올해 초 국제 사이버 갱단인 Lapsus$가 다음을 포함한 주요 기술 브랜드를 공격했습니다. 삼성, Microsoft, Nvidia 및 비밀번호 관리자 Okta, 많은 사이버 범죄자들이 윤리적 선을 넘은 것처럼 보였습니다.
모호한 기준에도 불구하고 침해의 정도, 이로 인한 혼란, 관련 기업의 프로필은 너무 컸습니다. 그래서 사이버 범죄 커뮤니티는 그룹에 대한 정보를 유출하여 Lapsus$를 처벌하기 위해 힘을 합쳤고, 이로 인해 결국 체포되고 분산.
그렇다면 결국 도둑들 사이에도 명예가 있는 것일까요? 오해하지 마세요. 이는 사이버범죄자들을 꾸짖는 것이 아니지만 적어도 일부 전문적인 규정이 준수되고 있음을 나타냅니다.
법을 준수하는 더 넓은 해킹 커뮤니티에 대한 질문이 제기되는 것은 바로 우리 자신의 윤리적 행동 강령이 있어야 하는가입니다. 그렇다면 그것은 어떤 모습일까요?
윤리적 해킹이란 무엇입니까?
먼저 윤리적 해킹을 정의해 보겠습니다. 개발자가 간과했을 수 있는 취약점과 보안 결함을 찾기 위해 좋은 의도로 컴퓨터 시스템, 네트워크, 인프라 또는 애플리케이션을 평가하는 프로세스입니다. 본질적으로, 악당이 공격하기 전에 약점을 찾아 조직에 경고함으로써 큰 평판이나 금전적 손실을 피할 수 있습니다.
윤리적인 해킹에는 최소한 침입 시도의 대상이 되는 기업이나 조직의 지식과 허가가 필요합니다.
윤리적 해킹으로 간주되는 활동에 대한 5가지 다른 지침 원칙은 다음과 같습니다.
보안을 위한 해킹
회사의 보안을 평가하기 위해 오는 윤리적이고 화이트 해커는 시스템뿐만 아니라 보고 및 정보 처리 프로세스에서도 취약점을 찾습니다. 이러한 해커의 목표는 취약점을 발견하고, 자세한 통찰력을 제공하며, 안전한 환경 구축을 위한 권장 사항을 제시하는 것입니다. 궁극적으로 그들은 조직을 더욱 안전하게 만들기 위해 노력하고 있습니다.
책임감 있게 해킹하세요
해커는 회사가 제공하는 액세스 범위와 수행하는 작업의 범위를 명확하게 설명하면서 권한이 있는지 확인해야 합니다. 이건 매우 중요합니다. 대상 지식과 명확한 범위는 우발적인 손상을 방지하고 해커가 경고 사항을 발견할 경우 견고한 통신 라인을 구축하는 데 도움이 됩니다. 책임, 시기적절한 의사소통, 개방성은 준수해야 할 중요한 윤리 원칙이며 해커를 사이버 범죄자 및 나머지 보안 팀과 명확하게 구분합니다.
모든 것을 문서화
모든 훌륭한 해커는 평가 중에 수행하는 모든 작업을 자세히 기록하고 모든 명령 및 도구 출력을 기록합니다. 무엇보다도 이것은 자신을 보호하기 위한 것입니다. 예를 들어, 침투 테스트 중에 문제가 발생하면 고용주는 먼저 해커를 찾아볼 것입니다. 시스템을 악용하거나 맬웨어를 검색하는 등 수행된 활동에 대한 타임스탬프 로그가 있으면 해커가 조직에 대항하는 것이 아니라 조직과 협력한다는 사실을 조직에 상기시켜 마음의 평화를 얻을 수 있습니다.
좋은 메모는 사물의 윤리적, 법적 측면을 뒷받침합니다. 이는 또한 주요 결과가 없더라도 해커가 작성하는 보고서의 기초이기도 합니다. 메모를 통해 식별한 문제, 문제를 재현하는 데 필요한 단계, 문제 해결 방법에 대한 자세한 제안 사항을 강조할 수 있습니다.
커뮤니케이션을 활발하게 유지하세요
개방적이고 시기적절한 의사소통은 계약서에 명확하게 정의되어야 합니다. 평가 전반에 걸쳐 의사소통을 유지하는 것이 중요합니다. 좋은 방법은 평가가 실행될 때 항상 알리는 것입니다. 평가 실행 시간이 포함된 일일 이메일은 매우 중요합니다.
해커는 발견한 모든 취약점을 고객 담당자에게 즉시 보고할 필요는 없지만 외부 침투 테스트 중에 치명적이고 눈에 띄는 결함을 표시해야 합니다. 이는 악용 가능한 인증되지 않은 RCE 또는 SQLi, 악성 코드 실행 또는 민감한 데이터 공개 취약점일 수 있습니다. 이러한 문제가 발생하면 해커는 테스트를 중단하고 이메일을 통해 서면 취약점 알림을 발행한 후 전화로 후속 조치를 취합니다. 이를 통해 비즈니스 팀은 원하는 경우 즉시 문제를 일시 중지하고 해결할 수 있습니다. 몇 주 후 보고서가 발표될 때까지 이 정도 규모의 결함을 그대로 방치하는 것은 무책임합니다.
해커는 진행 상황과 진행하면서 발견한 주요 문제를 주요 연락 담당자에게 알려야 합니다. 이를 통해 모든 사람이 최종 보고서에 앞서 모든 문제를 인지할 수 있습니다.
해커 사고방식을 가져라
해킹이라는 용어는 정보 보안의 중요성이 커지기 전부터 사용되었습니다. 그것은 단지 의도하지 않은 방식으로 물건을 사용하는 것을 의미합니다. 이를 위해 해커는 먼저 시스템의 모든 의도된 사용 사례를 이해하고 모든 구성 요소를 고려하려고 합니다.
해커는 이러한 사고방식을 계속 개발해야 하며 학습을 멈추지 않아야 합니다. 이를 통해 방어적인 관점과 공격적인 관점 모두에서 생각할 수 있으며 이전에 경험하지 못한 것을 볼 때 유용합니다. 해커는 모범 사례를 만들고, 대상을 이해하고, 공격 경로를 만들어 놀라운 결과를 얻을 수 있습니다.
