernetycznymi, naruszeniami prywatności i kradzieżami danych, tożsamości, a nierzadko także pieniędzy. Mogłoby się więc wydawać, że etyczny hacking to oksymoron. Takie pojęcie funkcjonuje jednak od lat w świecie cyberbezpieczeństwa, a pracujący w tej niszy specjaliści wnoszą bardzo wiele do poprawy jakości zabezpieczeń. Haker ma w tym przypadku zadanie uzyskać dostęp do systemu, doprowadzić do kompromitacji zabezpieczeń i odnaleźć możliwie najwięcej luk w zabezpieczeniach, w celu poprawy poziomu cyberbezpieczeństwa. Działa zawsze zgodnie z prawem, poszanowaniem własności i na zlecenie konkretnych podmiotów.
Specjaliści od white hackingu są często zatrudniani przez najbardziej wymagające pod względem bezpieczeństwa firmy, które podchodzą do tematu bezpieczeństwa i poufności danych z dużą odpowiedzialnością. Są wśród nich głównie instytucje finansowe, banki, fintechy czy organizacje rządowe, a także producenci oprogramowania i innych rozwiązań technologicznych. Wiele korporacji uruchamia nawet własne programy bug bounty, w ramach których niezależni badacze mogą zgłaszać odnalezione podatności, za co zostają odpowiednio nagrodzeni (im poważniejsza luka bezpieczeństwa, tym większa gratyfikacja).
Wysoka skuteczność etyczny hakerów wynika przede wszystkim ze stosowanych przez nich metod. Nie ograniczają się oni do konkretnych narzędzi. Nie uznają ram w swoich działaniach. Stosują dokładnie te same sposoby, których używają przestępcy (tzw. black hakerzy). Wymaga to kreatywnego myślenia i bycia na bieżąco z informacjami o nowych lukach bezpieczeństwa i metodach ataku. White haker to człowiek wysoce wyspecjalizowany, zazwyczaj skoncentrowany wyłącznie na tej dziedzinie cyberbezpieczeństwa. Nierzadko mogący pochwalić się posiadaniem cenionych certyfikatów (np. CEH – Certified Ethical Hacker).
Warto wspomnieć też o tzw. grey hakerach. Termin ten nie ma jednoznacznej definicji. Nierzadko określa się w ten sposób specjalistów, którzy mają umiejętności pozwalające na wykrywanie luk w zabezpieczeniach i podatności, ale nie wykorzystują ich w nielegalnych celach. W zamian proponują właścicielom podatnych witryn/aplikacji naprawę błędu za opłatą. Grey haker może też po prostu, dla treningu i satysfakcji, szukać podatności bez wyraźnego polecenia, a następnie zgłaszać je administratorowi systemu.
Czy white haker i pentester to jest to samo zajęcie?
Choć testy penetracyjne i ethical hacking mogą budzić ze sobą wiele skojarzeń, w praktyce nie powinno się używać tych sformułowań zamiennie. Testy penetracyjne są przeprowadzane w bardziej formalny, unormowany i zorganizowany sposób. Mogą obejmować wyłącznie konkretną część sieci, poszczególne systemy czy aplikacje. Nierzadko przeprowadza się je w specjalnie wydzielonym na tę okazję środowisku. Pentesterzy działają w ścisłej współpracy z firmą, określają też zakres działań i możliwe do wykorzystania metody. Tymczasem etyczny haker działa tak, jak jego przestępczy odpowiednik. Różnią się tylko intencjami. Etyczny haker może wykorzystywać dowolne środki, techniki i wektory ataku. Jego zadaniem jest uzyskanie i utrzymanie dostępu oraz podzielenie się cennymi informacjami z firmą, która go zatrudnia. Działania etycznych hakerów są bezkompromisowe i w określonych sytuacjach mogą dać więcej informacji niż w przypadku klasycznych pentestów.
Kontrolowany cyberatak – jak wygląda praca etycznego hakera w firmie?
Etyczny haker może być na stałe zatrudniony w jednej firmie lub pracować jako freelancer dla wielu organizacji. Niezależnie od trybu pracy przebieg kontrolowanego cyberataku wygląda zazwyczaj bardzo podobnie. W przeciwieństwie do samych testów penetracyjnych czy audytów bezpieczeństwa, white haker nie jest ograniczony żadnymi ramami. Jego zadaniem jest za wszelką cenę doprowadzić do realizacji poszczególnych etapów:
- Planowanie i rekonesans, czyli ustalenie celów ataku i możliwie najprostszych metod ich osiągnięcia. W drodze białego wywiadu (tzw. OSINT) i z ogólnodostępnych źródeł haker stara się dowiedzieć jak najwięcej na temat atakowanej firmy. Rozpoznaje wykorzystywane przez nią technologie, utrzymywane aplikacje i witryny.
- Skanowanie – przy użyciu zróżnicowanych narzędzi skanuje systemy i sieć w poszukiwaniu podatności, takich jak otwarte porty, niezaktualizowane oprogramowanie bez łatek bezpieczeństwa, stare wersje systemów operacyjnych, błędy w konfiguracji firewalli, routerów czy przełączników.
- Uzyskiwanie dostępu – po zidentyfikowaniu podatności haker przechodzi do właściwego ataku, przejmując kontrolę nad komputerem, systemem lub urządzeniem. Następnie stara się zdobywać kolejne dostępy i przyznawać sobie nowe uprawienia. Po uzyskaniu dostępu do sieci i systemów, haker może posunąć się do dowolnych metod, włącznie z phishingiem czy atakami słownikowymi, mającymi za zadanie złamać hasło do niedostatecznie chronionego konta.
- Utrzymywanie dostępu i rozszerzenie dostępu – to etap znacznie trudniejszy niż jego uzyskanie. Nowoczesne systemy monitorowania bardzo szybko mogą wykryć intruza w sieci firmowej, a współpracujące z nimi zabezpieczenia odseparować i odciąć od reszty infrastruktury zainfekowane urządzenia. Haker stara się więc jak najdłużej pozostać niewykrytym. Próbuje stworzyć tzw. back door (ukryte „tylne wejście” do systemu), przez co będzie mógł uzyskać ponowny dostęp do sieci w niedalekiej przyszłości bez konieczności łamania zabezpieczeń – i to nawet w sytuacji, gdy firmowi specjaliści naprawią pierwotne podatności. Na tym etapie haker próbuje także rozszerzyć swoje uprawnienia, uzyskując dostępy do kolejnych elementów infrastruktury lub podnosząc swoje uprawnienia dla już zdobytych elementów.
- Analiza – każdy kontrolowany atak musi zakończyć się sporządzeniem raportu z działań i szczegółowej analizy cyberbezpieczeństwa firmy. Bez tego ma znikomą wartość dla poprawy jakości ochrony. W analizie powinny znaleźć się wszystkie wykryte przez etycznego hakera podatności i luki w zabezpieczeniach – zarówno te wykorzystane, jak i niewykorzystane do uzyskania dostępu.
W taki sposób zidentyfikowane zostają najbardziej „widoczne” dla innych hakerów słabe punkty systemów cyberbezpieczeństwa w firmie. Na ich podstawie mogą powstawać rekomendacje i sugerowane działania zmierzające do poprawy ochrony danych i systemów.
Etyczny hacking – jak może pomóc firmie?
Etyczny hacking może pomóc Twojej firmie w identyfikacji istniejących zagrożeń, których Twoi specjaliści mogli nie być świadomi. Pozwala także przećwiczyć ustalone scenariusze i polityki przygotowane na wypadek ataku hakera. Raporty dostarczone przez specjalistę pomogą usprawnić system zarządzania ryzykiem i pomogą zminimalizować ryzyko kolejnych ataków. Dzięki temu Twoja firma może zyskać większe zaufanie w oczach klientów oraz generować realne oszczędności, udaremniając kosztowne ataki cybernetyczne w przyszłości.
Zwiększanie bezpieczeństwa warto zacząć już teraz od wdrożenia skutecznych i prostych narzędzi dostarczanych pod klucz. Dobrym przykładem może być backup jako usługa realizowany w ramach sprawdzonego pakietu Netia Data Protection. Przydatny w utrzymaniu bezpieczeństwa jest także całodobowy monitoring sieci i systemów. Netia Incident Monitoring to system generujący automatyczne raporty o stanie bezpieczeństwa i ewentualnych problemach przez 24 godziny i przez cały rok.
Polecamy także testy podatności pozwalające na dogłębną analizę możliwych zagrożeń oraz kontrolowane ataki phishingowe w ramach usługi Netia Phishing-on-Demand, sprawdzające reakcję pracowników na jedno z najczęściej występujących zagrożeń. Netia przeprowadza także audyty systemów bezpieczeństwa sprawdzające ich skuteczność oraz zgodność z obowiązującymi w danym sektorze normami prawnymi (np. PCI DSS, DORA), a także testy penetracyjne weryfikujące systemy w praktyce. W ramach usług profesjonalnych Netia realizuje też m.in. szkolenia z security awareness dla zwiększenia świadomości zagrożeń wśród Twoich pracowników.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105