אבטחה באמצעות ערפול

מה שאתה לא יודע יכול לפגוע בך

אם הדלת הקדמית לבית שלך מכוסה על ידי שיחים ועצים, האם זה אומר שאתה לא צריך לנעול אותו? זהו סוג של בסיס האבטחה על ידי חשאיות. ביסודו של דבר, הביטחון על ידי חשאיות מסתמך על העובדה כי פגיעות נתון מוסתר או סוד כאמצעי אבטחה. כמובן, אם מישהו או משהו בטעות מגלה את הפגיעות, לא קיימת הגנה של ממש כדי למנוע ניצול.

יש כאלה בתחום cybersecurity וארגונים ממשלתיים המעדיפים לשמור את הטריקים ואת העצות של האקרים וקרקרים בסוד. הם מרגישים כי כדי לחלוק את הידע היא המקבילה של עידוד האקרים זדוניים חדשים קרקרים לנסות את הטכניקות למטרות לא מוסריות ולא מוסרי. הם מאמינים כי על ידי שמירה על הטריקים והטכניקות מחוץ לרשות הציבור כי הם להגן על העולם בכללותו.

אנחנו נוטים יותר להסכים עם הצד שמאמין גילוי מלא של טריקים וטכניקות מציע את האפשרות הטובה ביותר של להיות מסוגל להגן עליהם או לבטל אותם לחלוטין. כדי להניח כי הביטחון על ידי ערפול מציעה הגנה היא להניח כי אין אדם אחר בעולם יכול לגלות את הפגמים או פגיעויות אותו. זה נראה כמו הנחה של טיפש.

העובדה שאתה לא יכול לדעת איך להפעיל אקדח לא יעצור אדם לא מוסרי או לא מוסרי מי יודע איך להשתמש באקדח לפגוע בך. באופן דומה, לא לדעת איך האקרים טכניקות עבודה לא יגן עליך מפני אדם לא מוסרי או לא מוסרי מי יודע את הטריקים והטכניקות מפני פריצה למערכת המחשב שלך או גרימת נזק זדוני אחר לרשת או למחשב.

אתיקה מול ידע

מה שמפריד בין הגנבים מהבלשים לבין האקרים של מנהלי הביטחון הוא אתיקה, לא ידע. אתה חייב לדעת את האויב שלך כדי להכין הגנה נאותה. האקרים הלבנים של העולם הם בעלי ידע זהה לזה של האקרים השחורים של העולם - הם פשוט בוחרים להשתמש בידע שלהם למטרות אתיות ולא בפעילויות זדוניות או בלתי חוקיות.

חלק האקרים Whitehat יש המשיך על עסקים כמו יועצי אבטחה או חברות טופס המוקדש לעזור לחברות אחרות להגן על עצמם מפני האקרים blackhat של העולם. במקום ליישם את הידע שלהם על פעילות בלתי חוקית, כי ייתכן או לא יכול להרוויח כסף מהיר, אבל בהחלט יהיה לנחות אותם בכלא, הם בוחרים ליישם את הידע שלהם לעשות מה שהם אוהבים לעשות תוך ביצוע הרבה כסף עושה את זה מבחינה משפטית .

חלק מהאנשים האלה גם לעשות מה שהם יכולים לחלוק את הטיפים, טריקים, וטכניקות המשמשות את האקרים ו crackers עם שאר העולם כדי ללמד אותם כיצד להגן על עצמם גם כן. ג'ורג 'קורץ וסטיוארט מקלאור ייסדו את חברת האבטחה Foundstone (שנרכשה מאוחר יותר על ידי McAfee). אלה שני אבטחת מידע ותיקים יחד עם יואל Scambray, יועץ אבטחת IT לחברות Fortune 50, חיבר את הספר הנמכר ביותר לאבטחת מחשבים Hacking Exposed, שוחרר במהדורה השישית שלו ומקורו בסדרת האקרים המצליחים מאוד.

המהדורה ה -6 של פריצה חשופים שוחרר לאחרונה. פריצה חשוף גם הוליד סדרה מוצלחת מאוד של אחרים פריצה חשופים כותרים: פריצה חשופים - אלחוטי, פריצה חשופים - לינוקס, פריצה חשופים - מחשב פלילי, ועוד. יש גם ספרים דומים של מחברים אחרים כגון Hack Attacks Revealed על ידי ג 'ון Chirillo ו Counter Hack Reloaded על ידי אד סקודיס.

פריצה חשופים נחשב על ידי רבים להיות הספר הטוב ביותר בנושא. שלושת האדונים האלה, עם תרומות של מומחים רבים אחרים בתחום אבטחת המידע (שרובם עובדים גם עבור Foundstone), הכינו מדריך מקיף לשיטות, לטריקים ולטכנולוגיה המשמשים את האקרים לפרוץ לרשת או למחשב.

בהקדמה לספר פטריק חים, סגן נשיא אנטרפרייז סקיוריטי עבור מק'קסון קורפוריישן, כותב "עכשיו, כי האמנות השחורה של פריצה כבר demonized, הייתי טוען כי הוא חיוני עבור אנשים הממונים אחראי על תכנון, בנייה ותחזוקה של מידע תשתית שתהיה מודעת לחלוטין לאיומים האמיתיים שהמערכות שלהם יצטרכו להדוף ".

כאשר אתה רואה רופא, אתה מצפה מהם לאבחן כראוי את הסימפטומים שלך ולקבוע את הבעיה האמיתית לפני מתן ייעוץ או תרופות מרשם. כדי לעשות זאת, הרופא צריך להיות מודע לחלוטין האיומים השונים הגוף שלך עלול להיתקל ומה הם אמצעי יעיל נגד אלה איומים ספציפיים.

בדיוק כמו בלש צריך לחשוב כמו גנב כדי לתפוס גנב, רופא חייב לדעת איך וירוסים ומחלות לעבוד ולהתנהג כדי לאבחן ולנטרל אותם, אנו מצפים מומחה אבטחה מידע להיות מומחה באמצעות טריקים, כלים וטכניקות הם מתבקשים להתגונן. רק עם הידע הזה אנחנו יכולים באמת לצפות שמישהו יוכל להגן כראוי מפני האקרים וכדי לזהות מתי ואיך חדירה התרחשה אם, למעשה, הרשת שלך נפגעת.

בורות היא לא אושר. אבטחה באמצעות אלמוניות לא עובד. זה רק אומר כי הרעים יודעים דברים שאתה לא ינצל את הבורות שלך לכל מלוא ההזדמנות שהם מקבלים.