เมื่อพูดถึงการปกป้องธุรกิจของคุณ คุณก็ไม่ควรระมัดระวังมากเกินไป นั่นเป็นสาเหตุว่าทำไมในยุคของการโจมตี DDoS และฟิชชิ่ง การทำประกันนั้นสามารถช่วยคุณได้ แฮ็กเกอร์ที่มีจริยธรรม ซึ่งบางครั้งเรียกว่า "หมวกขาว" มีทักษะเช่นเดียวกับแฮ็กเกอร์อาชญากร มีเพียงพวกเขาเท่านั้นที่ใช้เพื่อค้นหาและแก้ไขจุดอ่อนในเทคโนโลยีอินเทอร์เน็ตของบริษัทแทนที่จะใช้ประโยชน์จากพวกเขา หากคุณต้องการแฮ็กเกอร์ที่มีจริยธรรม ให้เริ่มต้นด้วยการกำหนดพันธกิจที่ชัดเจนโดยสรุปสิ่งที่คุณหวังว่าจะได้รับด้วยความช่วยเหลือจากพวกเขา จากนั้นคุณสามารถค้นหาผู้สมัครที่มีคุณสมบัติผ่านโปรแกรมการรับรองอย่างเป็นทางการหรือตลาดแฮ็กเกอร์ออนไลน์
ขั้นตอน
ส่วนที่ 1 จาก 3: การกรอกตำแหน่ง
ขั้นตอนที่ 1 ประเมินความเสี่ยงของการไม่มีการป้องกัน
อาจเป็นการดึงดูดที่จะพยายามประหยัดเงินโดยการยึดติดกับทีมไอทีที่มีอยู่ของคุณ อย่างไรก็ตาม หากไม่มีการสำรองข้อมูลเฉพาะทาง ระบบไอทีของบริษัทของคุณจะเสี่ยงต่อการโจมตีที่ซับซ้อนเกินกว่าที่คอมพิวเตอร์ทั่วไปจะจับได้ สิ่งที่ต้องทำคือหนึ่งในการโจมตีเหล่านี้เพื่อสร้างความเสียหายอย่างร้ายแรงต่อการเงินและชื่อเสียงของธุรกิจของคุณ
- ทั้งหมดบอกว่าค่าใช้จ่ายเฉลี่ยในการรักษาความปลอดภัยและทำความสะอาดการละเมิดข้อมูลออนไลน์อยู่ที่ประมาณ 4 ล้านเหรียญ
- คิดว่าการจ้างหมวกขาวเป็นการทำกรมธรรม์ประกันภัย ไม่ว่าคำสั่งบริการของพวกเขาจะเป็นราคาเล็กน้อยที่ต้องจ่ายเพื่อความอุ่นใจของคุณ
ขั้นตอนที่ 2 ระบุความต้องการด้านความปลอดภัยทางไซเบอร์ของบริษัทของคุณ
แค่ตัดสินใจว่าคุณต้องเพิ่มการป้องกันอินเทอร์เน็ตของคุณยังไม่พอ สร้างพันธกิจโดยสรุปสิ่งที่คุณหวังว่าจะทำให้สำเร็จโดยจ้างผู้เชี่ยวชาญภายนอก ด้วยวิธีนี้ ทั้งคุณและผู้สมัครของคุณจะมีความคิดที่ชัดเจนเกี่ยวกับหน้าที่ของพวกเขาที่กำลังจะเกิดขึ้น
- ตัวอย่างเช่น บริษัททางการเงินของคุณอาจต้องได้รับการปกป้องเพิ่มขึ้นจากการปลอมแปลงเนื้อหาหรือวิศวกรรมสังคม หรือแอปช็อปปิ้งใหม่ของคุณอาจทำให้ลูกค้าเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต
- คำแถลงของคุณควรทำหน้าที่เป็นจดหมายปะหน้า ไม่เพียงแต่จะโฆษณาตำแหน่ง แต่ยังอธิบายประสบการณ์เฉพาะที่คุณกำลังมองหา สิ่งนี้จะช่วยให้คุณกำจัดผู้สมัครที่ไม่เป็นทางการและค้นหาบุคคลที่ดีที่สุดสำหรับงาน
ขั้นตอนที่ 3 เตรียมพร้อมที่จะเสนอค่าตอบแทนที่แข่งขันได้
การมีแฮ็กเกอร์ที่มีจริยธรรมอยู่เคียงข้างคุณนั้นเป็นการเคลื่อนไหวที่ฉลาด แต่ก็ไม่ใช่สิ่งที่ถูก จากข้อมูลของ PayScale หมวกสีขาวส่วนใหญ่คาดว่าจะสามารถดึงเงินได้ 70, 000 ดอลลาร์ขึ้นไปต่อปี อีกครั้ง สิ่งสำคัญคือต้องจำไว้ว่างานที่พวกเขาจะทำนั้นคุ้มค่ากับสิ่งที่พวกเขาขอ เป็นการลงทุนที่คุณไม่สามารถทำได้มากที่สุด
อัตราการจ่ายที่สูงเกินจริงเป็นความล้มเหลวทางการเงินเพียงเล็กน้อยเมื่อเทียบกับระบบไอทีที่บริษัทของคุณต้องพึ่งพาเพื่อทำกำไร
ขั้นตอนที่ 4 ดูว่าคุณสามารถจ้างแฮ็กเกอร์ตามงานได้หรือไม่
อาจไม่จำเป็นต้องสวมหมวกขาวให้พนักงานไอทีของคุณทำงานเต็มเวลา เป็นส่วนหนึ่งของคำชี้แจงวัตถุประสงค์ของคุณ ระบุว่าคุณกำลังมองหาที่ปรึกษาเพื่อเป็นหัวหอกในโครงการใหญ่ บางทีอาจเป็นการทดสอบการเจาะระบบภายนอก หรือการเขียนซอฟต์แวร์ความปลอดภัยใหม่ ซึ่งจะทำให้คุณสามารถจ่ายเงินบำนาญแบบครั้งเดียวแทนเงินเดือนต่อเนื่องได้
- งานให้คำปรึกษาที่แปลกอาจเหมาะสำหรับแฮกเกอร์อิสระหรือผู้ที่เพิ่งได้รับการรับรอง
- หากคุณพอใจกับประสิทธิภาพของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ คุณสามารถเสนอโอกาสให้พวกเขาได้ร่วมงานกับคุณอีกครั้งในโครงการในอนาคต
ส่วนที่ 2 ของ 3: การติดตามผู้สมัครที่ผ่านการรับรอง
ขั้นตอนที่ 1 ค้นหาผู้สมัครที่มีใบรับรอง Certified Ethical Hacker (CEH)
สภาที่ปรึกษาการค้าอิเล็กทรอนิกส์ระหว่างประเทศ (เรียกสั้นๆ ว่า EC-Council) ได้ตอบสนองต่อความต้องการที่เพิ่มขึ้นสำหรับแฮ็กเกอร์ที่มีจริยธรรมโดยการสร้างโปรแกรมการรับรองพิเศษที่ออกแบบมาเพื่อฝึกอบรมและช่วยให้พวกเขาหางานทำ หากผู้เชี่ยวชาญด้านความปลอดภัยที่คุณสัมภาษณ์สามารถชี้ไปที่การรับรอง CEH อย่างเป็นทางการ คุณสามารถมั่นใจได้ว่าพวกเขาเป็นบทความของแท้และไม่ใช่คนที่เรียนรู้งานฝีมือของพวกเขาในห้องใต้ดินที่มืดมิด
- แม้ว่าการแฮ็กข้อมูลประจำตัวอาจเป็นเรื่องยากที่จะตรวจสอบ แต่ผู้สมัครของคุณควรได้รับมาตรฐานที่เข้มงวดเช่นเดียวกับผู้สมัครรายอื่นทั้งหมด
- หลีกเลี่ยงการจ้างใครก็ตามที่ไม่สามารถแสดงหลักฐานการรับรอง CEH เนื่องจากพวกเขาไม่มีบุคคลที่สามรับรองสำหรับพวกเขา ความเสี่ยงก็สูงเกินไป
ขั้นตอนที่ 2 เรียกดูตลาดแฮ็กเกอร์ที่มีจริยธรรมออนไลน์
ดูรายชื่อบางส่วนในเว็บไซต์เช่น Hackers List และ Neighborhoodhacker.com เช่นเดียวกับแพลตฟอร์มค้นหางานทั่วไปเช่น Monster และ Indeed เว็บไซต์เหล่านี้รวบรวมรายการจากแฮ็กเกอร์ที่มีสิทธิ์ซึ่งแสวงหาโอกาสในการใช้ทักษะของพวกเขา นี่อาจเป็นตัวเลือกที่เข้าใจง่ายที่สุดสำหรับนายจ้างที่เคยชินกับกระบวนการจ้างงานแบบเดิมๆ
ตลาดของแฮ็กเกอร์ที่มีจริยธรรมจะส่งเสริมเฉพาะผู้เชี่ยวชาญที่ถูกกฎหมายและมีคุณสมบัติเหมาะสมเท่านั้น ซึ่งหมายความว่าคุณสามารถนอนหลับได้อย่างง่ายดายโดยรู้ว่าการดำรงชีวิตของคุณอยู่ในมือที่ดี
ขั้นตอนที่ 3 เป็นเจ้าภาพการแข่งขันแฮ็คแบบเปิด
โซลูชันสนุกๆ ที่นายจ้างเริ่มใช้เพื่อดึงดูดผู้สมัครที่คาดหวังคือ เจาะคู่แข่งกันเองในการจำลองการแฮ็กแบบตัวต่อตัว การจำลองเหล่านี้สร้างแบบจำลองตามวิดีโอเกม และออกแบบมาเพื่อนำความเชี่ยวชาญทั่วไปและความสามารถในการตัดสินใจที่คิดอย่างรวดเร็วมาทดสอบ ผู้ชนะการแข่งขันของคุณอาจเป็นเพียงคนเดียวที่ให้การสนับสนุนที่คุณต้องการ
- ให้ทีมเทคโนโลยีของคุณสร้างชุดปริศนาที่จำลองตามระบบไอทีทั่วไป หรือซื้อแบบจำลองที่ซับซ้อนกว่านี้จากนักพัฒนาบุคคลที่สาม
- สมมติว่าการสร้างแบบจำลองของคุณเองนั้นใช้แรงงานหรือค่าใช้จ่ายมากเกินไป คุณอาจลองติดต่อกับผู้ที่เคยชนะการแข่งขันระดับนานาชาติ เช่น Global Cyberlympics
ขั้นตอนที่ 4 ฝึกอบรมพนักงานของคุณเพื่อจัดการกับหน้าที่การแฮ็กข้อมูลของคุณ
ทุกคนสามารถลงทะเบียนในโครงการ EC-Council ได้ฟรี ซึ่ง White Hat ใช้เพื่อรับใบรับรอง CEH หากคุณต้องการรักษาตำแหน่งที่มีชื่อเสียงไว้ภายในองค์กร ให้ลองพิจารณาให้พนักงานไอทีคนปัจจุบันของคุณผ่านหลักสูตรนี้ไปด้วย โดยจะสอนเทคนิคการทดสอบการเจาะ จากนั้นจึงนำไปใช้ตรวจสอบรอยรั่วได้
- โปรแกรมนี้มีโครงสร้างเป็นชั้นเรียนภาคปฏิบัติ 5 วัน โดยมีการสอบแบบครอบคลุม 4 ชั่วโมงในวันสุดท้าย ผู้เข้าร่วมต้องทำคะแนนอย่างน้อย 70% จึงจะผ่าน
- มีค่าสมัครสอบ $500 และมีค่าธรรมเนียมเพิ่มเติม $100 สำหรับนักเรียนที่เลือกเรียนด้วยตัวเอง
ส่วนที่ 3 จาก 3: นำแฮ็กเกอร์ที่มีจริยธรรมมาสู่ธุรกิจของคุณ
ขั้นตอนที่ 1 ดำเนินการตรวจสอบประวัติอย่างละเอียด
จำเป็นอย่างยิ่งที่จะต้องให้ผู้สมัครของคุณได้รับการตรวจสอบอย่างละเอียดก่อนที่คุณจะคิดที่จะนำพวกเขาเข้าสู่บัญชีเงินเดือนของคุณ ส่งข้อมูลไปยังฝ่ายทรัพยากรบุคคลหรือองค์กรภายนอกและดูว่าเกิดอะไรขึ้น ให้ความสนใจเป็นพิเศษกับกิจกรรมทางอาญาที่ผ่านมา โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการกระทำความผิดทางออนไลน์
- พฤติกรรมทางอาญาประเภทใดก็ตามที่ปรากฏในผลการตรวจสอบภูมิหลังควรถือเป็นการติดธงแดง (และอาจเป็นเหตุให้ถูกตัดสิทธิ์)
- ความไว้วางใจเป็นกุญแจสำคัญในความสัมพันธ์ในการทำงาน หากคุณไม่สามารถไว้ใจคนๆ นี้ได้ พวกเขาก็ไม่ได้อยู่ในบริษัทของคุณ ไม่ว่าพวกเขาจะมีประสบการณ์มากแค่ไหนก็ตาม
ขั้นตอนที่ 2 สัมภาษณ์ผู้สมัครของคุณในเชิงลึก
สมมติว่าผู้มีโอกาสเป็นลูกค้าของคุณผ่านการตรวจสอบภูมิหลังได้สำเร็จ ขั้นตอนต่อไปในกระบวนการคือดำเนินการสัมภาษณ์ ให้ผู้จัดการฝ่ายไอทีของคุณเป็นสมาชิกฝ่ายทรัพยากรบุคคลนั่งคุยกับผู้สมัครพร้อมรายการคำถามที่เตรียมไว้ เช่น "คุณมีส่วนร่วมในการแฮ็กข้อมูลอย่างมีจริยธรรมได้อย่างไร", "คุณเคยทำงานอื่นๆ ที่ต้องเสียค่าใช้จ่ายหรือไม่", "มีประเภทใดบ้าง ของเครื่องมือที่คุณใช้ในการคัดกรองและต่อต้านภัยคุกคามหรือไม่” และ "ขอยกตัวอย่างวิธีการป้องกันระบบของเราจากการโจมตีจากการเจาะระบบจากภายนอก"
- พบปะแบบเห็นหน้ากัน แทนที่จะใช้โทรศัพท์หรืออีเมล คุณจะได้ทราบแนวคิดที่ถูกต้องเกี่ยวกับลักษณะของผู้สมัคร
- หากคุณมีข้อกังวลใด ๆ ที่ยังหลงเหลืออยู่ ให้กำหนดเวลาสัมภาษณ์ติดตามผลอย่างน้อยหนึ่งรายการกับสมาชิกทีมผู้บริหารคนอื่น เพื่อให้คุณได้รับความเห็นที่สอง
ขั้นตอนที่ 3 มอบหมายผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ให้ทำงานอย่างใกล้ชิดกับทีมพัฒนาของคุณ
ต่อจากนี้ไป สิ่งสำคัญอันดับหนึ่งของทีมไอทีควรป้องกันการโจมตีทางไซเบอร์ แทนที่จะกำจัดทิ้ง ด้วยความร่วมมือนี้ บุคลากรที่สร้างเนื้อหาออนไลน์ของบริษัทของคุณจะได้เรียนรู้วิธีเขียนโค้ดที่ปลอดภัยยิ่งขึ้น การทดสอบผลิตภัณฑ์อย่างละเอียดถี่ถ้วนยิ่งขึ้น และเทคนิคอื่นๆ สำหรับการชิงไหวชิงพริบที่น่าจะเป็นสแกมเมอร์
การมีแฮ็กเกอร์ที่มีจริยธรรมอยู่ที่นั่นเพื่อตรวจสอบคุณลักษณะใหม่ทั้งหมดอาจทำให้กระบวนการพัฒนาช้าลงเล็กน้อย แต่คุณลักษณะด้านความปลอดภัยแบบสุญญากาศใหม่ที่พวกเขาคิดค้นจะคุ้มค่ากับความล่าช้า
ขั้นตอนที่ 4 แจ้งตัวเองว่าการรักษาความปลอดภัยทางไซเบอร์ส่งผลต่อธุรกิจของคุณอย่างไร
ใช้ประโยชน์จากความรู้มากมายของหมวกขาวของคุณและเรียนรู้เล็กน้อยเกี่ยวกับประเภทของกลยุทธ์ที่แฮ็กเกอร์มักใช้ เมื่อคุณเริ่มทำความเข้าใจเกี่ยวกับวิธีการวางแผนและดำเนินการโจมตีทางไซเบอร์ คุณจะสามารถเห็นการโจมตีทางไซเบอร์ได้
- ขอให้ที่ปรึกษาของคุณส่งการบรรยายสรุปโดยละเอียดเกี่ยวกับสิ่งที่พวกเขาค้นพบเป็นประจำ อีกวิธีหนึ่งในการสรุปผลคือการวิเคราะห์สิ่งที่ค้นพบด้วยความช่วยเหลือจากทีมไอทีของคุณ
- ส่งเสริมให้แฮ็กเกอร์ที่ได้รับการว่าจ้างให้อธิบายมาตรการที่พวกเขากำลังดำเนินการ แทนที่จะปล่อยให้พวกเขาทำสิ่งที่พวกเขาโดยไม่ต้องสงสัย
ขั้นตอนที่ 5. จับตาดูแฮ็กเกอร์ที่ได้รับการว่าจ้างของคุณอย่างใกล้ชิด
แม้ว่าไม่น่าจะเป็นไปได้ที่พวกเขาจะพยายามทำอะไรที่ไร้ยางอาย แต่ก็ไม่ได้อยู่นอกขอบเขตของความเป็นไปได้ แนะนำให้สมาชิกคนอื่นๆ ในทีมไอทีของคุณตรวจสอบสถานะความปลอดภัยและค้นหาช่องโหว่ที่ไม่เคยมีมาก่อน ภารกิจของคุณคือปกป้องธุรกิจของคุณในทุกวิถีทาง อย่ามองข้ามความจริงที่ว่าภัยคุกคามอาจมาจากภายในและภายนอก
- การไม่เต็มใจที่จะอธิบายแผนการหรือวิธีการที่แน่นอนให้กับคุณอาจเป็นสัญญาณเตือน
- หากคุณมีเหตุผลให้สงสัยว่าผู้เชี่ยวชาญจากภายนอกกำลังทำร้ายธุรกิจของคุณ อย่าลังเลที่จะยุติการจ้างงานและค้นหาใหม่
เคล็ดลับ
- ความปลอดภัยทางไซเบอร์เป็นปัญหาสำคัญสำหรับธุรกิจทุกศตวรรษที่ 21 ตั้งแต่บริษัททางการเงินที่ใหญ่ที่สุดไปจนถึงบริษัทสตาร์ทอัพที่เล็กที่สุด
- การซื้อประกันความปลอดภัยทางไซเบอร์สามารถรับประกันได้ว่าคุณจะได้คืนสิ่งที่คุณสูญเสียไปในกรณีที่เกิดการหลอกลวง การละเมิด หรือข้อมูลรั่วไหล
- อาจเป็นความคิดที่ดีที่จะโฆษณาความต้องการของคุณสำหรับแฮ็กเกอร์ที่มีจริยธรรมในเว็บไซต์เช่น Reddit ซึ่งรู้จักหมวกขาวในการพูดคุย
คำเตือน
- อยู่ห่างจากตัวแทนอิสระที่ไม่ผ่านการรับรอง แฮกเกอร์ที่มีความเอนเอียงทางการเมืองหรือศาสนาที่เข้มแข็ง และสิ่งที่เรียกว่า “นักแฮ็กข้อมูล” อันธพาลเหล่านี้อาจพยายามใช้ข้อมูลที่เข้าถึงได้เพื่อจุดประสงค์ที่ร้ายกาจ
- การทำงานกับแฮ็กเกอร์ แม้แต่แฮ็กเกอร์ที่มีจริยธรรม อาจสะท้อนถึงบริษัทของคุณในสายตาของคู่ค้าหรือลูกค้าของคุณได้อย่างไม่ดี