什么是道德黑客?
“对大多数人来说,黑客这个词会让人产生负面联想,就是这样的人侵了你的设备或系统。道德黑客是一个专家,举例来说,就是在应用程序或系统中寻找漏洞而不会公之于众。我们称之为渗透测试( pen test)。他把问题报告给公司并提供建议,这样他们才能解决问题。你可以把它看作是让一个窃贼看看你的房子是否安全,弱点在哪里,以便提高你的安全保障。最终,我们帮助企业将其系统和应用程序的安全性提高到一个更高的水平。”
您是Onvio的道德黑客。您的工作是怎样开展的?
“以应用程序为例来说,当我们测试它时,我们从标出的功能开始。这可能需要与该公司进行一次演示会议。然后我们看看用户的浏览器——在Priva案例中,用户是种植者——和公司服务器(Priva)之间产生的流量。我们拦截流量,看看能不能影响它。这是 渗透测试中最敏感的部分。”
渗透测试结束后怎么做?
“测试的所有结果都汇集在一份报告里。这是一份包含技术部分、风险分析和管理总结的渗透测试报告。这告诉技术人员哪些需要改进,并为管理层提供了清楚的情形。然后,客户与自己的(开发)团队一起研究报告。接下来,我们在交货给客户时一起讨论报告的技术部分。如果有必要,我们会解释技术元素,并给出我们的专业建议,但是否执行这些建议的决定权在客户。最后,我们会做一次新的测试,根据最初的报告和所做的改进给出新的建议。”
对于Priva来说,几个云应用程序最近都接受了渗透测试。已经为这些应用程序做好了第三方备忘录(TPM)。备忘录的内容表明应用程序是足够安全的。这些测试将定期重复进行。普瑞瓦(Priva)预计,将很快有更多其他产品和云服务的TPM声明。
数字世界正在以令人难以置信的速度发展。在黑客领域,你们是如何紧跟节奏的?
“现在有课程,甚至很多硕士项目在关注安全和黑客问题。此外,还有大量的颁发证书的项目,他们设置某种试验室为你提供实践培训。不断发现新类型的漏洞对我们和我们的客户来说都很重要。所以我们每年都去那种实验室测试自己,学习新东西,并获取证书。”
在软件和应用程序中每天都有新的漏洞被发现——永无休止。与时俱进主要是指跟上主要的发展和创新。例如,新技术,比如一种新型的登录机制。这也会带来新的漏洞。
您会给我们的客户即种植者一些什么建议呢?
“Priva的大多数客户即种植者,他们都有自己的公司,其中许多流程都是自动化的。那会牵涉到很多数据。对种植者来说,对将系统连接到云解决方案,例如一个 app,是很有压力的事。因为如果未经授权的人拿走了作物数据怎么办?这种担心很实际,但我认为当你使用云和数字服务时,作物数据实际上更安全。种植者非常擅长栽培作物,但他们对数据安全行业通常不熟悉。例如,作为一个种植者,您对风险分析有了解吗,是否知道生成了什么数据,数据存储在哪里,以及谁可以访问这些数据?我给出的一个建议就是花钱在这上面。
一些种植者不愿意将它们的数据存储在云端,因为觉得这样做之后他们就不知道数据到哪里去了。普瑞瓦(Priva)可以消除这种担忧。在存储数据和如何保护数据方面,微软和Priva之间有很好的协议。在大多数情况下,这比自己存储更安全。例如,具有安全性和备份的本地服务器怎么样?存储都是在云端自动发生的,因此在此情形的标准安全系统已被触发。这是非常先进的,通常超出了你自己可以采取的安全措施。”
