Asher de Metz bước qua cửa trước của một siêu thị. Treo bên cạnh anh ta, thay cho một món đồ mua sắm có thể tái sử dụng, là một chiếc túi đựng máy tính xách tay rời. De Metz không mua sắm hàng tạp hóa - đây là một cuộc đột nhập. Nhưng cả người mua hàng kiểm tra quả bơ hay nhân viên thu ngân quẹt thẻ tín dụng đều không nhận ra họ đang bị tấn công.
De Metz đi ngang qua cửa hàng và thấy một căn phòng chật cứng người đặt máy tính. Đó là một buổi đào tạo. Nơi hoàn hảo để hòa nhập. Vì vậy, anh ta ngồi xuống và cướp một chiếc máy .
De Metz cho biết: “Tôi chỉ vào và rút cáp ra khỏi mặt sau của một trong các máy và cắm nó vào máy tính xách tay của mình. "Tôi đã hack được một thời gian và có quyền truy cập vào hệ thống và cơ sở dữ liệu khá nhanh từ căn phòng đó."
Theo đuổi nóng bỏng của một 'Hacker'
Ngay sau đó, người huấn luyện tiếp cận de Metz. Cô lịch sự nhưng không chắc chắn về anh ta. “Tôi đến từ trụ sở chính,” de Metz giải thích, để cài đặt một số bản cập nhật, anh nói với cô. Câu chuyện khiến cô cảm thấy hài lòng trong vài phút, nhưng cô quyết định nhắc lại người giám sát của mình.
Đó là khi de Metz nhận ra rằng đã đến lúc phải ra đi. “Tôi đã đóng cửa mọi thứ và bắt đầu rời đi,” de Metz nhớ lại, nhưng người huấn luyện đã nóng mặt. "Tôi đi cầu thang bộ và thật không may, khi tôi vừa đẩy cửa vào, chuông báo thức đã kêu."
Cuộc rượt đuổi tiếp tục với âm thanh của báo động an ninh chói lọi và tiếng rít cuối cùng khi người huấn luyện than vãn trong cửa hàng, "Đó là anh ta! Đó là anh ta!" Một nhân viên siêu thị khác tiếp cận de Metz, nhưng de Metz đã chuẩn bị sẵn sàng. Anh ta có một tập tài liệu manila với một yêu cầu công việc bịa đặt.
Anh ta nói với họ rằng anh ta đến từ một công ty và đã có một vụ hack nghiêm trọng vào hệ thống của cửa hàng. "Bạn có biết rằng đã có một vụ xâm phạm mạng của bạn đêm qua không? Hàng triệu người đã bị đánh cắp." "Không," người giám sát nói. "Tôi không ý kiến." Cặp đôi đã đồng ý gọi điện vào cuối buổi chiều hôm đó, để tránh bất kỳ sự cố nào do vi phạm an ninh mạng nghiêm trọng.
Một phần câu chuyện của de Metz với giám đốc siêu thị là sự thật; anh ta đã được thuê để có mặt tại siêu thị - bởi ban lãnh đạo của siêu thị. Tuy nhiên, vụ hack duy nhất đã xảy ra là do chính de Metz tự thực hiện và anh ta không ăn trộm một xu nào. Anh ta được thuê để xem anh ta có thể xâm nhập vào hệ thống của siêu thị bao xa. Và trong trường hợp này, anh ấy đã tiến xa. Giờ đây, anh ấy đã có một số thông tin hữu ích để chia sẻ với nhóm lãnh đạo về cách làm cho bảo mật của họ hiệu quả hơn và an toàn hơn cho nhân viên cũng như khách hàng.
Tại sao các doanh nghiệp phải trả tiền để bị tấn công
De Metz là quản lý cấp cao tư vấn bảo mật tại Sungard Av Available Services , một công ty quản lý dịch vụ CNTT toàn cầu. Anh ấy có hơn 20 năm kinh nghiệm với tư cách là chuyên gia kiểm tra thâm nhập - đó là tên gọi của họ - và đã đưa ra lời khuyên vô giá cho một số công ty lớn nhất thế giới trên khắp Vương quốc Anh, Châu Âu, Trung Đông và Bắc Mỹ.
"Lý do các công ty có thử nghiệm thâm nhập", de Metz nói, "là vì họ không biết những gì họ không biết. Bạn có thể có một đội bảo mật hoặc CNTT nội bộ tuyệt vời đang cài đặt các gói và cố gắng bảo vệ hệ thống, nhưng cho đến khi bạn bắt gặp một tin tặc đang đào sâu và làm những điều mà họ không thể làm, để tìm ra những rủi ro mà mọi người đã bỏ qua, các công ty không biết rủi ro của họ là gì. "
Mục tiêu của De Metz là tìm ra lỗ hổng trước kẻ xấu - mối đe dọa ngày càng tăng đối với các doanh nghiệp thuộc mọi quy mô. Theo Nghiên cứu về Chi phí Vi phạm Dữ liệu năm 2017 do cơ quan bảo mật của IBM tài trợ, 60% doanh nghiệp vừa và nhỏ bị tấn công mỗi năm. Điều tồi tệ hơn là trong số các doanh nghiệp đó, 60% đóng cửa trong vòng sáu tháng sau cuộc tấn công. Chi phí trung bình trên toàn cầu cho một lần vi phạm là 3,62 triệu đô la.
Nhưng tin tức trở nên tồi tệ hơn. Theo nghiên cứu của Check Point Software Technologies , trong sáu tháng đầu năm 2021, số lượng doanh nghiệp bị ảnh hưởng bởi các cuộc tấn công bằng ransomware - những doanh nghiệp được cài đặt phần mềm độc hại chặn quyền truy cập vào mạng cho đến khi "trả tiền chuộc" - tăng hơn gấp đôi so với năm 2020. . Và báo cáo Mandiant M-Trends 2021 của FireEye đã phát hiện 800 nỗ lực tống tiền trong đó dữ liệu công ty đã bị đánh cắp từ ngày 1 tháng 10 năm 2019 đến ngày 30 tháng 9 năm 2020.
Cổ phần rất cao
Đó là lý do tại sao ngày càng có nhiều tổ chức thuê người kiểm tra khả năng thâm nhập, còn được gọi là hacker mũ trắng (một cách gọi tắt theo nghĩa đen của biểu tượng điện ảnh phương Tây giữa thế kỷ 20), như de Metz để cố ý đột nhập vào hệ thống của họ.
De Metz giải thích: “Nó giống như một chính sách bảo hiểm. "Ví dụ, nếu họ được đánh giá ransomware và tự cấy vào cơ thể mình, chẳng hạn, điều đó giúp các công ty tiết kiệm hàng tháng trời đau đầu và mất doanh thu do không thể kinh doanh."
Lý do khác mà các tổ chức trả tiền để bị tấn công là để đảm bảo rằng họ đáp ứng các tiêu chuẩn quy định mạnh mẽ hơn. Các tổ chức chăm sóc sức khỏe, tài chính và tổ chức chính phủ, trong số những tổ chức khác, phải đáp ứng các quy định về an ninh mạng của liên bang, tiểu bang và ngành , vì việc hack ngày càng phổ biến và tốn kém hơn.
An ninh mạng là vật lý và kỹ thuật
Khi mọi người nghĩ về hack, họ thường nghĩ về một kiểm lâm đơn độc tấn công dữ liệu cá nhân của một công ty từ sự an toàn của tầng hầm tối của mẹ họ. Tuy nhiên, những người kiểm tra thâm nhập xem xét cả khía cạnh vật lý và kỹ thuật của chương trình bảo mật của tổ chức, vì vậy họ tấn công từ bên trong chính tổ chức đó.
“Các công ty không muốn để lại bất cứ thứ gì trên bàn, đó có thể là một phần của điểm yếu về tư thế,” de Metz nói. "Chúng tôi kiểm tra các biện pháp kiểm soát vật lý; chúng tôi có thể truy cập vào một tòa nhà, vượt qua an ninh, đi qua cửa sau không? Chúng tôi có thể truy cập vào các tệp vật lý không? Chúng tôi có thể vào các khu vực mà các công ty in thẻ tín dụng hoặc thẻ quà tặng không?" Đây là những điều quan trọng, vật lý mà de Metz chỉ ra, ngoài khía cạnh kỹ thuật, như truy cập mạng hoặc dữ liệu nhạy cảm.
Anh ấy cũng đưa ra lời khuyên, chẳng hạn như đề xuất cho các chương trình đào tạo nhân viên để những người như giám sát viên mà anh ấy gặp biết cách xác minh những người được cho là có mặt trong tòa nhà. Hoặc, phải làm gì nếu họ không nhận ra ai đó (thay vì bắt đầu theo đuổi toàn cửa hàng ngay cả khi điều đó tạo nên một câu chuyện hay). "Chúng tôi rất vui khi làm việc này, nhưng chúng tôi cũng cung cấp rất nhiều giá trị cho khách hàng."
Cách thức hoạt động của thử nghiệm thâm nhập
Người kiểm tra khả năng thâm nhập phải có kiến thức chi tiết về công nghệ và điều đó đi kèm với kinh nghiệm, không chỉ là các công cụ ưa thích. "Kiểm tra thâm nhập là sự hiểu biết và tương tác với công nghệ - biết cách thức hoạt động của công nghệ. Đó là một phương pháp luận và có thể sắp xếp một công cụ phù hợp với nó, nhưng nó không chỉ đơn giản là về tập lệnh hoặc công cụ."
Khi de Metz đã ở bên trong một hệ thống, anh ta sẽ tìm kiếm ba điều: anh ta có thể đăng nhập ở đâu, phiên bản phần mềm nào đang được sử dụng và hệ thống có được định cấu hình chính xác hay không. "Chúng tôi có thể đoán mật khẩu không? Chúng tôi có thể tìm một số cách khác để truy cập thông tin đăng nhập không? Có thể phần mềm đã lỗi thời và có một cách khai thác, vì vậy chúng tôi cố gắng khai thác một số mã ransomware chống lại nó để thử và giành quyền truy cập vào hệ thống". anh ta nói. "Một số điều có thể được tìm thấy trong một cuộc kiểm toán, nhưng chúng tôi cũng đang tìm thấy những điều mà [tổ chức] chưa nghĩ đến."
Việc thâm nhập đi sâu hơn so với kiểm tra mạng và đó là một điểm khác biệt quan trọng. Một cuộc kiểm toán hỏi, chương trình bảo mật có được tuân thủ không? Thử nghiệm thâm nhập hỏi, chương trình có hoạt động không?
Những người kiểm tra khả năng thâm nhập xem xét nó từ một cái nhìn tổng quát về chiến lược bảo mật. Vấn đề có thể không đơn giản như phần mềm lỗi thời, mà là toàn bộ chiến lược bảo mật cần được cải thiện. Đó là những gì de Metz phát hiện ra.
Nhiều doanh nghiệp vừa và nhỏ phải vật lộn để tài trợ cho các cơ sở hạ tầng an ninh tốt. Tuy nhiên, hack mũ trắng đang trở nên phổ biến hơn với các tổ chức chịu trách nhiệm về dữ liệu cá nhân, như Facebook, được biết đến với việc khuyến khích tin tặc mũ trắng thông qua Chương trình tiền thưởng lỗi của họ, để tìm ra lỗ hổng trong hệ thống của họ.
De Metz cũng đã nói trên podcast với một số câu chuyện ấn tượng nhất của mình về thử nghiệm thâm nhập. Mục tiêu của anh ấy là gấp đôi: giải trí cho người nghe bằng những câu chuyện hoang đường, nhưng quan trọng hơn là làm nổi bật giá trị của thử nghiệm thâm nhập - và điều gì đang bị đe dọa nếu các công ty không làm vậy. Bạn có thể không bao giờ nhìn thấy chúng, không bao giờ biết chúng ở đó, nhưng những người kiểm tra khả năng thâm nhập giúp giữ cho doanh nghiệp an toàn và khách hàng, giống như bạn, cũng an toàn hơn.
Bây giờ điều đó thật thú vị
Tin tặc mũ đen và mũ trắng không phải là những kẻ duy nhất xâm nhập vào hệ thống kinh doanh. Tin tặc "mũ xám" làm mờ ranh giới giữa hack "tốt và xấu" bằng cách đột nhập vào hệ thống để tiết lộ lỗ hổng mà không được phép, và sau đó đôi khi yêu cầu một khoản phí nhỏ để khắc phục sự cố.
