探索中国CIO人才现状 | 第四季调研报告
雇佣前黑客:这是企业安全的解决之道吗?
2016-08-04  来源:techtarget

如果有人闯入你家并偷走你的贵重珠宝,多年后,你是否会雇佣他来保护你的家或者从他那里买回珠宝?

最有名的黑客出身安全专业人士应该是Kevin Mitnick。他最知名的是在1995年因多宗计算机和通信有关犯罪被逮捕,而自2000年以来,Mitnick转变成安全顾问、公共演说家和作家。他为世界500强企业以及FBI提供安全咨询服务;为世界上最大的公司进行渗透测试;向几十家公司和政府机构教授社会工程学课程。有人可能会说他现在已经改过自新,致力于打击非法黑客和计算机犯罪。虽然有些人质疑他的方法是否不道德,但他确实可为客户提供不一样的视角。

在雇佣前黑客之前需要考虑三件事情以帮助增强和发展企业信息安全计划:道德、知觉和道德黑客。

大多数雇主会对新雇员进行犯罪背景调查。如果应聘人员的背景涉及因攻击、数据泄露或欺诈而被逮捕或监禁,他将不会被录用。这种人的道德应该被质疑,如果企业为政府机构或需要最高安全检查的公司提供服务,前黑客也不能参与。此外,信任将始终是一个问题。数据泄露事故的发生是因为攻击者因为经济利益或个人目的滥用了控制漏洞,因此,企业可能很难相信这个前黑客雇员不会再这样做。所以,在雇佣前黑客之前,企业应该认真考虑这个人的道德是否有问题。

接下来是知觉问题。聘请前黑客提供安全咨询无疑是引人注目且有新闻价值的事件,也许这正是高层管理所希望达到的目的。他们可能希望让股东、合作伙伴和客户知道他们在认真对待安全,他们可能还想要其他人了解,他们已经到处搜寻都没有找到可满足其独特保护要求的网络安全专家,所以他们现在要雇佣前黑客。

这可能是公开传达的信息,但其真正的目的是管理知觉,并且这很可行。高层管理会留下深刻印象,股东将备受鼓舞,而客户也会感到放心。但还有谁受到影响?内部员工得到的信息是他们不足以满足需求,他们的技能无法充分满足其目标。除非企业现有网络安全人员愿意与前黑客共事,否则企业需要聘请全新的全职员工。

重要的是要记住,前黑客被确定为罪犯不仅仅因为他们做了非法的事情,而且因为他们被逮捕。无论他们为何失败,都说明他们的技术并非无懈可击。道德黑客或网络安全专业人士能否做得更好?也许。你可以审核招聘过程,从教育、证书、知识和经验来招聘合适的人才。你可聘请那些可执行甚至超过所需要求来支持信息安全计划及目标的人员。现在可能缺乏技能纯熟的网络安全专业人员,但确实有。

并非所有犯罪黑客都容易再犯。Mitnick就是黑客改过自新的最好例子。企业可聘请他们想要的任何人,包括前黑客。然而,每个规则都会有例外情况,聘请Mitnick或前黑客作为全职员工并不是好主意,并不仅仅因为信任问题。而是因为,简单地说,前黑客是罪犯,聘请前黑客最终会被客户和合作伙伴知道,最好是聘请经验丰富的有能力且通过审核的候选者。