雇佣前黑客:这是企业安全的解决之道吗?

日期: 2016-08-03 作者:Mike O. Villegas翻译:邹铮 来源:TechTarget中国 英文

如果有人闯入你家并偷走你的贵重珠宝,多年后,你是否会雇佣他来保护你的家或者从他那里买回珠宝? 最有名的黑客出身安全专业人士应该是Kevin Mitnick。他最知名的是在1995年因多宗计算机和通信有关犯罪被逮捕,而自2000年以来,Mitnick转变成安全顾问、公共演说家和作家。他为世界500强企业以及FBI提供安全咨询服务;为世界上最大的公司进行渗透测试;向几十家公司和政府机构教授社会工程学课程。有人可能会说他现在已经改过自新,致力于打击非法黑客和计算机犯罪。

虽然有些人质疑他的方法是否不道德,但他确实可为客户提供不一样的视角。 在雇佣前黑客之前需要考虑三件事情以帮助增强和发展企业信息安全计……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

如果有人闯入你家并偷走你的贵重珠宝,多年后,你是否会雇佣他来保护你的家或者从他那里买回珠宝?

最有名的黑客出身安全专业人士应该是Kevin Mitnick。他最知名的是在1995年因多宗计算机和通信有关犯罪被逮捕,而自2000年以来,Mitnick转变成安全顾问、公共演说家和作家。他为世界500强企业以及FBI提供安全咨询服务;为世界上最大的公司进行渗透测试;向几十家公司和政府机构教授社会工程学课程。有人可能会说他现在已经改过自新,致力于打击非法黑客和计算机犯罪。虽然有些人质疑他的方法是否不道德,但他确实可为客户提供不一样的视角。

在雇佣前黑客之前需要考虑三件事情以帮助增强和发展企业信息安全计划:道德、知觉和道德黑客。

大多数雇主会对新雇员进行犯罪背景调查。如果应聘人员的背景涉及因攻击、数据泄露或欺诈而被逮捕或监禁,他将不会被录用。这种人的道德应该被质疑,如果企业为政府机构或需要最高安全检查的公司提供服务,前黑客也不能参与。此外,信任将始终是一个问题。数据泄露事故的发生是因为攻击者因为经济利益或个人目的滥用了控制漏洞,因此,企业可能很难相信这个前黑客雇员不会再这样做。所以,在雇佣前黑客之前,企业应该认真考虑这个人的道德是否有问题。

接下来是知觉问题。聘请前黑客提供安全咨询无疑是引人注目且有新闻价值的事件,也许这正是高层管理所希望达到的目的。他们可能希望让股东、合作伙伴和客户知道他们在认真对待安全,他们可能还想要其他人了解,他们已经到处搜寻都没有找到可满足其独特保护要求的网络安全专家,所以他们现在要雇佣前黑客。

这可能是公开传达的信息,但其真正的目的是管理知觉,并且这很可行。高层管理会留下深刻印象,股东将备受鼓舞,而客户也会感到放心。但还有谁受到影响?内部员工得到的信息是他们不足以满足需求,他们的技能无法充分满足其目标。除非企业现有网络安全人员愿意与前黑客共事,否则企业需要聘请全新的全职员工。

重要的是要记住,前黑客被确定为罪犯不仅仅因为他们做了非法的事情,而且因为他们被逮捕。无论他们为何失败,都说明他们的技术并非无懈可击。道德黑客或网络安全专业人士能否做得更好?也许。你可以审核招聘过程,从教育、证书、知识和经验来招聘合适的人才。你可聘请那些可执行甚至超过所需要求来支持信息安全计划及目标的人员。现在可能缺乏技能纯熟的网络安全专业人员,但确实有。

并非所有犯罪黑客都容易再犯。Mitnick就是黑客改过自新的最好例子。企业可聘请他们想要的任何人,包括前黑客。然而,每个规则都会有例外情况,聘请Mitnick或前黑客作为全职员工并不是好主意,并不仅仅因为信任问题。而是因为,简单地说,前黑客是罪犯,聘请前黑客最终会被客户和合作伙伴知道,最好是聘请经验丰富的有能力且通过审核的候选者。

作者

Mike O. Villegas
Mike O. Villegas

技术咨询公司K3DES LLC副总裁

翻译

邹铮
邹铮

相关推荐

  • 企业需为网络安全做哪些准备?

    企业如何知道自己是否已真的准备好应对网络攻击?事实上,我们可利用网络安全准备目标来显著提高企业的安全状态……

  • 安全自动化是企业安全“一劳永逸”之法吗?

    有时候安全团队似乎过分依赖于“一劳永逸”的安全机制,而没有足够的安全专业人员提供人性化的分析和判断。在这方面,安全自动化的风险是什么?企业如何利用安全自动化的优势,而确保自己受到保护?

  • 企业安全防护:防御未知威胁的能力是关键

    网络威胁形势只会变得更为严峻,为了在资源有限的情况下最大程度的保护企业安全,部署能够防御未知威胁的产品是摆在企业面前一个重要的课题。

  • 人工智能会让安全更好还是……

    尽管由狭义的AI进化到真正的人工智能还需要加以时日,但可以肯定的是,AI会让安全变得更简单,这对一直想解放人力物力财力去专注业务创新的企业们来讲无疑是值得雀跃并期待的。