公司付钱给这个人闯入他们的网络和办公室|事情怎兴发首页x么样

Asher de Metz担任渗透测试人员，这意味着公司雇用他来测试其网络和建筑物的安全性。是的，他被雇用了两者。芝麻/盖蒂图像

Asher de Metz穿过超市的前门。悬挂在他身边，代替可重复使用的购物手提袋，是一个离散的笔记本电脑包。de Metz并非购物杂货 - 这是一个闯入。但都不是牛油果- 指出购物者或信用卡刷卡收银员意识到他们正在受到攻击。

德·梅茨（De Metz）走进商店，发现了一个在计算机上的人。这是一次培训课程。融合的理想场所。所以，他坐下来劫持了一台机器。

德·梅茨说：“我只是进去，从一台机器的背面拔下电缆，然后将其插入笔记本电脑。”“我已经砍掉了一段时间，从那个房间很快就可以访问系统和数据库。”

热门追求“黑客”

不久之后，培训师接近了德梅兹。她很有礼貌，但不确定他。他告诉她：“我来自总部。”这个故事使她安抚了几分钟，但她决定在主管中循环。

那是德·梅茨（De Metz）认为是时候出去了。德·梅茨回忆说：“我关闭了一切，开始离开。”“我上楼梯了，不幸的是，当我推开门时，警报响了。”

当教练在商店中哭泣时，追逐继续传到了巨大的安全警报和最终尖叫的Crescendo的配乐，“就是他！就是那个家伙！”另一位超市员工接近了德梅兹，但准备了德·梅茨（de Metz）。他有一个带有制作工作订单的马尼拉文件夹。

他告诉他们他来自公司，有一个严重的黑客在商店的系统中。“你知道昨晚网络上有违反吗？数以百万计的被盗。”“不，”主管说。“我不知道。”两人同意当天下午晚些时候打电话，以避免由于严重的网络安全违规而滚动。

De Metz向超市经理的故事的一部分是真实的。超市的领导层被聘为超市。但是，唯一发生的骇客是De Metz自己做的那个，他没有偷钱。他被雇用看到他可以入侵多远进入超市的系统。在这种情况下，他走了很远。现在，他有了一些有用的信息，可以与领导团队分享有关如何使其安全性更有效，更安全的员工和客户。

一些渗透测试人员（如Asher de Metz）进行了培训，除其他外，在公司会议和培训课程中闯入并融合在一起，以查看他们是否可以入侵计算机，以及主管是否会注意到他们的存在。

希尔街工作室/盖蒂图像

企业为什么要付钱被黑客入侵

de Metz是安全咨询的高级经理Sungard的可用性服务，全球IT服务管理公司。他拥有20多年的渗透测试人员的经验 - 这就是他们的名字 - 并为英国，欧洲，中东和北美的世界上一些最大的公司提供了宝贵的建议。

德梅茨说：“公司进行渗透测试的原因是因为他们不知道自己不知道的东西。您会在那里遇到一个黑客，他们正在挖掘自己不应该做的事情，发现人们错过的那些风险，公司不知道自己的风险是什么。”

de Metz的目标是找到漏洞前坏人 - 对各种规模的企业的威胁越来越大。根据2017年数据泄露研究成本由IBM Security赞助，每年有60％的中小型企业受到攻击。更糟糕的是，在这些企业中，有60％的人在袭击发生后六个月内关闭了门。一个平均全球成本单身的违规为362万美元。

但是这个消息变得更糟。在2021年的前六个月中，受勒索软件攻击影响的企业数量 - 安装恶意软件的企业数量可以阻止对网络的访问，直到支付“勒索”为止 -比较增加了一倍以上根据Check Point软件技术的研究，有2020年。和FireEye的MandiantM-Trends 2021报告发现，在2019年10月1日至2020年9月30日之间，公司数据被盗了800次勒索尝试。

赌注很高

这就是为什么越来越多的组织正在雇用渗透测试人员，也称为白帽子黑客（对20世纪中叶西方电影象征意义的字面意思），例如De Metz，故意闯入他们的系统。

De Metz解释说：“这就像一项保险单。如果公司现在将这笔钱花在安全上，它可以从10或1亿美元中节省他们的费用，如果他们被违反，他们将花费他们。”“例如，如果他们对勒索软件进行了评估，并且对自己进行接种，那么它会节省几个月的头痛和失去收入，无法开展业务。”

组织付出的其他原因是确保他们符合更强大的监管标准。xf187手机版医疗保健，金融组织和政府机构等，必须与联邦，州和行业网络安全法规，随着黑客攻击变得越来越普遍，更昂贵。

网络安全是物理和技术

当人们想到黑客攻击时，他们通常会想到一个孤独的游侠从妈妈的黑暗地下室的安全中攻击公司的私人数据。但是，渗透测试人员会着眼于组织安全计划的物理和技术方面，因此他们会从组织内部进行入侵。

德·梅茨说：“公司不想在桌子上留出任何东西，这可能是姿势弱点的一部分。”“我们测试了物理控制；我们可以进入建筑物，超越安全，穿过后门吗？我们可以访问物理文件吗？我们可以进入公司打印信用卡或礼品卡的地区吗？”除了技术方面，这些是de Metz的关键物理事物，例如访问网络或敏感数据。

他也提供建议，例如对员工培训计划的建议，以便像他认识的主管这样的人知道如何验证应该在建筑物中的人。或者，如果他们不认识某人，该怎么办（即使这确实是一个好故事，而不是发起储藏室的追求）。“这样做我们很有趣，但我们也为客户提供了很多价值。”

如果您对黑客的想法是坐在黑暗地下室的计算机上的人，请再考虑一下。他们今天比以往任何时候都更加复杂。

Milan_jovic/Getty图像

渗透测试如何工作

渗透测试人员必须具有详细的技术知识，而这不仅是精美的工具。“渗透测试是理解和与技术互动的 - 知道技术应该运行的方式。这是一种方法，也许可以使工具对齐，但不仅仅是脚本或工具。”

一旦De Metz进入系统，他会寻找三件事：他可以在哪里登录，使用了哪些软件版本以及是否正确配置了系统。“我们可以猜出一个密码吗？我们可以找到其他访问登录名的方法吗？也许该软件已过时并且有漏洞利用，因此我们尝试利用一些勒索软件代码，以尝试尝试访问系统，”他说。“有些事情可以在审核中找到，但我们也发现[组织]没有想到的东西。”

穿透性比网络审核更深，这是一个重要的区别。审核要求，是否遵循安全计划？渗透测试问，程序是否有效？

渗透测试人员从鸟眼的安全策略看出。这个问题可能不像过时的软件那样简单，而是需要改进的整个安全策略。这就是德·梅茨（De Metz）发现的。

许多中小型企业都在努力为基础良好的安全基础设施提供资金。尽管如此，白帽黑客攻击越来越受到负责个人数据的组织的欢迎，例如Facebook，该组织以通过其激励白帽黑客的方式而闻名错误赏金程序，在其系统中找到漏洞。

de Metz也有在播客上说兴发首页x有了他一些最戏剧性的渗透测试故事。他的目标是双重的：用狂野的故事来招待听众，但更重要的是，要强调渗透测试的价值 - 如果公司不这样做，那就危及了。您可能永远不会看到它们，永远不知道他们在那里，但是穿透测试人员可以帮助确保企业的安全，并且像您这样的客户也更安全。