30 de setembre de 2023
Hacking ètic: com prevenir els ciberatacs a la teva empresa
No ho neguem. Encara que fins i tot el diccionari de la Reial Acadèmia Espanyola recull una accepció positiva del terme hacker (bé, en el cas de la RAE, jaquer) com aquella “persona amb grans habilitats en el maneig d'ordinadors que investiga un sistema informàtic per avisar dels errors i desenvolupar tècniques de millora”, la veritat és que l'imaginari col·lectiu associa aquest terme amb el de pirata informàtic. És a dir, amb aquell que accedeix il·legalment a sistemes informàtics aliens per apropiar-se'ls o obtenir informació secreta.
Hacking: l'ètica per bandera
Potser per això, moltes vegades, s'utilitza l'expressió de hacking ètic per referir-nos a quan aquests professionals de la seguretat informàtica tenen el permís d'una organització per fer comprovacions de la seva seguretat. L'objectiu d'aquestes proves és comprovar, precisament, com està la xarxa, quins són els punts forts i els febles dels sistemes per millorar la protecció i la seguretat de la informació.
Quan es duen a terme pràctiques de hacking ètic s'estan posant en marxa les mateixes tècniques i pràctiques que faria un cibercriminal per intentar trencar les mesures de protecció i endinsar-se, sense permís, en una xarxa o en un equip.
L'objectiu d'aquestes pràctiques és poder avançar-se a les possibles intencions dels hackers “dolents” i evitar que puguin complir amb el seu objectiu d'atacar la nostra empresa i violar la nostra seguretat.
Diferents tipus de hackers
Per diferenciar aquests dos tipus de hacking, moltes vegades es sol referir als professionals com els de barret negre quan les seves intencions són malicioses. Mentre que els del barret blanc són aquells que tenen el vistiplau de l'organització contra la qual estan intentant descobrir els seus punts febles en la seguretat dels seus sistemes.
Hackers de barret negre i barret blanc
Per tant, els objectius i motivacions de tots dos perfils són molt diferents. Mentre que els hackers de barret negre busquen trencar la seguretat, accedint a comptes i dades sense permís per robar dades valuoses i entrar en àrees de dades restringides, els de barret blanc persegueixen millorar el marc de seguretat de les empreses, facilitar el desenvolupament d'estructures de seguretat sòlides, així com millorar els tallafocs i actualitzar i mantenir regularment els sistemes de seguretat.
Hi hauria un tercer grup de hackers, els de barret gris. A mig camí entre els autoritzats i els no autoritzats, aquest tipus de professionals es dediquen a explotar vulnerabilitats, però amb l'objectiu d'augmentar la consciència sobre aquests problemes. A diferència dels de barret negre, no tenen males intencions. Però tampoc es tenen per què amoldar-se a un codi d'ètica com fan els hackers de barret blanc.
Hackers ofensius
Però, a més, dins de la seguretat, també se sol diferenciar entre diversos tipus d'equips. Així, el conegut com a “red team” (o equip vermell) està format per professionals que treballen en una capacitat ofensiva, fent-se en molts casos passar per un ciberatacant amb la finalitat de avaluar el risc i les vulnerabilitats d'una xarxa o sistema en un entorn controlat. Aquest red team examina els possibles punts febles de la infraestructura de seguretat i també els llocs físics i les persones.
Hackers especialitzats en seguretat
D'altra banda, trobem el “blue team” (equip blau) que treballa com a defensa dels serveis de seguretat. Aquests hackers coneixen els objectius empresarials i l'estratègia de seguretat de l'organització per a la qual treballen. Es dediquen a recopilar dades, documentar les àrees que necessiten protecció, realitzar avaluacions de risc i reforçar les defenses per evitar les bretxes. Normalment són els encarregats de potenciar algunes polítiques de seguretat més robustes, com contrasenyes més fortes, limitar l'accés al sistema, posar en marxa eines de supervisió i educar altres membres del personal.
Per últim, i encara que són menys freqüents, també podem localitzar els “purple team” o equips porpra. Com el seu propi nom deixa entreveure, són una barreja dels dos anteriors. De fet, la seva missió és que ambdós equips (vermell i blau) treballin estretament perquè es retroalimentin i, amb això, s'incrementi encara més la seguretat de l'organització en general.
Per què fer hacking ètic
En comportar-se com si ho fes un atacant maliciós, dur a terme accions de hacking ètic permet avançar-se a possibles incidents, conèixer l'estat real de la nostra seguretat i millorar aquells punts susceptibles de ser corromputs amb facilitat.
Amb aquest tipus d'accions, una empresa pot saber quin tipus de vulnerabilitats veu un atacant en els seus sistemes, quin d'ells (amb la informació que posseeixen) són més fàcilment accessibles per tercers sense permisos per a això i conèixer l'abast d'un possible atac.
Amb tota aquesta informació, es podran posar els remeis perquè aquests atacs no es produeixin.
Share
Potser et pot interessar
Hem recollit 52 quilos de brossa a la platja de Pinedo, a València
A SEIDOR estem compromesos amb la gestió ambiental, per això, l'any 2014 ens vam adherir al Pacte Mundial de les Nacions Unides. Una iniciativa que ens està ajudant a fomentar activitats i iniciatives dirigides a millorar la nostra forma de relacionar-nos i aportar valor a la societat desenvolupant la nostra activitat de forma sostenible.
SEIDOR adquireix Opentrends i reforça la seva estratègia de transformació d'aplicacions al núvol
SEIDOR, consultora de serveis i solucions tecnològiques, ha adquirit una participació majoritària d'Opentrends, companyia de transformació digital especialitzada en el desenvolupament d'aplicacions al núvol i solucions de customer experience, reforçant així la seva estratègia en aquest àmbit.
El creixement de la divisió de sector públic de SEIDOR
La divisió de sector públic de SEIDOR es troba en ple creixement, liderada, des de fa dos anys, per Joan Ramon Barrera s'ha enfocat totalment a donar resposta a les necessitats tecnològiques de les diferents organitzacions públiques i acompanyar-les en el seu procés de digitalització.