هک چیست؟ راهنمای جامع شناخت هکرها، انگیزه‌ها و هک اخلاقی

در دنیای امروز که زندگی، کسب‌وکار و ارتباطات ما بیش از هر زمان دیگری به سامانه‌های دیجیتال وابسته شده‌اند، امنیت سایبری به یکی از مهم‌ترین دغدغه‌های سازمان‌ها و کاربران تبدیل شده است. در این میان، واژه‌ی «هک» گاهی با برداشت‌های منفی و گاهی با مفاهیم تخصصی و حرفه‌ای همراه است؛ اما در واقع، هک تنها به سوءاستفاده و تخریب محدود نمی‌شود، بلکه می‌تواند ابزاری برای شناخت ضعف‌ها، پیشگیری از حملات و تقویت امنیت نیز باشد. آشنایی با مفهوم هک، انواع هکرها، انگیزه‌های آن‌ها و همچنین هک اخلاقی، به ما کمک می‌کند تا نگاه دقیق‌تر و آگاهانه‌تری نسبت به تهدیدات سایبری و راهکارهای مقابله با آن‌ها داشته باشیم.

هک چیست؟

هک در حوزه امنیت رایانه به بهره‌برداری از آسیب‌پذیری‌های سیستم و دور زدن یا نقض کنترل‌های امنیتی به‌منظور دستیابی غیرمجاز یا نامناسب به منابع سیستم اطلاق می‌شود. این فرایند شامل تغییر ویژگی‌های سیستم یا برنامه‌های کاربردی برای دستیابی به هدفی خارج از مقصود اولیه سازنده آن‌ها است. هک می‌تواند با هدف سرقت، دستبرد یا توزیع مجدد مالکیت فکری انجام شود که در نتیجه منجر به زیان‌های تجاری می‌گردد.

هک در شبکه‌های رایانه‌ای معمولاً با استفاده از اسکریپت‌ها یا سایر ابزارهای برنامه‌نویسی شبکه انجام می‌شود. از جمله تکنیک‌های هک شبکه می‌توان به ایجاد ویروس‌ها و کرم‌ها، اجرای حملات منع سرویس، برقراری اتصالات دسترسی از راه دور غیرمجاز به یک دستگاه با استفاده از تروجان‌ها یا درهای پشتی، ایجاد بات‌نت‌ها، شنود بسته‌ها، فیشینگ و شکستن گذرواژه اشاره کرد. انگیزه هک می‌تواند سرقت اطلاعات یا خدمات حیاتی، هیجان، چالش فکری، کنجکاوی، آزمایش، کسب دانش، منفعت مالی، اعتبار، قدرت، جلب توجه همتایان، انتقام‌جویی و کینه‌توزی و سایر دلایل باشد.

هکر کیست؟

آکادمی لیان

هکر فردی است که بدون مجوز به یک سیستم یا شبکه نفوذ می‌کند تا آن را تخریب کند، داده‌های حساس را سرقت نماید، یا حملات مخرب انجام دهد. هکر معمولاً فردی باهوش است که مهارت‌های بالایی در حوزه علوم رایانه دارد و قادر است نرم‌افزار و سخت‌افزار رایانه را تحلیل، کاوش و دست‌کاری کند. به‌طور معمول، هکر یک مهندس یا برنامه‌نویس ماهر است که دانش کافی در زمینه‌های مختلف فناوری اطلاعات دارد. این افراد معمولاً در حوزه کاری خود متخصص بوده و از یادگیری جزئیات زبان‌های مختلف برنامه‌نویسی و سامانه‌های رایانه‌ای لذت می‌برند.

برای برخی از هکرها، هک کردن نوعی سرگرمی است تا ببینند تا چه اندازه قادرند سیستم‌ها یا شبکه‌های مختلف را مورد نفوذ قرار دهند. هدف آن‌ها ممکن است صرفاً کسب دانش باشد یا انجام اقدامات غیرقانونی از روی کنجکاوی. در مقابل، برخی دیگر با نیت‌های مخرب به فعالیت‌های خود مشغول‌اند؛ مانند سرقت داده‌های تجاری، اطلاعات کارت‌های اعتباری، شماره‌های تأمین اجتماعی، و گذرواژه‌های ایمیل کاربران.

هکرها و انگیزه‌های آن‌ها

هکرها معمولاً بر اساس نوع فعالیت و اهدافشان در یکی از دسته‌های زیر قرار می‌گیرند:

۱. بچه اسکریپتی‌ها

اسکریپت‌کیدی‌ها هکرهای فاقد مهارت هستند که با اجرای اسکریپت‌ها، ابزارها و نرم‌افزارهایی که توسط هکرهای حرفه‌ای توسعه یافته‌اند، اقدام به نفوذ در سیستم‌ها می‌کنند. آنان بیشتر بر کمیت حملات تمرکز دارند تا کیفیت آن‌ها. این نوع هکرها معمولاً هدف مشخص یا انگیزه خاصی ندارند و صرفاً برای جلب توجه، کسب شهرت، یا نمایش مهارت‌های فنی خود دست به حمله می‌زنند.

۲. هکرهای کلاه سفید

هکرهای کلاه سفید یا تست‌نفوذگران افرادی هستند که مهارت‌های هک را برای اهداف دفاعی به کار می‌گیرند. امروزه تقریباً در هر سازمانی کارشناسان امنیتی وجود دارند که با شناخت روش‌های هک و پیاده‌سازی راهکارهای مقابله‌ای، شبکه و سامانه‌های اطلاعاتی سازمان را در برابر حملات مخرب ایمن می‌کنند. این افراد با مجوز رسمی صاحب سیستم فعالیت دارند.

۳. هکرهای کلاه سیاه

هکرهای کلاه سیاه افرادی هستند که از مهارت‌های برجسته رایانه‌ای خود برای مقاصد غیرقانونی یا مخرب استفاده می‌کنند. این دسته از هکرها اغلب در فعالیت‌های مجرمانه مشارکت دارند و با عنوان کرکرها نیز شناخته می‌شوند.

۴. هکرهای کلاه خاکستری

هکرهای کلاه خاکستری در دوره‌های مختلف به صورت تهاجمی و تدافعی فعالیت می‌کنند. آن‌ها ممکن است به هکرهای دیگر در کشف آسیب‌پذیری‌های موجود در یک سیستم یا شبکه کمک کنند، و در عین حال برای بهبود امنیت محصولات نرم‌افزاری یا سخت‌افزاری از طریق بررسی محدودیت‌ها و نقاط ضعف، با شرکت‌ها همکاری نمایند.

۵. هکتیویست‌ها

هکتیویسم نوعی فعال‌گرایی (Activism) است که در آن هکرها با نفوذ به سیستم‌های رایانه‌ای دولتی یا سازمانی، اقدامی اعتراضی انجام می‌دهند. هکتیویست‌ها از توانایی‌های هک برای افزایش آگاهی عمومی نسبت به اهداف اجتماعی یا سیاسی خود و گاه برای افزایش شهرت شخصی در فضای آنلاین و آفلاین استفاده می‌کنند. آنان معمولاً با تغییر ظاهر یا از کار انداختن وب‌سایت‌ها به بیان دیدگاه‌های سیاسی خود می‌پردازند. در برخی موارد، هکتیویست‌ها داده‌های محرمانه را استخراج کرده و برای افشای عمومی منتشر می‌سازند.

اهداف رایج هکتیویست‌ها شامل نهادهای دولتی، مؤسسات مالی، شرکت‌های چندملیتی و سایر سازمان‌هایی است که از نظر آنان تهدید محسوب می‌شوند.

صرف‌نظر از نیت یا انگیزه هکتیویست‌ها، دسترسی غیرمجاز به سیستم‌ها همواره یک جرم محسوب می‌شود.

  1. هکرهای دولتی

هکرهای دولتی افراد ماهر و متخصص در زمینه نفوذ و هک هستند که توسط دولت‌ها استخدام می‌شوند تا به سیستم‌های اطلاعاتی سایر دولت‌ها یا سازمان‌های نظامی نفوذ کنند، اطلاعات فوق‌سری را به دست آورند، و در مواردی باعث تخریب زیرساخت‌های اطلاعاتی دشمن شوند. هدف اصلی این نوع عاملان تهدید، شناسایی آسیب‌پذیری‌های زیرساخت‌های ملی، بهره‌برداری از آن‌ها، و جمع‌آوری اطلاعات حساس یا اطلاعات جاسوسی است.

  1. تروریست‌های سایبری

تروریست‌های سایبری افرادی با طیف وسیعی از مهارت‌های فنی هستند که با انگیزه‌های دینی یا سیاسی اقدام به ایجاد ترس و آشفتگی در مقیاس گسترده از طریق حمله به شبکه‌های رایانه‌ای می‌کنند. هدف آن‌ها ایجاد اختلال گسترده در زیرساخت‌های حیاتی و ایجاد رعب در جامعه هدف است.

  1. جاسوسان سازمانی یا صنعتی

جاسوسان صنعتی افرادی هستند که در زمینه جاسوسی شرکتی فعالیت می‌کنند و با نفوذ غیرقانونی به سازمان‌های رقیب، اطلاعات حیاتی و محرمانه را سرقت می‌نمایند. تمرکز اصلی آن‌ها بر سرقت اطلاعاتی نظیر نقشه‌های طراحی، فرمول‌ها، طرح‌های محصول و اسرار تجاری است. این عاملان تهدید معمولاً از حملات پایدار پیشرفته (Advanced Persistent Threats – APTs) برای نفوذ به شبکه استفاده می‌کنند و ممکن است تا سال‌ها بدون شناسایی در محیط هدف باقی بمانند.

در برخی موارد، این افراد از تاکتیک‌های مهندسی اجتماعی برای سرقت اطلاعات حساس مانند برنامه‌های توسعه، راهبردهای بازاریابی یا داده‌های مالی شرکت هدف استفاده می‌کنند که نتیجه آن می‌تواند زیان مالی قابل‌توجه و آسیب به اعتبار سازمان باشد.

  1. هکرهای کلاه آبی

کلاه‌آبی‌ها متخصصان امنیت سایبریِ قراردادی هستند که توسط سازمان‌ها استخدام می‌شوند تا سیستم‌ها یا نرم‌افزارها را از نظر وجود آسیب‌پذیری‌ها ارزیابی کنند. آن‌ها ارزیابی امنیتی، تست نفوذ و تحلیل آسیب‌پذیری انجام می‌دهند تا اطمینان حاصل شود که نقاط ضعف پیش از آنکه توسط عاملان مخرب مورد سوءاستفاده قرار گیرند، شناسایی و برطرف شده‌اند.

  1. هکرهای کلاه قرمز

کلاه‌قرمزها مانند هکرهای کلاه سیاه از تاکتیک‌های تهاجمی استفاده می‌کنند، اما هدفشان خنثی‌سازی تهدیدها پیش از ایجاد خسارت است. آن‌ها علاوه بر شناسایی و گزارش آسیب‌پذیری‌ها، اقدامات فعالانه برای نابود کردن فعالیت‌های کلاه‌سیاه‌ها انجام می‌دهند و اغلب فراتر از دفاع صرف عمل می‌کنند. رویکردشان از نظر هدف به کلاه‌سفیدها نزدیک است، اما برای مقابله با هکرهای مخرب از قواعد اخلاقی استاندارد پیروی نمی‌کنند.

  1. هکرهای کلاه سبز

کلاه‌سبزها افرادی هستند که انگیزه آن‌ها تبدیل شدن به متخصصان حرفه‌ای در حوزه امنیت سایبری است. آن‌ها زمان زیادی را صرف مطالعه و تمرین هک اخلاقی می‌کنند و هدفشان تقویت امنیت است، نه ایجاد آسیب.

  1. هکرهای انتحاری

هکرهای انتحاری افرادی‌اند که قصد دارند زیرساخت‌های حیاتی را برای یک «هدف» یا باور خاص از کار بیندازند و نگران پیامدهایی مانند زندان یا مجازات‌های دیگر نیستند. این افراد مشابه عاملان انتحاری عمل می‌کنند که برای انجام حمله از جان خود می‌گذرند و بنابراین نسبت به عواقب کار خود بی‌تفاوت‌اند.

  1. تیم‌های هکری

تیم هکری یک مجموعه یا ائتلاف از هکرهای ماهر است که منابع و بودجه اختصاصی خود را دارند. آن‌ها به‌صورت هماهنگ کار می‌کنند تا فناوری‌های پیشرفته را پژوهش کنند، آسیب‌پذیری‌ها را کشف کنند، ابزارهای پیچیده توسعه دهند و حملات را با برنامه‌ریزی دقیق اجرا کنند.

  1. افراد داخلی

افراد داخلی فردی داخل یک سازمان (معمولاً کارمند یا شخص مورد اعتماد) است که به دارایی‌های حیاتی آن سازمان دسترسی دارد. تهدیدات داخلی زمانی رخ می‌دهد که این فرد از سطح دسترسی ویژه خود برای نقض قوانین یا ایجاد آسیب عمدی به اطلاعات یا سامانه‌های سازمان استفاده کند.

افراد داخلی به‌راحتی می‌توانند قوانین امنیتی را دور بزنند، منابع ارزشمند را خراب کنند یا به داده‌های حساس دسترسی یابند. تهدیدات داخلی معمولاً از کارمندان ناراضی، کارمندان اخراج‌شده، یا کارکنان آموزش‌ندیده ناشی می‌شود.

  1. ۱۵. باندهای تبهکاری: باندهای تبهکاری گروه‌هایی از افراد یا جوامع هستند که در فعالیت‌های مجرمانه سازمان‌یافته، برنامه‌ریزی‌شده و طولانی‌مدت مشارکت دارند. آن‌ها قربانیان را در حوزه‌های قضایی مختلف در اینترنت مورد سوءاستفاده قرار می‌دهند و همین امر یافتن آن‌ها را دشوار می‌کند. هدف اصلی این عوامل تهدید، اختلاس غیرقانونی پول از طریق اجرای حملات سایبری پیچیده و فعالیت‌های پول‌شویی است.
  2. هکرهای سازمان‌یافته: هکرهای سازمان‌یافته گروهی از هکرها هستند که به‌صورت مشترک در فعالیت‌های مجرمانه کار می‌کنند. چنین گروه‌هایی در قالب ساختاری سلسله‌مراتبی متشکل از رهبران و مجریان، به‌خوبی سازمان‌دهی شده‌اند. این گروه همچنین می‌تواند چندین لایه مدیریتی داشته باشد. این هکرها افراد شرور یا مجرمان حرفه‌ای هستند که از دستگاه‌های خود استفاده نمی‌کنند؛ بلکه برای انجام انواع حملات سایبری به‌منظور دستبرد زدن به پول قربانیان و فروش اطلاعات آن‌ها به بالاترین پیشنهاددهنده، از دستگاه‌های اجاره‌ای یا بات‌نت‌ها و خدمات کرایم‌ور استفاده می‌کنند. آن‌ها همچنین می‌توانند مالکیت فکری، اسرار تجاری و برنامه‌های بازاریابی را به کلاهبرداری به‌دست آورند؛ به‌صورت مخفیانه به شبکه هدف نفوذ کنند؛ و برای دوره‌های طولانی بدون شناسایی باقی بمانند.

مفاهیم هک اخلاقی

یک هکر اخلاقی فرآیندهایی مشابه با هکر مخرب را دنبال می‌کند. مراحل دستیابی به دسترسی به یک سیستم رایانه‌ای و حفظ آن، صرف‌نظر از نیت هکر، مشابه هستند.

این بخش مروری بر هک اخلاقی، ضرورت انجام هک اخلاقی، دامنه و محدودیت‌های هک اخلاقی، و مهارت‌های موردنیاز یک هکر اخلاقی ارائه می‌دهد.

هک اخلاقی چیست؟

هک اخلاقی به به‌کارگیری مهارت‌های رایانه‌ای و شبکه با هدف کمک به سازمان‌ها برای آزمودن امنیت شبکه‌هایشان از نظر وجود حفره‌ها و آسیب‌پذیری‌های احتمالی گفته می‌شود. کلاه‌سفیدها که با عنوان تحلیلگران امنیت یا هکرهای اخلاقی نیز شناخته می‌شوند، افرادی یا متخصصانی هستند که هک اخلاقی را انجام می‌دهند. امروزه بسیاری از سازمان‌ها (مانند شرکت‌های خصوصی) برای کمک به تقویت امنیت سایبری خود، کلاه‌سفیدها را استخدام می‌کنند. آن‌ها با کسب مجوز از مالک شبکه یا سیستم و بدون قصد ایجاد آسیب، عملیات هک را به‌صورت اخلاقی انجام می‌دهند. هکرهای اخلاقی تمام آسیب‌پذیری‌ها را برای رفع و اصلاح به مالک سیستم و شبکه گزارش می‌دهند و از این طریق امنیت سیستم‌های اطلاعاتی سازمان را افزایش می‌دهند. هک اخلاقی شامل استفاده از ابزارها، ترفندها و تکنیک‌های هک است که معمولاً توسط مهاجمان به کار گرفته می‌شوند تا وجود آسیب‌پذیری‌های قابل بهره‌برداری در امنیت سیستم را بررسی و تأیید کنند.

امروزه واژه «هک» به‌طور نزدیک با فعالیت‌های غیرقانونی و غیراخلاقی مرتبط دانسته می‌شود. با توجه به اینکه دسترسی غیرمجاز به هر سیستمی یک جرم محسوب می‌شود، همچنان بحث‌هایی درباره این موضوع وجود دارد که آیا هک می‌تواند اخلاقی باشد یا خیر. تعاریف زیر را در نظر بگیرید:

اسم «هکر» به فردی اشاره دارد که از یادگیری جزئیات سیستم‌های رایانه‌ای و گسترش قابلیت‌های آن‌ها لذت می‌برد.

فعل «هک کردن» به توسعه سریع برنامه‌های جدید یا مهندسی معکوس نرم‌افزارهای موجود برای بهبود آن‌ها یا افزایش کارایی‌شان به روش‌های نوآورانه و خلاقانه اشاره دارد.

اصطلاحات « Cracker» و «مهاجم» به افرادی اطلاق می‌شود که مهارت‌های هک خود را برای اهداف تهاجمی به کار می‌گیرند.

اصطلاح «هکر اخلاقی» به متخصصان امنیتی اطلاق می‌شود که مهارت‌های هک خود را برای اهداف دفاعی به کار می‌گیرند.

بیشتر شرکت‌ها متخصصان فناوری اطلاعات را استخدام می‌کنند تا سیستم‌های خود را از نظر آسیب‌پذیری‌های شناخته‌شده بررسی و ارزیابی کنند. اگرچه این کار یک اقدام سودمند است، اما کرکرها معمولاً به آسیب‌پذیری‌های جدیدتر و کمتر شناخته‌شده علاقه دارند و به همین دلیل، این بررسی‌های استاندارد و قالب‌محور برای مقابله کافی نیستند. یک شرکت به فردی نیاز دارد که بتواند مانند یک کرکر فکر کند، با جدیدترین آسیب‌پذیری‌ها و ابزارهای سوءاستفاده آشنا باشد و آسیب‌پذیری‌های احتمالی را در جایی که دیگران نمی‌توانند شناسایی کنند، تشخیص دهد. این نقش متعلق به هکر اخلاقی است.

هکرهای اخلاقی معمولاً از همان ابزارها و تکنیک‌هایی استفاده می‌کنند که هکرها به کار می‌برند، با این تفاوت مهم که آن‌ها به سیستم آسیب نمی‌رسانند. آن‌ها امنیت سیستم را ارزیابی می‌کنند، مدیران سیستم را در مورد هرگونه آسیب‌پذیری کشف‌شده مطلع می‌سازند و رویه‌هایی برای رفع این آسیب‌پذیری‌ها توصیه می‌کنند.

تفاوت مهم بین هکرهای اخلاقی و کرکرها در رضایت و موافقت است. کرکرها تلاش می‌کنند بدون مجوز به سیستم‌ها دسترسی پیدا کنند، در حالی که هکرهای اخلاقی همیشه کاملاً شفاف و آشکار در مورد آنچه انجام می‌دهند و چگونگی انجام آن عمل می‌کنند. بنابراین، هک اخلاقی در همه موارد قانونی است.

چر‌ا هک اخلاقی ضروری است؟

با رشد سریع فناوری، مخاطرات مرتبط با آن نیز با سرعت در حال افزایش است. برای شکست دادن یک هکر، لازم است مانند او فکر کنید! هک اخلاقی ضروری است زیرا این امکان را فراهم می‌کند که با پیش‌بینی روش‌هایی که هکرهای مخرب برای نفوذ به یک سیستم به کار می‌برند، در برابر آن‌ها حملات متقابل انجام شود. هک اخلاقی کمک می‌کند انواع آسیب‌پذیری‌های احتمالی از پیش شناسایی و بدون اینکه هیچ حمله خارجی رخ دهد، برطرف شوند. از آنجا که هک کردن مستلزم تفکر خلاق است، صرفاً آزمون آسیب‌پذیری و ممیزی امنیتی نمی‌تواند تضمین کند که شبکه ایمن است. برای دستیابی به امنیت، سازمان‌ها باید با نفوذ کنترل‌شده به شبکه‌های خود، به منظور برآورد و آشکارسازی آسیب‌پذیری‌ها، یک راهبرد «دفاع در عمق» پیاده‌سازی کنند.

دلایل استخدام هکرهای اخلاقی توسط سازمان‌ها

  • جلوگیری از دسترسی هکرها به سامانه‌های اطلاعاتی سازمان
  • کشف آسیب‌پذیری‌های موجود در سیستم‌ها و بررسی ظرفیت آن‌ها به‌عنوان یک ریسک
  • تحلیل و تقویت وضعیت امنیتی سازمان، از جمله خط‌مشی‌ها، زیرساخت‌های حفاظتی شبکه و رویه‌های کاربران نهایی
  • فراهم کردن اقدامات پیشگیرانه کافی برای اجتناب از نقض‌های امنیتی
  • کمک به حفاظت از داده‌های مشتریان
  • ارتقای آگاهی امنیتی در تمامی سطوح یک کسب‌وکار

ارزیابی یک هکر اخلاقی از امنیت سیستم اطلاعاتی مشتری، در پی پاسخ به سه پرسش اساسی زیر است:

  1. یک مهاجم چه چیزی را می‌تواند در سیستم هدف مشاهده کند؟

بررسی‌های امنیتی معمول که توسط مدیران سیستم انجام می‌شود، اغلب برخی آسیب‌پذیری‌ها را نادیده می‌گیرد. هکر اخلاقی باید به این موضوع بیندیشد که یک مهاجم در مراحل شناسایی و اسکن یک حمله، چه مواردی را ممکن است مشاهده و کشف کند.

  1. یک نفوذگر با آن اطلاعات چه کاری می‌تواند انجام دهد؟

هکر اخلاقی باید نیت و هدف پشت حملات را تحلیل کند تا اقدامات مقابله‌ای مناسب را تعیین نماید. در مراحل دستیابی به دسترسی و حفظ دسترسی، هکر اخلاقی باید یک گام جلوتر از مهاجم حرکت کند تا حفاظت کافی را فراهم سازد.

  1. آیا تلاش‌های مهاجمان در سیستم‌های هدف شناسایی می‌شود؟

گاهی مهاجمان برای نفوذ به یک سیستم، روزها، هفته‌ها یا حتی ماه‌ها تلاش می‌کنند. در موارد دیگر، آن‌ها دسترسی را به دست می‌آورند اما پیش از انجام هرگونه اقدام مخرب، مدتی صبر می‌کنند و به ارزیابی نحوه بهره‌برداری از اطلاعات افشاشده می‌پردازند. در مراحل شناسایی و پاک‌سازی ردپا، هکر اخلاقی باید حمله را تشخیص داده و متوقف کند.

پس از انجام حملات، هکرها ممکن است با تغییر فایل‌های لاگ، ایجاد درِ پشتی یا استقرار تروجان‌ها، ردپای خود را پاک کنند. هکرهای اخلاقی باید بررسی کنند که آیا چنین فعالیت‌هایی ثبت شده‌اند و چه اقدامات پیشگیرانه‌ای اتخاذ شده است. این کار نه‌تنها ارزیابی‌ای از میزان مهارت مهاجم در اختیار آن‌ها قرار می‌دهد، بلکه دیدگاهی نسبت به تدابیر امنیتی موجود در سیستم مورد ارزیابی نیز فراهم می‌کند.

کل فرآیند هک اخلاقی و اصلاح آسیب‌پذیری‌های کشف‌شده، به پرسش‌هایی از این دست وابسته است:

  • سازمان در تلاش برای حفاظت از چه چیزی است؟
  • در برابر چه کسی یا چه چیزی قصد محافظت دارد؟
  • آیا تمامی مؤلفه‌های سیستم اطلاعاتی به‌طور مناسب محافظت، به‌روزرسانی و وصله‌گذاری شده‌اند؟
  • مشتری تا چه میزان زمان، تلاش و هزینه مایل است برای دستیابی به حفاظت کافی سرمایه‌گذاری کند؟
  • آیا تدابیر امنیت اطلاعات با استانداردهای صنعتی و الزامات قانونی مطابقت دارند؟

گاهی ممکن است مشتری به‌منظور صرفه‌جویی در منابع یا جلوگیری از کشف آسیب‌پذیری‌های بیشتر، پس از شناسایی نخستین آسیب‌پذیری تصمیم به پایان دادن ارزیابی بگیرد؛ بنابراین ضروری است که هکر اخلاقی و مشتری پیشاپیش چارچوب مناسبی برای انجام ارزیابی تعیین کنند. مشتری باید از طریق توضیحات روشن و مختصر درباره آنچه در حال وقوع است و آنچه در معرض خطر قرار دارد، نسبت به اهمیت این تمرین‌های امنیتی متقاعد شود. هکر اخلاقی نیز باید به مشتری یادآوری کند که حفاظت کامل از سیستم‌ها هرگز به‌طور مطلق امکان‌پذیر نیست، اما همواره می‌توان سطح امنیت آن‌ها را بهبود بخشید.

دامنه و محدودیت‌های هک اخلاقی

کارشناسان امنیت، جرایم رایانه‌ای را به‌طور کلی به دو دسته تقسیم می‌کنند:

  1. جرایمی که با کمک رایانه تسهیل می‌شوند
  2. جرایمی که در آن‌ها خودِ رایانه هدف اصلی است

هک اخلاقی یک ارزیابی امنیتی ساختارمند و سازمان‌یافته است که معمولاً به‌عنوان بخشی از تست نفوذ یا ممیزی امنیتی انجام می‌شود و یکی از عناصر حیاتی در ارزیابی ریسک، ممیزی، مقابله با تقلب و پیاده‌سازی بهترین شیوه‌های سیستم‌های اطلاعاتی محسوب می‌شود. هک اخلاقی برای شناسایی ریسک‌ها و برجسته کردن اقدامات اصلاحی به‌کار می‌رود. همچنین با برطرف‌سازی آسیب‌پذیری‌ها، موجب کاهش هزینه‌های فناوری اطلاعات و ارتباطات می‌شود.

هکرهای اخلاقی دامنه ارزیابی امنیتی را بر اساس نگرانی‌های امنیتی مشتری تعیین می‌کنند. بسیاری از هکرهای اخلاقی عضو «تیم ببر» هستند. یک تیم ببر به‌صورت گروهی کار می‌کند تا یک تست کامل و همه‌جانبه انجام دهد که تمام جنبه‌های شبکه، نفوذ فیزیکی و نفوذ به سیستم را در بر بگیرد.

یک هکر اخلاقی باید از مجازات‌های مرتبط با نفوذ غیرمجاز به سیستم آگاه باشد. هیچ فعالیت مرتبط با هک اخلاقی در تست نفوذ یا ممیزی امنیتی نباید پیش از دریافت یک سند قانونی امضا‌شده که مجوز صریح انجام فعالیت‌های هک را از سوی سازمان هدف ارائه می‌کند، آغاز شود. هکرهای اخلاقی باید در استفاده از مهارت‌های خود محتاط باشند و پیامدهای سوءاستفاده از این مهارت‌ها را بشناسند.

هکر اخلاقی برای عمل به تعهدات اخلاقی و حرفه‌ای خود موظف است قوانین خاصی را رعایت کند:

  • کسب مجوز از مشتری و داشتن قرارداد امضا‌شده که به آزمونگر اجازه انجام تست را می‌دهد
  • حفظ محرمانگی هنگام انجام تست و تبعیت از توافق‌نامه عدم افشا (NDA) با مشتری برای اطلاعات محرمانه‌ای که طی تست آشکار می‌شود. اطلاعات جمع‌آوری‌شده ممکن است حساس باشد و هکر اخلاقی نباید هیچ‌گونه اطلاعات مربوط به تست یا داده‌های محرمانه شرکت را به شخص ثالث افشا کند
  • انجام تست‌ها تنها در محدوده‌های توافق‌شده و عدم تجاوز از آن. برای مثال، هکر اخلاقی باید حملات DoS را فقط در صورتی انجام دهد که قبلاً با مشتری بر سر آن توافق شده باشد. از کار افتادن سرورها یا برنامه‌ها در طول تست ممکن است باعث از دست رفتن درآمد، آسیب به اعتبار و پیامدهای بدتر برای سازمان شود

گام‌های زیر چارچوبی برای انجام یک ممیزی امنیتی فراهم می‌کنند و به سازمان‌یافته، کارآمد و اخلاقی بودن تست کمک می‌کنند:

  • گفتگو با مشتری و بررسی نیازهایی که باید در طول تست مورد توجه قرار گیرند
  • تهیه و امضای اسناد NDA با مشتری
  • تشکیل تیم هک اخلاقی و آماده‌سازی برنامه زمانی تست
  • اجرای تست
  • تحلیل نتایج و تهیه گزارش
  • ارائه یافته‌ها به مشتری

با این حال، محدودیت‌هایی نیز وجود دارد. اگر کسب‌وکارها ابتدا ندانند دقیقاً به دنبال چه هستند و چرا یک ارائه‌دهنده خارجی را برای هک سیستم‌های خود استخدام کرده‌اند، احتمالاً دستاورد چندانی از این فرایند نخواهند داشت. بنابراین، هکر اخلاقی تنها می‌تواند به سازمان کمک کند تا درک بهتری از وضعیت امنیتی خود به دست آورد. پیاده‌سازی تدابیر حفاظتی مناسب در شبکه بر عهده خودِ سازمان است.

مهارت‌های یک هکر اخلاقی

بسیار ضروری است که یک هکر اخلاقی دانش و مهارت‌های لازم برای تبدیل شدن به یک هکر خبره را کسب کرده و از این دانش به شیوه‌ای قانونی استفاده نماید. مهارت‌های فنی و غیرفنی لازم برای یک هکر اخلاقیِ کارآمد در ادامه مورد بحث قرار گرفته است:

مهارت‌های فنی

  • دانش عمیق در مورد محیط‌های اصلی سیستم‌عامل مانند ویندوز، یونیکس، لینوکس و مکینتاش.
  • دانش عمیق در مورد مفاهیم شبکه، فناوری‌ها و سخت‌افزار و نرم‌افزار مرتبط.
  • تخصص در رایانه و تسلط بر حوزه‌های فنی.
  • شناخت حوزه‌های امنیتی و مسائل مرتبط با آن.
  • دانش فنی بالا در مورد نحوه پیاده‌سازی حملات پیچیده.

مهارت‌های غیرفنی

  • توانایی یادگیری سریع و انطباق با فناوری‌های جدید.
  • اخلاق کاریِ قوی و مهارت‌های بالا در حل مسئله و برقراری ارتباط.
  • تعهد به خط‌مشی‌های امنیتی سازمان.
  • آگاهی از استانداردها و قوانین محلی.

آکادمی لیان

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا