真正的黑客可能是“社会工程”方面的专家,能说服雇员做出危及安全的愚蠢举动。众所周知,人是企业安全当中的薄弱环节。老练的社会工程师能使员工通过电话把自己的口令泄露给完全不认识的人;大胆地穿梭于小房间,装成一名新来的技术支持人员偷窥粗心大意写在粘胶纸条上的许多口令;再来次“垃圾大清扫”,从中寻找敏感数据。这些都是危及安全的日常失误,而一位有经验的黑客极可能懂得它们的利用价值。
此外,虽然企业可以把保护网络所需的基本技能传授给任何可信赖的IT专业人士,但黑客和以前的黑客无疑都具有某种好奇心:永远想知道锁着的门后藏着什么东西,对难题的迷恋以及只有击败对手才善罢甘休的自负。黑客可能具有宝贵的丰富经验。他们往往至少对多种操作系统、网络设计、协议与加密工具略知一二。招聘经理会明白这些不同的知识是多么珍贵。
雇用黑客的弊端:“任何雇用黑客的人都是白痴,”艾拉?温克勒直言不讳地说。温克勒是总部设在马里兰州锡弗纳帕克的咨询与管理公司因特网安全顾问集团的创办人兼总裁。
温克勒说:“你在雇用黑客时清楚在雇用什么人吗?在声称自己是黑客的人当中,也许只有千分之一的人才真正有熟练技能。其余都是‘脚本少年’。”
为什么要撒这种谎?首先,媒体对胆大妄为、格格不入的黑客以浪漫手法来加以刻画。温克勒说:“这是黑客的神秘之处。你只需要穿装饰服加上乌七八糟的发式,人家就以为你是个天才。”
其次,网络安全现在成了有利可图的热门行业。所以为了谋得一份工作,只要过去曾闯入网站的“脚本少年”都会不遗余力地夸耀自己的事迹。这是他们被称为“脚本少年”的一个原因。专家强调,今天大多数黑客能够得逞,靠的不是高超的水平,确切地说,而是遭到老一套攻击方法就不堪一击的保护不力的网络。
所以倘若某人夸耀入闯水平如何了得,他们也许其实是在说:除了坐在房里不断攻击防火墙外,再也干不出像样的事来。
雇用黑客的最佳策略包括:雇用黑客从事不相关联而责任明确的项目;将雇用与合同事宜提交你的法律部门审批;坚持入侵测试期间现场有人;不要从任务关键型网站开始;尽可能在非关键时间进行测试;不要让黑客代替系统的审查工作。
招聘经理要听从专家们的经验法? 求职者越是努力把自己描绘成黑客地下组织一名技术何等非凡的成员,你就越要怀疑他的资格。
那么你该雇用谁来保护你的数据?这里有两条路可以走:你要么决定雇用黑客;要么决定不雇用。无论怎样,这里提供几条建议:
如果你雇用黑客……
调查、询问、检查、复核证明书。抛弃陈规,考虑你的组织需要哪一种黑客。你是否愿意雇用被判犯有计算机犯罪的人,大胆假定他们的知识可以抵消他们以前的过错?还是拒绝被判犯有罪的人但雇用背景表明他也参与非法入侵活动的人?
不管怎样,要找来律师。越早越好。“在为入侵测试做准备时,要在合同洽谈前请来律师。”纽约联邦储备银行的雷恩斯劝告。你的法律部门可能会全盘否定整个想法,这样的话,你就只好另外找人。比较有可能的是,他们会给你的合同添加有帮助的条款。
如果你拒绝黑客……
你仍需要有人来保护“御宝”。温克勒说:“我所见过的最优秀的安全人员就是花时间研究安全而且聪明的网络管理员。”说来容易做时难,因为这些雇员往往工作任务过重,有许多事情忙于处理。但如果经验不足,那么培训总是一种选择方案。温克勒建议:“物色技术娴熟的系统与网络管理员,并为他们提供成为安全行家所需的时间与培训。”
黑鸟技术公司的莫克斯雷同意这一观点。他说,最好是雇用当系统管理员、网络工程师或软件开发员“而对网络安全又始终怀有额外兴趣”的人。专家们说,技术熟练、充满求知欲的IT人学会网络安全技能相对容易。
技术熟练的IT员工在整个组织内总是供不应求。在过去,培训也少得可怜。但由于现在证书培训课程越来越多,这种情况正在改变。
专家一致认为注意基本原则才是最明智之举:定期进行审查;随时了解计算机紧急响应小组发布的最新内容;充分利用供应商的安全队伍。
归根结底,一项可靠的、系统的并得到高层管理人员支持的安全计划是打击安全破坏的最好办法。不管你雇谁担任这项工作,他们都需要时间、培训与明确的任务。