Siber güvenlik uzmanları birtakım tehdit ögelerini yahut dış tarafları düşman olarak görüyor. Fakat bu zihniyeti sorgulamak gerekiyor zira dış tarafların nasıl düşündüğünü ve çalıştığını anlarsanız kuruluşunuzu onlara karşı daha güzel koruyabilirsiniz. Dünya çapındaki işletmeler bunu göz önünde bulundurarak güvenlik altyapılarını test etmek ve daha güçlü, sağlam güvenlik uygulamaları geliştirmek için hackerlara yöneliyor.
Penetrasyon (sızma) testlerini güvenlik politikalarınıza entegre etmeden evvel, farklı hacker cinslerini anlamanız kıymet taşıyor. Her kümenin farklı motivasyonları var ve hangi maharetlerinin kuruluşunuzun faydası için kullanılabileceğinden emin olmalısınız. Amazon Web Services, Güvenlik, Uzman Tahlil Mimarı Esteban Hernandez, çeşitli hacker kümelerinin farklılıklarını açıklıyor.
Siyah şapkalı
Siyah şapkalı hackerlar, şahsî yahut finansal kar motivasyonu ile hareket eden siber suçlulardır. Bu siber hatalılar genç amatör hackerlardan, belli bir maksadı olan tecrübeli bireyler ya da gruplara kadar çeşitlilik gösterebilir. Lakin son yıllarda birtakım siyah şapkalı hackerlar, siber marifetlerini kuruluşları korumak için kullanmaya yöneldi. Bunun bir örneği, Savunma Bakanlığı bilgisayarına girdiğinde yalnızca on altı yaşında olan Condor lakaplı Kevin Mitnick’tir. Bu ve öbür birçok taarruz yüzünden Mitnick beş buçuk yıl mahpus yattı. Hür bırakıldıktan sonra, müşterileri için penetrasyon testleri yapan Mitnick Güvenlik Danışmanlığı şirketini kurdu.
Daha evvel siyah şapkalı olan bir hacker ile çalışıp çalışmamak alışılmış ki bir tartışma konusu. F5 Networks’teki kıdemli tehdit evangelisti David Warburton da dahil olmak üzere kimi şahıslar, eski hackerların işe alınmasının tehdit ortamının şuurunda ve bir adım önünde kalmak için kritik olduğuna inanıyor. Öteki yandan, kimileri da bu kümenin kurumsal sistemlere ve müşteri datalarına erişmesine müsaade vermekten tasa duyuyor. Fakat ikinci küme, hackerlarla çalışma konusunda diğer yaklaşımları da göz önünde bulundurmalıdır.
Beyaz şapkalı
Genellikle etik hackerlar olarak isimlendirilen beyaz şapkalı hackerlar kuruluşların güvenlik savunmalarındaki açıkları tespit etmek için kullanılır. Siyah şapkalı hackerlar ile birebir metodları kullanmalarına karşın bu kümenin yaptıkları, kuruluşun müsaadesi ile hareket ettikleri için büsbütün yasaldır. Bilgilerini kuruluşun güvenlik savunmasını kırmanın yollarını bulmak için kullanırlar ve güvenlik takımları ile birlikte çalışarak diğerleri keşfetmeden evvel meseleleri çözerler.
General Motors ve Starbucks da dahil olmak üzere dünyadaki en büyük kuruluşların birçok, yanlışlarını bulmak ve proaktif olarak güvenliklerini artırmak için beyaz şapkalı hackerlara yöneliyor. Beyaz şapka hackerlığı, teknik marifetlere sahip beşerler için enteresan ve çıkarlı bir meslek yolu sunabilir. Beyaz şapka hackerlarının oynadığı rolün kıymetine dikkat çekmek, daha fazla yetenekli insanı siyah şapka hackerı olmak yerine olumlu bir yola yönelmeye teşvik edebilir.
Yeni yeteneklerin yetiştirilmesi
Yeni jenerasyon beyaz şapkalı hackerları bulmak, teşvik etmek ve desteklemek için birçok program bulunuyor. Bunun örneklerinden biri, AWS tarafından desteklenen, gençlere beyaz şapkalı olmayı öğretmeyi amaçlayan bir konferans olan r00tz Asylum. İştirakçiler hackerların nasıl çalıştığını ve siber güvenlik uzmanlarının hackerlara karşı nasıl savunma yaptığını öğreniyor. Burada hedef, teknik uzmanlığa sahip insanları bu uzmanlıklarını mesleklerinde güzele kullanmaya teşvik etmek. Siber güvenlik profesyoneli olmak isteyenlere bilgi ve marifet kazandırarak, güvenliği daha en başından temele dahil edebilirler. AWS, r00tz’a verdiği takviye ile güvenlikle ilgilenen gençlere inançlı bir öğrenme ortamı ve mentorlara erişim sağlayarak, yeni kuşakların gelişimine yardımcı oluyor.
Sağlam temeller üzerine inşa etmek
Müşterilerin itimadını sağlamak ve bilgileri korumaktan sorumlu olanlar için güvenlik konusuna uçtan uca bir yaklaşım sergilemek kıymetli. Gördüğümüz üzere etik hackerlar ile çalışmak, kuruluşunuzun güvenlik durumunu siber hatalıların bakış açısından ele alarak güvenlik açıklarını tespit etmek ve gidermek için kullanılan güçlü bir sistem. Bununla birlikte, güvenliğin bir kuruluşun tüm altyapısına işlenmesi gerektiğini bilmek de değerli. Burada bir bulut platformu ile paydaşlık kurmak çok yararlı olabilir zira en güzel bulut platformları riske en hassas kuruluşların muhtaçlıklarını karşılamak için geliştirildi. Bulut platformları birebir vakitte güvenlik değerlendirmeleri, tehdit algılama ve siyaset idaresini proaktif olarak yönetebilen otomatik güvenlik hizmetleri de sunuyor. Bu platformlar bunları yaparken, etik hackerlar da dahil olmak üzere güvenlik uzmanları için ağır yüklerin birçoklarını üstleniyor.
Kaynak: (BHA) – Beyaz Haber Ajansı