Mặc dù hack đạo đức hoàn toàn không phải là một thực tiễn mới hoặc đột phá, nhưng quy mô mà các tổ chức và cá nhân đang thực hiện các sáng kiến ​​như vậy tiếp tục tăng lên, đặc biệt là xem xét các sự kiện gần đây như lỗ hổng log4j.

Theo truyền thống, hack đạo đức được thực hiện bởi các tổ chức đang tìm cách phát hiện ra các lỗ hổng bảo mật tồn tại trong mạng công ty của họ và trên các thiết bị của công ty. Đây là một quy trình có thể giúp xác định các khu vực cần vá hoặc sửa chữa ngay lập tức, cuối cùng làm giảm bề mặt tấn công và giữ cho dữ liệu của công ty an toàn trước những kẻ tấn công có chủ đích. Tuy nhiên, đây chỉ là một lợi thế đối với hack đạo đức. Một lợi ích khác là giáo dục và nâng cao kỹ năng của các chuyên gia an ninh mạng.

Là một người đã dành hai thập kỷ qua để tạo nội dung giúp giáo dục cộng đồng an ninh mạng rộng lớn hơn về những rủi ro và mối đe dọa mới nhất, tôi có thể thành thật nói rằng một trong những thách thức lớn nhất vẫn tồn tại trong ngành của chúng tôi là tiếp tục đẩy nhanh con đường học tập của các chuyên gia an ninh mạng , ngoài đại học và tự giáo dục. Thực tế là sách giáo khoa về an ninh mạng trở nên lỗi thời gần như ngay lập tức.

Các công nghệ mới với các biện pháp kiểm soát bảo mật duy nhất xuất hiện và tội phạm mạng tiếp tục phát triển về số lượng và trở nên rời rạc và có mục tiêu hơn. Đó là lý do tại sao chúng ta phải liên tục học hỏi và nâng cao kỹ năng bản thân để có thể bảo vệ tổ chức chống lại những kẻ tấn công này và đây là nơi trò chơi hack đạo đức có thể phát huy tác dụng.

Giữ các Nhóm CNTT và Bảo mật trên ngón chân của họ

Các chương trình và phần mềm hack có đạo đức được đánh bạc là những công cụ dành cho các tổ chức có thể giúp giữ cho đội CNTT và bảo mật nhạy bén và nhanh chóng trong việc xác định và giải quyết các mối đe dọa tiềm ẩn. Các nền tảng đánh bạc có tính tương tác nhưng đầy thách thức, thường đòi hỏi người tham gia phải suy nghĩ thấu đáo. Bằng cách học qua thử và sai, những người sử dụng nền tảng hack có đạo đức thường giữ được kỹ năng tốt hơn những người tham gia khóa đào tạo sách giáo khoa với một loạt các bài tập về hộp kiểm.

Vì vậy, làm thế nào các tổ chức có thể sử dụng trò chơi hack để cải thiện và nâng cao kỹ năng của đội bảo mật của họ?

Một trong những điều tuyệt vời nhất về các nền tảng hack được đánh bạc là chúng có thể giúp cải thiện kinh nghiệm và kỹ năng bảo mật trong các lĩnh vực cụ thể và được nhắm mục tiêu cao. Ví dụ: các tổ chức có thể lập kế hoạch theo dõi giáo dục trong các lĩnh vực như ứng phó sự cố, báo cáo đặc quyền Windows, bảo mật đám mây và pháp y kỹ thuật số hoặc bất kỳ nơi nào khác mà lỗ hổng kiến ​​thức có thể vẫn còn.

Việc tạo ra các cuộc thi kiểu 'nắm bắt thế cờ' được đánh bạc nội bộ khác nhau dành cho các đội bảo mật cũng có thể giúp cải thiện bộ kỹ năng của các nhà phát triển công ty và các nhà phân tích SOC. Những sự kiện này một lần nữa có thể được điều chỉnh để giải quyết các lĩnh vực cụ thể. Những sự kiện này không chỉ mang tính giáo dục mà còn là những bài tập xây dựng nhóm tương tác và vui nhộn.

Một cách tuyệt vời khác, nhưng thường chưa được khai thác, để sử dụng các nền tảng được đánh bạc để tạo lợi thế cho bạn là thông qua quá trình tuyển dụng, giới thiệu và đào tạo tiếp theo. Nền tảng trò chơi hóa có thể giúp các tổ chức nhanh chóng xác định kỹ năng và năng lực của các ứng viên tiềm năng, đồng thời cung cấp một cách hiệu quả về chi phí và nguồn lực để đào tạo nhân viên mới. Bằng cách kích thích các lỗ hổng trong các môi trường được kiểm soát, đánh bạc này, nhân viên có thể thử nghiệm các kỹ năng của họ và thực hành giảm thiểu rủi ro trong thời gian thực.

Khoảng cách kỹ năng cầu nối

Khi các tổ chức khai thác các nền tảng hack được đánh bạc để giúp cải thiện khoảng cách kỹ năng đang diễn ra của họ, trong vài năm qua, chúng ta đã thấy hack phần nào trở thành một môn thể thao điện tử.

Người chơi và người phát trực tuyến trên các nền tảng như YouTube là một hiện tượng toàn cầu trên mạng xã hội với việc người xem muốn biết các kỹ thuật bí mật của họ về cách tiến lên cấp độ tiếp theo. Mức độ phổ biến vẫn đang tiếp tục diễn ra, với những game thủ hàng đầu kiếm được hàng triệu USD tiền hoa hồng và tiền tài trợ. Hacking hiện đang đi theo một con đường tương tự. Một số hacker hàng đầu thế giới hiện đang phát trực tuyến các kỹ năng hack của họ, trình diễn các kỹ thuật và phương pháp mới về cách vượt qua bảo mật và vượt qua chỗ đứng ban đầu, sau đó nâng cao đặc quyền. Tin tặc cũng đang cạnh tranh với nhau trên các nền tảng tương tác, tìm kiếm trạng thái L33T bằng cách ở trên cùng của bảng xếp hạng. Đây chắc chắn là một xu hướng mới sẽ tiếp tục phổ biến trong năm nay và thậm chí chúng ta có thể cuối cùng sẽ thấy hack trở thành EL3T3 Sport mà người xem sẽ trả tiền để xem hack của hacker.

Nền tảng đánh bạc và hack esports là tương lai. Điều này sẽ tạo ra một cách hoàn toàn mới để đào tạo và chuẩn bị tốt hơn cho các đội bảo mật để đối phó với các mối đe dọa mạng trong tương lai vì nó cho phép nhóm bảo mật của tổ chức thực hành và học các kỹ thuật tương tự mà tội phạm mạng sử dụng. Các nền tảng này cũng sẽ được sử dụng để giúp tìm kiếm các chuyên gia tài năng, những người sẽ giúp tổ chức của bạn chống lại các cuộc tấn công mạng.

Joseph Carson là Trưởng phòng Khoa học An ninh và Cố vấn CISO tại ThycoticCentrify.

Tận hưởng thông tin chi tiết bổ sung từ cộng đồng Người dùng nội bộ Infosec của Threatpost bằng cách truy cập microsite.