前言:
出于保护计算机网络安全的需要,企业是否值得冒风险雇用一名黑客呢?针对这个问题,我们询问了相关专家的看法。
在TechRepublic的问题与解答专栏中,成员Aldanatech向专家咨询:“出于安全的目的,企业是否应该雇用一名专业黑客?”这个问题的提出立即得到来自各方不同的反馈意见。四名负责安全问题的专家和经理对“是否值得冒险雇用一名‘改过自新’的黑客”阐述了各自不同的观点和立场。
Harris Corporation首席安全工程师Bill Wall指出:
当一名黑客心怀恶意地开展其工作时,其目的要么是严重损害被攻击对象的经济利益,要么是想展示自己有能力制造破坏引起混乱。因此,人们很难从客观上判断所雇用的黑客是否真的“改过自新”。
在某些情况下,企业或许需要具备某方面特长的人帮助他们解决实际困难,并且能够确定他们的确已经改过自新。同时,有必要为他们设立一段时间的测试期。当察觉到他们有异常举动时,企业必须引起足够的重视,查明发生了什么情况。否则,企业将可能面临着一次严重的内部威胁。
然而,如果有多种选择的话,Bill Wall建议企业最好雇用受过训练的安全方面的专业人士。毕竟,雇用一个人是简单的问题,如何解决安全问题才是关键所在。
Bill Wall举例说:“在招聘面试过程中,当求职者夸夸其谈地说已经接受过专业课程培训,具备安全意识并能在工作中遵守相关法规时,我通常会将他们淘汰出局。这类缺乏诚信的人总认为自己比其他人更优秀,并想方设法的希望证明自己的实力。我不愿意雇用他们,因为存在一个是否值得信任的问题。相对而言,我更乐意雇用接受过专业训练,并能真正适应工作需要的安全专业人士。
” CI Host公司首席执行官Christopher Faulkner指出:
我们没有刻意去雇用任何类型的黑客,这并不表示我们不能雇用他们。我认为与通常而言的安全专业人士相比较,职业黑客确实具备某方面超群的才智和技能。
同时,我们应该认识到黑客之间也存在区别。他们都倾向于展示和证明自己的实力,其中有些黑客认为自己具备比常人更丰富的技能,并且希望利用这些技能维护网络安全;另一些心怀恶意黑客的破坏行为则是我们深感忧虑的问题。
我们数据中心的工作人员有39人,从他们掌握的技能水平来说,许多人足以称之为黑客。他们通常是年轻的男性,不习惯于墨守成规。尽管他们不在美国公司总部工作,也没有统一着装,但他们具备超群的技能。我们不要求这些人必须持有大学文凭,而是更看重他们的实际工作经验。
此外,必须承认的是这些雇员善于学习和掌握最新的知识和发展动态,并且努力做到最好。他们或许喜欢喋喋不休地进行谈论,并且对感兴趣的问题刨根问底,但这正是我认为很重要的一种素质。
Shavlik Technologies公司首席安全工程师Eric Schultze的观点:
Schultze曾经协助编写了一本揭露黑客内幕的书籍,内容涉及到黑客可能采取何种方式入侵到银行、保险公司、或其他组织的安全系统,以及这些公司应采取哪些对应的防范和处理措施。
Schultze说:“我认为雇用那些能够改过自新的黑客不仅是合法的,而且相信他们能够很好的完成工作任务。显然,他们非常聪明能干,就我个人来说,我相信他们能够以认真负责的态度来完成所分配的任务。”
“尽管如此,还有一个关键的问题必须得到重视。雇用一个改过自新的黑客应该得到公司股东和管理者的一致同意。显然,风险是肯定存在的。虽然我相信他们能够很好的为公司效力,甚至于事实上他们也的确为公司做出贡献,但意外情况也可能出现。举个例子来说:如果公司财务部门的所有机器系统突然崩溃,而此时为我们工作的一位‘改过自新’的黑客碰巧经过财务部,毫无疑问他将受到公司的怀疑。”
“我的观点是应该给予诸如Kevin Mitnick这类改过自新的黑客一个机会,事实上我也的确邀请了Kevin到公司为我们的职员做了一次演讲,目的是为提高员工们的安全防范意识。但我们也仅仅是邀请他来进行演讲并支付相应的报酬,而不是聘请他来担任顾问或从事实际的网络管理员之类的工作。”
西门子商业服务中心信息安全主管Dave Bixler的观点:
Dave Bixler指出:“我们必须认识到受到法律指控的罪犯与改过自新的人之间存在着差别。出于客户要求,我们有必要对雇员的背景和经历进行详细了解。”
“我赞同给改过自新的人提供机会。然而考虑到某人曾被指控犯有重罪,特别是利用计算机进行的违法犯罪行为,这将使我们放弃雇用他,即便他是一个我们需要的人材。正如你不会雇用一个银行抢劫犯来担任银行警卫工作一样,银行系统的客户显然也不会赞成我们雇用这类人员。因为我们与客户之间的计算机系统存在相互连接的关系。更准确的来说,整个商业环境都是一种相互连接协同工作的关系。”
对于支持雇用黑客的人们来说,通常他们的心态是希望“以火功火”或“以恶治恶”。他们认为雇用这样的人可以更清楚的了解黑客的想法和手段。Dave Bixler对上述观点持否定态度。他说:“我并不关心破坏者有什么样的想法。我的工作并非是对这些人的动机和行为进行心理分析,而是阻止和防范他们的破坏活动。当你想要做更多了解的时候,或许可以征求他们的意见和看法,但你绝不能说‘由于你擅长抢劫银行,如今你已改过自新,因此我们想让你成为这方面问题的专家’。在这种情况下,估计有99%的黑客将被公司拒之门外。”
Dave Bixler补充说:“事实上,所谓的黑客中只有百分之一的人是真正了解UNIX、 Windows、网络安全、防火墙方面的知识,他们才是真正的黑客高手。我接触过的黑客中有一位已经创建了自己的网络安全公司,吸引我乐意与他进行交谈的原因,并不是他所掌握的入侵或破坏计算机系统的技巧,而是他所具备的专业知识和技能。”
网友评论