Компании не нанимают хакеров?

Сегодня встретил заметку специалиста по безопасности, назовем его Вася, в которой он указывает на то, что у крупных компаний в последнее время нашли много серьезных уязвимостей, а руководству плевать на ИТ безопасность и они не нанимают хороших специалистов. Вот тут хочется спросить: "Уважаемый Вася, а хороший специалист по безопасности - это случайно не вы?". 

У всех крупных компаний обязательно в штате есть целые отделы отличных специалистов. А то, что вас не нанимают, так это только говорит, что вы далеко не хороший и наверно не специалист. Возможно вы хороший хакер, возможно вы умеете что-то даже ломать, но это не то, что нужно компаниям. 

Сколько бы компании не вкладывали в безопасность, они всегда могут проиграть войну, потому что ИТ отделы и безопасники должны закрыть тысячи потенциальных дверей и уязвимостей, а хакеру достаточно найти только одну лазейку. Поэтому защита всегда находится в более уязвимом положении.

А на счет хакеров, которых не нанимают компании, так это потому, что они хакеры, а компаниям нужны именно специалисты по безопасности и тут есть огромная разница. Чтобы стать хакером нужно знать всего пару уязвимостей (да даже одной достаточно) и можно уже идти на просторы интернета и крушить сайты. Лет пять назад достаточно было уметь пользоваться SQL и иметь небольшое представление о том, как эксплуатиравать SQL Injection уязвимость, и достаточно легко было найти сайты для взлома. Я как-то писал статью на эту тему для журнала Хакер и когда кинулся искать сайты для примеров, то был в шоке от того, сколько я нашел уязвимостей на топовых сайтах среднего размера всего за пол часа. Пришлось описывать только самые интересные находки.

Но найти - это умение хакера, который не обязательно должен знать и понимать эффективные методы защиты от своей же атаки. Специалист же по безопасности должен понимать, как можно защитится, у него должны быть более широкие знания и умения. И вот такие люди нужны компаниям. 

Помимо этого, ИТ безопасники должны обладать более широкими знаниями в области безопасности, а не только взлома. Тут уже не нужно уметь ломать и не достаточно знать один тип уязвимости, знания должны быть на много шире. Вася же просто должен расширять свой кругозор и знания, а так же работать больше над пониманием зашиты от нападения, а не наоборот. 

Из недавнего, я работал над мобильным приложением для достаточно большой компании и перед выпуском компания заказала проверку кода у хакера. Тот нашел потенциальную проблему, когда хакер мог устроить флуд на регистрацию и забить возможные значения номеров устройств в черный список. Предложения хакера для защиты было - использовать сетевой экран на сервере и блокировать с помощью WAF массовые запросы с одного IP. 

Как хакер он проделал отличную работу, он нашел лпотенциальный баг. Мое мнение - никто бы не стал его эксплуатиравать, потому что выгода от эксплуатации нулевая. Но вот предложение о решении проблемы наоборот добавило бы проблем. Мобильные пользователи не имеют собственных IP адресов, поэтому все они для сервера будут видны под одним адресом. В первый же день скачивания приложения, когда пользователи массово начнут общатся с сервером через смартфоны, сервер начнет блокировать легальные запросы. 

Хакеры тоже нужны компаниям, потому что они помогают искать уязвимости, но это должны быть широкие специалисты взлома, а не студенты, которые научились тупо ломать сайты через одну и ту же уязвимость.

---

Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым

---