今年の初め、国際的なサイバー ギャング Lapsus$ が主要なテクノロジー ブランドを攻撃したとき、 サムスン、Microsoft、Nvidia、およびパスワード マネージャー 、多くのサイバー犯罪者にとって倫理的な一線が越えられたようです。
彼らのあいまいな基準でさえ、侵害の範囲、引き起こされた混乱、および関連する企業のプロファイルは、あまりにも多すぎました. そのため、サイバー犯罪コミュニティは、グループに関する情報を漏らして Lapsus$ を罰するために集まりました。この動きは、最終的に彼らの逮捕と 崩壊.
結局、泥棒には名誉があるのでしょうか? さて、誤解しないでください。 これはサイバー犯罪者をけなすものではありませんが、少なくともいくつかの専門的なコードが守られていることを示しています。
これは、より広範な法を遵守するハッキング コミュニティに疑問を投げかけます: 私たちは独自の倫理的行動規範を持つべきでしょうか? もしそうなら、それはどのように見えるでしょうか?
倫理的ハッキングとは何ですか?
まず、倫理的なハッキングを定義しましょう。 これは、開発者が見落としている可能性のある脆弱性やセキュリティ上の欠陥を見つけるために、善意でコンピューター システム、ネットワーク、インフラストラクチャ、またはアプリケーションを評価するプロセスです。 本質的には、悪者よりも先に弱点を見つけて組織に警告することで、評判や財務上の大きな損失を回避できます。
倫理的ハッキングには、少なくとも、侵入を試みる対象である企業または組織の知識と許可が必要です。
活動が倫理的なハッキングと見なされるための XNUMX つの指針を次に示します。
ハック・トゥ・セキュア
企業のセキュリティを評価するためにやってくる倫理的でホワイトハットなハッカーは、システムだけでなく、レポートや情報処理プロセスにも脆弱性を探します。 これらのハッカーの目標は、脆弱性を発見し、詳細な洞察を提供し、安全な環境を構築するための推奨事項を作成することです。 最終的に、彼らは組織をより安全にすることを目指しています。
責任を持ってハッキングする
ハッカーは、会社が許可しているアクセスの範囲と、彼らが行っている作業の範囲を明確に概説して、許可を得ていることを確認する必要があります. これはとても重要です。 ターゲットの知識と明確な範囲は、ハッカーが何か警戒すべきことを発見した場合に、偶発的な侵害を防ぎ、確実なコミュニケーション ラインを確立するのに役立ちます。 責任、タイムリーなコミュニケーション、およびオープン性は、遵守すべき重要な倫理原則であり、ハッカーをサイバー犯罪者や他のセキュリティ チームと明確に区別します。
すべてを文書化
すべての優れたハッカーは、評価中に行ったすべてのことを詳細に記録し、すべてのコマンドとツールの出力をログに記録します。 何よりもまず、これは自分自身を守るためです。 たとえば、侵入テスト中に問題が発生した場合、雇用主はまずハッカーに目を向けます。 システムの悪用であれ、マルウェアのスキャンであれ、実行された活動のタイムスタンプ付きのログを持つことは、ハッカーが彼らに敵対するのではなく、彼らと協力していることを組織に思い出させることによって、組織に安心感を与えます.
良いメモは、物事の倫理的および法的側面を支持します。 また、主要な調査結果がない場合でも、ハッカーが作成するレポートの基礎にもなります。 メモを使用すると、特定した問題、問題を再現するために必要な手順、およびそれらを修正する方法に関する詳細な提案を強調することができます。
コミュニケーションをアクティブに保つ
オープンでタイムリーなコミュニケーションは、契約で明確に定義する必要があります。 アセスメント全体を通してコミュニケーションを維持することが重要です。 評価の実行中は常に通知することをお勧めします。 評価の実行時間を記載した毎日の電子メールは不可欠です。
ハッカーは、見つけたすべての脆弱性をクライアントの担当者にすぐに報告する必要はないかもしれませんが、外部侵入テスト中に重大で目を見張るような欠陥にフラグを立てる必要があります。 これは、悪用可能な認証されていない RCE または SQLi、悪意のあるコードの実行、または機密データ開示の脆弱性である可能性があります。 これらに遭遇すると、ハッカーはテストを中止し、電子メールで書面による脆弱性通知を発行し、電話でフォローアップします。 これにより、ビジネス側のチームは、必要に応じて問題を一時停止してすぐに修正することができます。 数週間後に報告書が発行されるまで、この規模の欠陥を放置するのは無責任です。
ハッカーは、進行中に発見した主要な問題や進行状況を、主な連絡先に知らせておく必要があります。 これにより、最終レポートの前に全員が問題を認識できるようになります。
ハッカーの考え方を持つ
ハッキングという用語は、情報セキュリティの重要性が高まる前から使用されていました。 意図しない方法で物事を使用することを意味します。 このために、ハッカーはまず、システムの意図されたすべてのユースケースを理解しようとし、そのすべてのコンポーネントを考慮に入れます。
ハッカーは、この考え方を発展させ続け、学習を決して止めてはなりません。 これにより、防御と攻撃の両方の観点から考えることができ、これまでに経験したことのないものを見るときに役立ちます。 ベスト プラクティスを作成し、ターゲットを理解し、攻撃パスを作成することで、ハッカーは驚くべき結果をもたらすことができます。
