Siber güvenlik uzmanları kimi tehdit ögelerini yahut dış tarafları düşman olarak görüyor. Lakin bu zihniyeti sorgulamak gerekiyor zira dış tarafların nasıl düşündüğünü ve çalıştığını anlarsanız kuruluşunuzu onlara karşı daha düzgün koruyabilirsiniz. Dünya çapındaki işletmeler bunu göz önünde bulundurarak güvenlik altyapılarını test etmek ve daha güçlü, sağlam güvenlik uygulamaları geliştirmek için hackerlara yöneliyor.
Penetrasyon (sızma) testlerini güvenlik politikalarınıza entegre etmeden evvel, farklı hacker cinslerini anlamanız ehemmiyet taşıyor. Her kümenin farklı motivasyonları var ve hangi marifetlerinin kuruluşunuzun faydası için kullanılabileceğinden emin olmalısınız. Amazon Web Services, Güvenlik, Uzman Tahlil Mimarı Esteban Hernandez, çeşitli hacker kümelerinin farklılıklarını açıklıyor.
Siyah şapkalı
Siyah şapkalı hackerlar, ferdî yahut finansal yarar motivasyonu ile hareket eden siber suçlulardır. Bu siber hatalılar genç amatör hackerlardan, belli bir hedefi olan tecrübeli bireyler ya da takımlara kadar çeşitlilik gösterebilir. Lakin son yıllarda kimi siyah şapkalı hackerlar, siber marifetlerini kuruluşları korumak için kullanmaya yöneldi. Bunun bir örneği, Savunma Bakanlığı bilgisayarına girdiğinde yalnızca on altı yaşında olan Condor lakaplı Kevin Mitnick’tir. Bu ve öteki birçok hücum yüzünden Mitnick beş buçuk yıl mahpus yattı. Özgür bırakıldıktan sonra, müşterileri için penetrasyon testleri yapan Mitnick Güvenlik Danışmanlığı şirketini kurdu.
Daha evvel siyah şapkalı olan bir hacker ile çalışıp çalışmamak olağan ki bir tartışma konusu. F5 Networks’teki kıdemli tehdit evangelisti David Warburton da dahil olmak üzere birtakım bireyler, eski hackerların işe alınmasının tehdit ortamının şuurunda ve bir adım önünde kalmak için kritik olduğuna inanıyor. Öteki yandan, kimileri da bu kümenin kurumsal sistemlere ve müşteri bilgilerine erişmesine müsaade vermekten kaygı duyuyor. Fakat ikinci küme, hackerlarla çalışma konusunda diğer yaklaşımları da göz önünde bulundurmalıdır.
Beyaz şapkalı
Genellikle etik hackerlar olarak isimlendirilen beyaz şapkalı hackerlar kuruluşların güvenlik savunmalarındaki açıkları tespit etmek için kullanılır. Siyah şapkalı hackerlar ile birebir metodları kullanmalarına karşın bu kümenin yaptıkları, kuruluşun müsaadesi ile hareket ettikleri için büsbütün yasaldır. Bilgilerini kuruluşun güvenlik savunmasını kırmanın yollarını bulmak için kullanırlar ve güvenlik takımları ile birlikte çalışarak öbürleri keşfetmeden evvel problemleri çözerler.
General Motors ve Starbucks da dahil olmak üzere dünyadaki en büyük kuruluşların birden fazla, yanlışlarını bulmak ve proaktif olarak güvenliklerini artırmak için beyaz şapkalı hackerlara yöneliyor. Beyaz şapka hackerlığı, teknik hünerlere sahip beşerler için farklı ve çıkarlı bir meslek yolu sunabilir. Beyaz şapka hackerlarının oynadığı rolün kıymetine dikkat çekmek, daha fazla yetenekli insanı siyah şapka hackerı olmak yerine olumlu bir yola yönelmeye teşvik edebilir.
Yeni yeteneklerin yetiştirilmesi
Yeni jenerasyon beyaz şapkalı hackerları bulmak, teşvik etmek ve desteklemek için birçok program bulunuyor. Bunun örneklerinden biri, AWS tarafından desteklenen, gençlere beyaz şapkalı olmayı öğretmeyi amaçlayan bir konferans olan r00tz Asylum. İştirakçiler hackerların nasıl çalıştığını ve siber güvenlik uzmanlarının hackerlara karşı nasıl savunma yaptığını öğreniyor. Burada maksat, teknik uzmanlığa sahip insanları bu uzmanlıklarını mesleklerinde uyguna kullanmaya teşvik etmek. Siber güvenlik profesyoneli olmak isteyenlere bilgi ve marifet kazandırarak, güvenliği daha en başından temele dahil edebilirler. AWS, r00tz’a verdiği takviye ile güvenlikle ilgilenen gençlere inançlı bir öğrenme ortamı ve mentorlara erişim sağlayarak, yeni jenerasyonların gelişimine yardımcı oluyor.
Sağlam temeller üzerine inşa etmek
Müşterilerin itimadını sağlamak ve bilgileri korumaktan sorumlu olanlar için güvenlik konusuna uçtan uca bir yaklaşım sergilemek değerli. Gördüğümüz üzere etik hackerlar ile çalışmak, kuruluşunuzun güvenlik durumunu siber hatalıların bakış açısından ele alarak güvenlik açıklarını tespit etmek ve gidermek için kullanılan güçlü bir prosedür. Bununla birlikte, güvenliğin bir kuruluşun tüm altyapısına işlenmesi gerektiğini bilmek de kıymetli. Burada bir bulut platformu ile iştirak kurmak çok yararlı olabilir zira en düzgün bulut platformları riske en hassas kuruluşların muhtaçlıklarını karşılamak için geliştirildi. Bulut platformları tıpkı vakitte güvenlik değerlendirmeleri, tehdit algılama ve siyaset idaresini proaktif olarak yönetebilen otomatik güvenlik hizmetleri de sunuyor. Bu platformlar bunları yaparken, etik hackerlar da dahil olmak üzere güvenlik uzmanları için ağır yüklerin birçoklarını üstleniyor.
Kaynak: (BHA) – Beyaz Haber Ajansı