banner large

Apa itu peretas etis? Mengapa salah satu pekerjaan paling menarik dalam keamanan siber bisa menjadi taruhan yang bagus?

Comment
X
Share
kolaborasi-tim-keamanan-insinyur-teknis-pekerja-kolaborasi

Gambar: Getty

Sementara lebih banyak perusahaan berinvestasi dalam meningkatkan keamanan TI mereka, sebagian besar praktik keamanan siber masih bersifat reaktif, mengandalkan alat perangkat lunak untuk mengidentifikasi kapan pelanggaran telah terjadi – atau telah dicoba – dan kemudian meresponsnya.

Tetapi karena serangan siber terus meningkat frekuensi dan kecanggihannya, jelas bahwa bisnis perlu mengambil pendekatan yang lebih proaktif untuk melawan ancaman keamanan siber. Peretas etis sedang dicari untuk membantu bisnis mengidentifikasi potensi ancaman dan kelemahan dalam jaringan mereka sebelum serangan dapat terjadi, secara efektif bekerja melawan penjahat dunia maya untuk mengalahkan mereka di permainan mereka sendiri.

“Tidak peduli berapa banyak anggaran yang Anda curahkan untuk perangkat keamanan siber saja, Anda memerlukan elemen manusia,” kata Haris Pylarinos, CEO platform pelatihan peretas etis, Hack the Box.

Pylarinos, mantan peretas etis dan penguji pena dengan pengalaman lebih dari 15 tahun di bidang TI dan keamanan siber, berpendapat bahwa pendekatan tipikal untuk keamanan siber terbatas karena tidak mencerminkan metode dan teknik yang digunakan peretas untuk serangan siber.

Dia sangat percaya bahwa pertahanan terbaik adalah pelanggaran yang kuat. “Anda harus berpikir dan bertindak seperti penyerang untuk menemukan semua cara, tidak peduli seberapa kreatifnya mereka, untuk mendapatkan akses tidak sah ke sistem Anda,” katanya kepada ZDNet.

LIHAT: Penjahat yang kurang ajar sekarang menyamar sebagai perusahaan keamanan siber untuk menipu Anda agar memasang malware

Menurut sebuah studi baru-baru ini, 80% pelanggaran data dapat dikaitkan dengan kurangnya keterampilan keamanan siber di populasi pekerja.

Meskipun program pelatihan keamanan siber dapat meningkatkan kesadaran organisasi dan ketahanan terhadap serangan siber, program tersebut biasanya tidak memberikan pengalaman langsung yang memungkinkan tim keamanan untuk memahami musuh, kata Pylarinos, atau mendedikasikan waktu untuk menguji jaringan perusahaan. untuk kelemahan yang dapat dimanfaatkan oleh peretas.

Di situlah peretas etis muncul. “Mereka meniru perilaku ini, mereka menemukan lubang yang tidak dapat ditemukan oleh alat apapun,” katanya.

Badan sektor publik juga mulai menyadari nilai dari peretasan etis. Pada Mei 2022, kantor Kabinet Pemerintah Inggris memasang iklan lowongan kerja untuk peretas etis senior untuk membantu memberikan pengujian penetrasi dan kemampuan tim merah untuk pemerintah, dan bertanggung jawab untuk “mensimulasikan alat dan teknik siber ofensif.”

“Saya kira, seperti kebanyakan organisasi, mereka menyadari kebutuhan kritis untuk mengadopsi pola pikir peretasan di lingkungan dengan ancaman tinggi saat ini,” Pylarinos menawarkan. “Itulah satu-satunya cara untuk tetap berada di depan para penjahat dan itu harus disambut.”

Meskipun demikian, profesi tetap menjadi sesuatu yang khusus. Hal terdekat yang dimiliki sebagian besar organisasi dengan peretas etis adalah penguji penetrasi (penguji pena), yang tugasnya adalah menyelidiki bagian tertentu dari lingkungan TI perusahaan untuk mengungkap dan mengungkapkan kerentanan apa pun.

Pada kenyataannya, peretasan etis terdiri dari peran yang jauh lebih luas. Mereka akan menggunakan semua alat dan teknik yang mereka miliki untuk melancarkan serangan dan menguji kelemahan di berbagai bagian lingkungan TI, seperti yang dilakukan oleh peretas kriminal.

“Secara umum, bagi saya, seorang penguji pena menggambarkan apa yang dilakukan seseorang – seorang profesional keamanan siber yang berfokus pada cara untuk membobol jaringan,” jelas Pylarinos.

Peretas etis tidak perlu menjadi profesional keamanan siber, baik: “Jika satu pengembang dalam tim berpikir seperti peretas etis, mereka sering dapat melihat kerentanan keamanan sebelum terjadi.”

Tentu saja, mempekerjakan dan melatih orang untuk menjadi peretas etis tetap menjadi kendala yang signifikan, paling tidak karena kurangnya bakat yang tersedia.

Sekali lagi, Pylarinos menunjukkan bahwa peretas etis tidak perlu menjadi orang-orang keamanan siber – meskipun mereka harus sangat paham teknologi dan berbagi beberapa sifat yang membuat peretas pandai dalam apa yang mereka lakukan, katanya.

“Evaluasi keterampilan teknis harus diprioritaskan dalam proses rekrutmen, tetapi kabar baiknya adalah mereka seringkali paling mudah untuk dievaluasi,” kata Pylarinos.

LIHAT: 6 sertifikasi peretasan etis terbaik: Asah keterampilan Anda

“Ini memungkinkan manajer perekrutan untuk mengukur pengetahuan peretas tentang eksploitasi terbaru dan vektor serangan di seluruh solusi dan platform teknologi baru yang digunakan oleh organisasi dan bisnis saat ini, seperti keahlian cloud.”

Keingintahuan bawaan untuk bagaimana segala sesuatunya bekerja – yang “menandakan kandidat akan dapat menemukan kerentanan dengan mudah, dan dengan cepat” – serta keterampilan lunak seperti komunikasi, pengaruh, dan kemampuan kerja tim juga merupakan ciri inti, menurut Pylarinos.

Peretas etis terbaik memiliki kemampuan untuk berkomunikasi dengan jelas dan secara akurat mengungkapkan tingkat keparahan situasi yang berbeda, katanya. “Nasihat yang mereka berikan, serta saran mereka untuk cara yang dapat ditindaklanjuti untuk mengurangi masalah, membutuhkan kepercayaan dan dukungan segera dari tim yang lebih luas untuk membuat perbedaan dalam lingkungan kerja yang bergerak cepat dan bertekanan tinggi.”

Melatih orang untuk menjadi peretas etis juga membawa pertimbangan unik, karena memerlukan lingkungan teknis yang aman di mana peserta pelatihan dapat menguji berbagai teknik dan skenario. “Anda tidak bisa hanya pergi dan ‘meretas’,” catat Pylarinos. “Itu ilegal dan Anda dapat menyebabkan kerusakan.”

Perusahaan dapat membuat dan membangun mesin dan jaringan uji sandbox mereka sendiri, dengan kerentanan bawaan di dunia nyata, di mana tim dapat mengembangkan keterampilan mereka di lingkungan yang aman di mana kode dapat dijalankan dengan aman – atau menggunakan lingkungan yang sudah tersedia.

Leave a Reply

Your email address will not be published. Required fields are marked *