บริษัทต่างๆ จ่ายเงินให้ผู้ชายคนนี้เพื่อบุกเข้าไปในเครือข่ายและสำนักงานของพวกเขา

Dec 16 2021

Asher de Metz ได้รับการว่าจ้างให้บุกเข้าไปในธุรกิจ เรียกว่าการทดสอบการเจาะระบบ และสิ่งที่เขาพบสามารถช่วยบริษัทต่างๆ ได้หลายล้านดอลลาร์จากการโจมตีทางอินเทอร์เน็ต

Asher de Metz ทำงานเป็นผู้ทดสอบการเจาะระบบ ซึ่งหมายความว่าบริษัทต่างๆ จ้างเขาเพื่อทดสอบความปลอดภัยของเครือข่ายและอาคารของพวกเขา ใช่ เขาถูกจ้างให้บุกเข้าไปทั้งสองอย่าง งา / Getty Images

Asher de Metzเดินผ่านประตูหน้าของซูเปอร์มาร์เก็ต ที่แขวนอยู่ข้างๆ เขา แทนที่กระเป๋าช้อปปิ้งที่นำกลับมาใช้ใหม่ได้ คือกระเป๋าแล็ปท็อปแบบแยกชิ้น De Metz ไม่ได้ซื้อของชำ – นี่เป็นการบุกเข้ามา แต่ทั้ง การตรวจสอบผู้ซื้อ อะโวคาโดหรือพนักงานเก็บเงินที่รูดบัตรเครดิตไม่ทราบว่าพวกเขาถูกโจมตี

De Metz เดินผ่านร้านและพบห้องที่เรียงรายไปด้วยผู้คนที่คอมพิวเตอร์ มันเป็นช่วงฝึกซ้อม สถานที่ที่สมบูรณ์แบบสำหรับการผสมผสาน ดังนั้น เขาจึงนั่งลงและจี้เครื่อง

"ฉันเพิ่งเข้าไปและถอดสายเคเบิลออกจากด้านหลังของเครื่องใดเครื่องหนึ่งแล้วเสียบเข้ากับแล็ปท็อป" เดอ เมตซ์กล่าว "ฉันกำลังแฮ็คอยู่พักหนึ่งและสามารถเข้าถึงระบบและฐานข้อมูลได้อย่างรวดเร็วจากห้องนั้น"

ในการแสวงหา 'แฮ็กเกอร์' อย่างร้อนแรง

ไม่นานหลังจากนั้น ผู้ฝึกสอนก็เข้าหาเดอเมตซ์ เธอเป็นคนสุภาพแต่ไม่แน่ใจเกี่ยวกับเขา "ฉันมาจากสำนักงานใหญ่" เดอ เมตซ์อธิบาย เพื่อติดตั้งการอัปเดตบางอย่าง เขาบอกกับเธอ เรื่องนี้ทำให้เธอสงบลงได้ไม่กี่นาที แต่เธอตัดสินใจนำผู้บังคับบัญชามาดูแล

นั่นคือตอนที่เดอเมตซ์คิดว่าถึงเวลาต้องออกไปแล้ว “ฉันปิดทุกอย่างแล้วเริ่มออกเดินทาง” เดอ เมตซ์เล่า แต่ครูฝึกกลับรู้สึกร้อนรน "ฉันเดินขึ้นบันไดไป แต่น่าเสียดาย เมื่อฉันผลักประตูออกไป สัญญาณเตือนภัยก็ดับลง"

การไล่ล่ายังคงดำเนินต่อไปตามเสียงเพลงเตือนความปลอดภัยที่ส่งเสียงดัง และเสียงกรีดร้องครั้งสุดท้ายเมื่อเทรนเนอร์คร่ำครวญไปทั่วร้านว่า "นั่นมันเขา! พนักงานซูเปอร์มาร์เก็ตอีกคนเข้าหาเดอเมตซ์ แต่เดอเมตซ์ก็พร้อม เขามีโฟลเดอร์มะนิลาที่มีใบสั่งงานประดิษฐ์

เขาบอกพวกเขาว่าเขามาจากบริษัทและมีการแฮ็กระบบของร้านค้า อย่างร้ายแรง "คุณรู้ไหมว่าเมื่อคืนนี้มีการละเมิดเครือข่ายของคุณ มีคนขโมยเงินหลายล้านคน" “ไม่” ผู้บังคับบัญชากล่าว "ฉันไม่มีความคิดเห็น." ทั้งคู่ตกลงที่จะรับสายในช่วงบ่ายของวันนั้นเพื่อหลีกเลี่ยงไม่ให้คนเข้าใจผิดเนื่องจากการละเมิดความปลอดภัยทางไซเบอร์อย่างร้ายแรง

ส่วนหนึ่งของเรื่องราวของเดอเมตซ์กับผู้จัดการซูเปอร์มาร์เก็ตนั้นเป็นความจริง เขาได้รับการว่าจ้างให้อยู่ที่ซูเปอร์มาร์เก็ต - โดยผู้นำของซูเปอร์มาร์เก็ต อย่างไรก็ตาม แฮ็คเดียวที่เกิดขึ้นคือคนเดียวที่เดอเมตซ์ทำเอง และเขาไม่ได้ขโมยค่าเล็กน้อย เขาได้รับการว่าจ้างเพื่อดูว่าเขาสามารถเจาะระบบของซูเปอร์มาร์เก็ตได้ ไกลแค่ไหน และในกรณีนี้ เขาไปได้ไกล ตอนนี้เขามีข้อมูลที่เป็นประโยชน์ที่จะแบ่งปันกับทีมผู้นำเกี่ยวกับวิธีทำให้การรักษาความปลอดภัยมีประสิทธิภาพและปลอดภัยยิ่งขึ้นสำหรับพนักงานและลูกค้า

ผู้ทดสอบการเจาะระบบบางคน เช่น Asher de Metz ได้รับการฝึกฝนให้เจาะระบบและผสมผสานในการประชุมขององค์กรและเซสชันการฝึกอบรม เพื่อดูว่าพวกเขาสามารถเจาะเข้าไปในคอมพิวเตอร์ได้หรือไม่ และหัวหน้างานจะสังเกตเห็นการมีอยู่ของพวกเขาหรือไม่

เหตุใดธุรกิจจึงยอมจ่ายเงินเพื่อถูกแฮ็ก

De Metz เป็นผู้จัดการอาวุโสที่ปรึกษาด้านความปลอดภัยที่Sungard Availability Servicesซึ่งเป็นบริษัทจัดการบริการด้านไอทีระดับโลก เขามีประสบการณ์มากกว่า 20 ปีในฐานะผู้ทดสอบการเจาะระบบ — นั่นคือสิ่งที่เรียกว่า — และได้ให้คำแนะนำที่ทรงคุณค่าแก่บริษัทที่ใหญ่ที่สุดในโลกบางแห่งทั่วสหราชอาณาจักร ยุโรป ตะวันออกกลาง และอเมริกาเหนือ

"เหตุผลที่บริษัทต่างๆ มีการทดสอบการเจาะระบบ" เดอ เมตซ์กล่าว "เพราะพวกเขาไม่รู้ว่าพวกเขาไม่รู้อะไร คุณอาจมีทีมไอทีหรือทีมรักษาความปลอดภัยภายในที่ดี ซึ่งกำลังติดตั้งแพ็คเกจและพยายามรักษาความปลอดภัยให้กับระบบ แต่จนกระทั่ง คุณจะได้แฮ็กเกอร์ในนั้นที่ขุดคุ้ยและทำสิ่งที่พวกเขาไม่ควรจะทำ เพื่อค้นหาความเสี่ยงที่ผู้คนมองข้ามไป บริษัทต่างๆไม่รู้ว่าความเสี่ยงของพวกเขาคืออะไร"

เป้าหมายของ De Metz คือการหาช่องโหว่ก่อนคนร้าย ซึ่งเป็นภัยคุกคามที่เพิ่มขึ้นสำหรับธุรกิจทุกขนาด จากรายงานCost of Data Breach Study ประจำปี 2560ซึ่งได้รับการสนับสนุนจากความปลอดภัยของ IBM พบว่า 60% ของธุรกิจขนาดกลางและขนาดย่อมถูกโจมตีในแต่ละปี ที่แย่กว่านั้นคือธุรกิจเหล่านั้น 60% ปิดประตูภายในหกเดือนหลังจากการโจมตี ต้นทุนเฉลี่ยทั่วโลกของการ ละเมิด เพียงครั้งเดียวคือ 3.62 ล้านดอลลาร์

แต่ข่าวกลับแย่ลง ในช่วงหกเดือนแรกของปี 2021 จำนวนธุรกิจที่ได้รับผลกระทบจากการโจมตีของแรนซัมแวร์ — ที่มีการติดตั้งซอฟต์แวร์ที่เป็นอันตรายซึ่งบล็อกการเข้าถึงเครือข่ายจนกว่าจะมีการจ่ายเงิน "ค่าไถ่" — เพิ่มขึ้นกว่าเท่าตัวเมื่อเทียบกับปี 2020 ตามการวิจัยโดย Check Point Software Technologies . และรายงาน Mandiant M-Trends 2021 ของ FireEye พบว่ามีการพยายามกรรโชก 800 ครั้ง ซึ่งข้อมูลบริษัทถูกขโมยระหว่างวันที่ 1 ต.ค. 2019 ถึง 30 ก.ย. 2020

เงินเดิมพันสูงมาก

นั่นเป็นเหตุผลที่องค์กรจำนวนมากขึ้นเรื่อยๆ จ้างผู้ทดสอบการเจาะระบบ หรือที่เรียกว่าแฮกเกอร์ หมวกขาว (ปลายหมวกตามตัวอักษรไปจนถึงสัญลักษณ์ภาพยนตร์ตะวันตกช่วงกลางศตวรรษที่ 20) เช่น เดอ เมตซ์ เพื่อเจาะระบบโดยตั้งใจ

"มันเหมือนกับกรมธรรม์ประกันภัย หากบริษัทต่างๆ ใช้จ่ายเงินเพื่อรักษาความปลอดภัยในตอนนี้ ก็จะช่วยประหยัดจาก 10 ดอลลาร์หรือ 100 ล้านดอลลาร์ มันจะเสียค่าใช้จ่ายหากพวกเขาถูกละเมิด" เดอ เมตซ์อธิบาย "หากพวกเขาได้รับการประเมินค่าแรนซัมแวร์และฉีดวัคซีนให้ตัวเอง จะช่วยประหยัดเวลาให้บริษัทต่างๆ ที่ปวดหัวและสูญเสียรายได้จากการไม่สามารถทำธุรกิจได้"

อีกเหตุผลหนึ่งที่องค์กรจ่ายเงินเพื่อถูกแฮ็กคือต้องแน่ใจว่าได้ปฏิบัติตามมาตรฐานการกำกับดูแลที่เข้มงวดยิ่งขึ้น การดูแลสุขภาพ องค์กรทางการเงิน และสถาบันของรัฐ และอื่นๆ ต้องปฏิบัติตามระเบียบข้อบังคับด้านความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง รัฐ และอุตสาหกรรมเนื่องจากการแฮ็กกลายเป็นเรื่องธรรมดาและมีค่าใช้จ่ายสูง

การรักษาความปลอดภัยทางไซเบอร์เป็นเรื่องทางกายภาพและทางเทคนิค

เมื่อมีคนคิดถึงการแฮ็ก พวกเขามักจะนึกถึงแรนเจอร์คนเดียวที่โจมตีข้อมูลส่วนตัวของบริษัทจากความปลอดภัยของห้องใต้ดินอันมืดมิดของแม่ อย่างไรก็ตาม ผู้ทดสอบการเจาะระบบจะพิจารณาทั้งด้านกายภาพและด้านเทคนิคของโปรแกรมความปลอดภัยขององค์กร ดังนั้นพวกเขาจึงแฮ็คจากภายในองค์กรเอง

"บริษัทไม่ต้องการทิ้งอะไรไว้บนโต๊ะ ซึ่งอาจเป็นส่วนหนึ่งของจุดอ่อนของท่าทาง" เดอ เมตซ์กล่าว "เราทดสอบการควบคุมทางกายภาพ เราสามารถเข้าถึงอาคาร ผ่านระบบรักษาความปลอดภัย ผ่านประตูหลังได้หรือไม่ เราสามารถเข้าถึงไฟล์ทางกายภาพได้หรือไม่ เราสามารถเข้าไปในพื้นที่ที่บริษัทพิมพ์บัตรเครดิตหรือบัตรของขวัญได้หรือไม่" สิ่งเหล่านี้เป็นสิ่งที่มีความสำคัญทางกายภาพที่เมตซ์ชี้ให้เห็น นอกเหนือจากด้านเทคนิค เช่น การเข้าถึงเครือข่ายหรือข้อมูลที่ละเอียดอ่อน

เขาให้คำแนะนำเช่นกัน เช่น คำแนะนำสำหรับโปรแกรมการฝึกอบรมพนักงาน เพื่อให้คนอย่างหัวหน้างานที่เขาพบทราบวิธีตรวจสอบบุคคลที่ควรจะอยู่ในอาคาร หรือจะทำอย่างไรถ้าจำใครไม่ได้ "เราสนุกกับการทำสิ่งนี้มาก แต่เรายังมอบคุณค่าให้กับลูกค้าอีกด้วย"

หากความคิดของคุณเกี่ยวกับแฮ็กเกอร์คือใครบางคนนั่งอยู่หน้าคอมพิวเตอร์ในห้องใต้ดินที่มืดมิด ให้คิดใหม่ วันนี้พวกเขาซับซ้อนกว่าที่เคย

วิธีการทดสอบการเจาะทะลุ

ผู้ทดสอบการเจาะจะต้องมีความรู้ด้านเทคโนโลยีอย่างละเอียด และมีประสบการณ์ ไม่ใช่แค่เครื่องมือแฟนซีเท่านั้น "การทดสอบการเจาะระบบคือการทำความเข้าใจและการโต้ตอบกับเทคโนโลยี การรู้ว่าเทคโนโลยีควรจะทำงานอย่างไร มันเป็นวิธีการและอาจจัดวางเครื่องมือให้เข้ากับเทคโนโลยี แต่ไม่ใช่แค่เกี่ยวกับสคริปต์หรือเครื่องมือ"

เมื่อเดอเมตซ์อยู่ในระบบแล้ว เขามองหาสามสิ่ง: เขาจะเข้าสู่ระบบได้ที่ไหน ซอฟต์แวร์เวอร์ชันใดที่ใช้งานอยู่ และการกำหนดค่าระบบอย่างถูกต้องหรือไม่ "เราเดารหัสผ่านได้ไหม เราสามารถหาวิธีอื่นในการเข้าถึงการเข้าสู่ระบบได้หรือไม่ บางทีซอฟต์แวร์อาจล้าสมัยและมีช่องโหว่ ดังนั้นเราจึงพยายามใช้ประโยชน์จากโค้ดแรนซัมแวร์เพื่อพยายามเข้าถึงระบบ" เขาพูดว่า. "บางสิ่งสามารถพบได้ในการตรวจสอบ แต่เรายังพบสิ่งที่ [องค์กร] ไม่ได้นึกถึง"

การรุกล้ำลึกกว่าการตรวจสอบเครือข่าย และนั่นคือความแตกต่างที่สำคัญ การตรวจสอบถามว่ามีการปฏิบัติตามโปรแกรมความปลอดภัยหรือไม่? การทดสอบการเจาะระบบถามว่าโปรแกรมทำงานหรือไม่

ผู้ทดสอบการเจาะจะมองจากมุมสูงของกลยุทธ์ด้านความปลอดภัย ปัญหาอาจไม่ง่ายเหมือนซอฟต์แวร์ที่ล้าสมัย แต่เป็นกลยุทธ์ด้านความปลอดภัยทั้งหมดที่ต้องปรับปรุง นั่นคือสิ่งที่เดอเมตซ์ค้นพบ

ธุรกิจขนาดเล็กและขนาดกลางจำนวนมากประสบปัญหาในการระดมทุนโครงสร้างพื้นฐานด้านความปลอดภัยที่มีรากฐานมาเป็นอย่างดี อย่างไรก็ตาม การแฮ็กหมวกขาวกำลังเป็นที่นิยมมากขึ้นในองค์กรที่รับผิดชอบข้อมูลส่วนบุคคล เช่น Facebook ซึ่งเป็นที่รู้จักในเรื่องการจูงใจให้แฮกเกอร์หมวกขาวผ่านโปรแกรม Bug Bountyเพื่อค้นหาช่องโหว่ในระบบของตน

De Metz ยังได้พูดในพอดคาสต์ด้วยเรื่องราวที่น่าทึ่งที่สุดของเขาเกี่ยวกับการทดสอบการเจาะระบบ เป้าหมายของเขามี 2 ประการ คือ เพื่อสร้างความบันเทิงให้ผู้ฟังด้วยเรื่องราวที่ไม่คาดฝัน แต่ที่สำคัญกว่านั้นคือการเน้นย้ำถึงคุณค่าของการทดสอบการเจาะระบบ และอะไรคือความเสี่ยงหากบริษัทต่างๆ ไม่ทำ คุณอาจไม่เคยเห็นพวกเขา ไม่เคยรู้ว่าพวกเขาอยู่ที่นั่น แต่ผู้ทดสอบการเจาะระบบช่วยให้ธุรกิจปลอดภัย และลูกค้าเช่นคุณปลอดภัยยิ่งขึ้นด้วย