Asher de Metzは、スーパーマーケットの玄関ドアを通り抜けました。再利用可能なショッピングトートの代わりに、彼の側にぶら下がっていたのは、個別のラップトップバッグでした。De Metzは食料品の買い物をしていませんでした—これは侵入でした。しかし、アボカドを検査する買い物客もクレジットカードをスワイプするレジ係も、彼らが攻撃を受けていることに気づいていませんでした。
De Metzが店内を歩いていると、コンピューターの人が並んでいる部屋を見つけました。トレーニングセッションでした。溶け込むのに最適な場所です。そこで、彼は座ってマシンをハイジャックしました。
「私はちょうど入って、マシンの1つの後ろからケーブルを抜いて、それを私のラップトップに差し込んだ」とdeMetzは言う。「私はしばらくの間ハッキングしていて、その部屋からシステムとデータベースにすぐにアクセスできるようになりました。」
「ハッカー」の熱い追求で
その後すぐに、トレーナーはdeMetzに近づきました。彼女は礼儀正しいが彼については確信が持てなかった。「私は本社から来ました」とdeMetzは説明し、いくつかのアップデートをインストールするために彼女に言いました。話は数分間彼女をなだめました、しかし彼女は彼女の上司にループすることに決めました。
その時、deMetzは出発する時が来たと考えました。「私はすべてを閉じて出発し始めました」とdeMetzは回想しますが、トレーナーは彼の尻尾を熱くしていました。「私は階段を上りましたが、残念ながらドアを開けるとアラームが鳴りました。」
追跡は、トレーナーが店を横切って「それは彼だ!それは男だ!」と叫びながら、警備警報を鳴らし、最後のきしむようなクレッシェンドのサウンドトラックを続けた。別のスーパーマーケットの従業員がdeMetzに近づきましたが、deMetzは準備されていました。彼は、加工された作業指示書を含むマニラフォルダーを持っていました。
彼は彼らに、彼は企業出身であり、店のシステムに深刻なハッキングがあったと語った。「昨夜、ネットワークに侵害があったことをご存知ですか?何百万ものネットワークが盗まれました。」「いいえ」と監督者は言った。"私は今まで知らなかった。" 深刻なサイバーセキュリティ違反による頭の回転を避けるために、ペアはその日の午後遅くに電話に出ることに同意しました。
スーパーマーケットのマネージャーに対するdeMetzの話の一部は真実でした。彼はスーパーマーケットに雇われました—スーパーマーケットのリーダーシップによって。しかし、起こった唯一のハッキングは、デ・メッツが自分でしたものであり、彼はダイムを盗みませんでした。彼はスーパーマーケットのシステムをどこまでハッキングできるかを見るために雇われました。そしてこの場合、彼は遠くに行きました。今、彼は、従業員と顧客の両方にとってセキュリティをより効果的かつ安全にする方法について、リーダーシップチームと共有するためのいくつかの有益な情報を持っていました。
企業がハッキングされるためにお金を払う理由
De Metzは、グローバルITサービス管理会社であるSungardAvailabilityServicesのセキュリティコンサルティングシニアマネージャーです。彼はペネトレーションテスターとして20年以上の経験があり、英国、ヨーロッパ、中東、北米の世界最大の企業に貴重なアドバイスを提供してきました。
「企業が侵入テストを実施する理由は、彼らが知らないことを知らないためです。パッケージをインストールしてシステムを保護しようとしている優れた社内ITチームまたはセキュリティチームがいる可能性がありますが、そこにハッカーがいて、彼らができないはずのことを掘り下げて実行しているのです。人々が見逃しているリスクを見つけるために、企業は彼らのリスクが何であるかを知りません。」
De Metzの目標は、悪者の前に脆弱性を見つけることです。これは、あらゆる規模の企業にとってますます脅威となるものです。IBMのセキュリティが後援する2017年のデータ侵害のコスト調査によると、中小企業の60%が毎年攻撃されています。さらに悪いことに、これらの企業の60%は、攻撃から6か月以内にドアを閉めています。1回の違反による世界の平均コストは362万ドルです。
しかし、ニュースはさらに悪化します。Check Point Software Technologiesの調査によると、2021年の最初の6か月で、ランサムウェア攻撃(「身代金」が支払われるまでネットワークへのアクセスをブロックする悪意のあるソフトウェアがインストールされている企業)の影響を受ける企業の数は、2020年の2倍以上になりました。 。また、FireEyeのMandiant M-Trends 2021レポートでは、2019年10月1日から2020年9月30日までの間に企業データが盗まれた800件の恐喝の試みが見つかりました。
賭け金は非常に高い
そのため、de Metzのように、ホワイトハットハッカー(20世紀半ばの西部劇映画の象徴に対する文字通りのハットチップ)としても知られる侵入テスターを採用して、意図的にシステムに侵入する組織が増えています。
「これは保険証券のようなものです。企業が今セキュリティにお金を使うと、違反した場合にかかる1,000万ドルまたは1億ドルから節約できます」とdeMetz氏は説明します。「たとえば、ランサムウェアを評価して予防接種を行うと、企業は何ヶ月にもわたる頭痛の種を減らし、ビジネスを行うことができなくなることで収益を失うことになります。」
組織がハッキングにお金を払うもう1つの理由は、組織がより強力な規制基準を満たしていることを確認するためです。ハッキングがより一般的で費用がかかるようになるにつれ、医療、金融機関、政府機関などは、連邦、州、および業界のサイバーセキュリティ規制に適合しなければなりません。
サイバーセキュリティは物理的および技術的です
人々がハッキングについて考えるとき、彼らは通常、母親の暗い地下室の安全から会社の個人データを攻撃する孤独なレンジャーを思い浮かべます。ただし、侵入テスターは組織のセキュリティプログラムの物理的側面と技術的側面の両方を調べるため、組織自体の内部からハッキングします。
「企業はテーブルに何も残したくないのですが、これは姿勢の弱さの一部である可能性があります」とdeMetz氏は言います。「私たちは物理的な制御をテストします。建物にアクセスし、セキュリティを通過し、裏口を通り抜けることができますか?物理的なファイルにアクセスできますか?企業がクレジットカードやギフトカードを印刷するエリアに入ることができますか?」これらは、ネットワークや機密データへのアクセスなど、技術的な側面に加えて、deMetzが指摘する重要で物理的なものです。
彼はまた、従業員トレーニングプログラムの推奨事項などのアドバイスを提供しているため、彼が出会った上司のような人々は、建物にいるはずの人々を確認する方法を知っています。または、誰かを認識しない場合の対処方法(たとえそれが良い話になったとしても、店全体の追跡を開始するのではなく)。「私たちはこれを行うのがとても楽しいですが、クライアントにも多くの価値を提供します。」
ペネトレーションテストの仕組み
ペネトレーションテスターは、テクノロジーに関する詳細な知識を持っている必要があります。これには、優れたツールだけでなく、経験も伴います。「侵入テストとは、テクノロジーを理解し、テクノロジーと相互作用することです。テクノロジーがどのように機能するかを知ることです。これは方法論であり、ツールをそれに向けて調整することもできますが、単にスクリプトやツールに関するものではありません。」
de Metzがシステム内に入ると、彼は3つのことを探します。どこにログインできるか、どのソフトウェアバージョンが使用されているか、システムが正しく構成されているかどうかです。「パスワードを推測できますか?ログインにアクセスする他の方法を見つけることができますか?ソフトウェアが古く、エクスプロイトがある可能性があるため、ランサムウェアコードを悪用して、システムにアクセスしようとします。」彼は言います。「監査で見つけられるものもありますが、[組織]が考えていなかったものも見つけています。」
浸透はネットワーク監査よりも深く、それは重要な違いです。監査は尋ねます、セキュリティプログラムは守られていますか?ペネトレーションテストでは、プログラムは機能していますか?
侵入テスターは、セキュリティ戦略の鳥瞰的な視点からそれを見ます。問題は、時代遅れのソフトウェアほど単純ではないかもしれませんが、改善が必要なセキュリティ戦略全体です。それがdeMetzが見つけたものです。
多くの中小企業は、十分に根拠のあるセキュリティインフラストラクチャに資金を提供するのに苦労しています。それでも、ホワイトハットハッキングは、脆弱性報奨金プログラムを通じてホワイトハットハッカーにシステムの脆弱性を見つけるよう奨励することで知られるFacebookなど、個人データを担当する組織で人気が高まっています。
De Metzは、侵入テストに関する彼の最も劇的な話のいくつかをポッドキャストで話しました。彼の目標は2つあります。それは、リスナーをワイルドなストーリーで楽しませることですが、さらに重要なことは、侵入テストの価値を強調することです。あなたはそれらを見ることも、そこにあることも決して知らないかもしれませんが、浸透テスターはビジネスを安全に保つのに役立ち、あなたのような顧客もより安全になります。
今それは興味深いです
ビジネスシステムをハッキングするのは、ブラックハットとホワイトハットのハッカーだけではありません。「グレイハット」ハッカーは、システムに侵入して許可なく脆弱性を明らかにし、問題を解決するために少額の料金を要求することで、「良い」ハッキングと「悪い」ハッキングの境界線を曖昧にします。
