系列| 编码
黑客透露他如何抢劫银行

在渗透测试中,像杰森·e·斯特利这样的白帽黑客会被雇佣来故意破坏一家企业。这是怎么做的。

关注YouTube

当涉及到组织的网络安全时,有时候了解你的弱点的唯一方法就是利用它们。这可以通过一种独特的社会工程形式来实现渗透测试-这暴露了系统最大的弱点:操作系统的人。

研究人员已经证明一些最成功的入侵不是由复杂的人执行的网络攻击反对技术本身。令人惊讶的是,黑客们往往可以通过一个剪贴板和一个微笑获得更有价值的信息。这就是为什么渗透测试是如此有价值的练习。

什么是渗透测试?

渗透测试是一种道德黑客行为。组织使用渗透测试来识别和纠正其计算机系统、网络和应用程序中的安全弱点。

每个组织都有自己的一组安全风险,因此没有两个渗透测试是完全相同的。但是这个过程的主要结构包括收集关于组织弱点的信息,确定潜在的入口点,并尝试突破。

简而言之,好人试图在坏人有机会之前揭露潜在的问题。想想尼古拉斯·凯奇在电影中窃取了《独立宣言》国家宝藏.他做这件事不是因为他想做;他这么做是为了保护它。

同样的概念也适用于渗透测试。收集有关安全漏洞的信息,然后将这些信息传递给组织的管理团队,以确保制定战略措施,消除任何未来入侵的机会。

钢笔测试是如何进行的?

理想情况下,由受过训练的人每年进行一次贯入测试(也称为“笔测试”)白帽黑客-某人用他们的黑客的能力。这些道德黑客使用与黑帽黑客(坏人)相同的攻击方法,但有一个关键区别:他们受雇于系统所有者,并在获得许可的情况下执行攻击。

渗透测试人员通常使用自动化工具,如Nmap和Wireshark它能快速扫描软件,找出可能破坏整个系统的漏洞。许多这些工具还根据漏洞的严重性对其进行分类,并生成可用于提高安全性的详细日志。

可以运行几种类型的模拟攻击。在有针对性的测试中,组织的IT团队与pentester协同工作,并使用“亮灯”的方法——组织中的每个人都可以看到测试的运行。

然后还有盲测试,整个组织中只有一到两个人知道正在进行测试。这可以通过执行“黑盒测试”进一步进行,在黑盒测试中,测试人员不会预先从组织收到任何有用的信息,比如IP地址。

测试可以是内部的,也可以是外部的。外部测试是针对组织的可见资产进行的,例如他们的电子邮件和web服务器。内部测试模拟来自内部的威胁,这些威胁可能来自具有访问权限的用户。

每一项技术都让负责保护网络系统的员工面临考验。一旦它们完成,真正的工作就可以开始了。

《笔尖上的一天

穿孔镜不会像詹姆斯·邦德那样穿着燕尾服,在雷射光束下翻筋斗,或者躲在墙后。他们往往是普通的男人和女人,穿着普通的衣服或西装,融入人群,就像普通人一样。

杰森街是其中之一。作为一名白帽黑客,他使用各种技术来暴露系统的漏洞,多年来他一直是渗透测试的大师。他是抢劫银行在贝鲁特他还入侵了波士顿的保险机构,甚至侵入了美国财政部。

只要你说得出来,杰森街可能已经闯进去了。在他的大部分工作中,他都穿着牛仔裤和运动衫。他是最著名的渗透测试人员在全球的企业和组织中,使用任何从兔子到橡皮鸭“粘蜜罐”,菠萝作为他的“办公设备”。

但斯特里特与众不同的地方让他在笔测试字段。他不像许多其他渗透测试者那样,只是简单地写一份报告,详细描述暴露出来的漏洞,而是更进一步。在工作结束时,斯特里特希望能真正做到让她的老公知道这样他就可以直接教育那些被他伤害的人。

他解释说:“工作的前两天,我会成为公司或公司有史以来最糟糕的事情。但在最后一天,我会想方设法被抓住。”我是唯一能做到这一点的人,因为我想和每一个被我伤害过的人谈谈,告诉他们哪里出了问题,并教育他们未来该怎么做。”

斯特里特的任务是通过教育来阻止黑客犯罪。他的工作不仅帮助了世界各地无数的企业,也帮助了与他打交道的个人,通过教导他们关于可能危及家庭生活的威胁。

他相信渗透测试的力量和有效性,因为他亲眼目睹了它的工作。斯特里特说:“我参加过的最好的约会之一就是今年。”“前一年,我对这家公司进行了测试,今年,他们抓住了我。好几次了。这表明我去年做的工作是有成效的。”

街道证明了黑客可以被用来做好事.虽然他可以用几个小谎和一个USB驱动器轻而易举地侵入他们的系统,这可能会让许多组织感到震惊,但最好在坏人得到机会之前暴露安全问题。

“当你生活在垃圾箱大火中,你有两个选择。去拿棉花糖,看着它燃烧,或者试着把它扑灭。”这就是我的动力所在。不仅向人们展示它的缺陷,还向人们展示如何让它变得更好。”

订阅到Freethink了解更多信息伟大的故事