商业
您现在的位置:首页 > 商业 > 研究称,红色团队可以推动道德极限,但不能强加于自己
  • 第三批专项债六月底发完 项目完成审核

    第三批专项债六月底发完 项目完成审核

    发布时间:2020/04/06

    财政部副部长许宏才4月3日在新闻发布会上表示,今年以来,根据全国人大常委会授权,财政部提前下达了2020年部分新增专项债券额度12900亿元。截至2020年3月31日,全国各地发行新增专项债券1.08万亿元,占84%,发行...

  • 国美零售转型加速 携拼多多“迎战”零售业大考

    国美零售转型加速 携拼多多“迎战”零售业大考

    发布时间:2020/04/06

    随着国内疫情初步得到控制,零售消费市场也在逐渐恢复运转。日前,国务院联防联控机制举办新闻发布会。商务部消费促进司负责人王斌在会上指出,将千方百计促进消费回补和潜力释放,壮大新型消费和升级消费,扩大...

  • 美新冠疫情蔓延,建霖家居等IPO企业受累

    美新冠疫情蔓延,建霖家居等IPO企业受累

    发布时间:2020/04/06

    编者按: 随着疫情蔓延,全球新冠肺炎确诊病例已突破百万,累计死亡超5万例,其中,美国确诊超过23万例,欧洲确诊超过50万例。作为全球经济重要力量的欧美地区,其疫情将对IPO企业产生什么影响? “有一天美国将成...

  • 信托代销哪家强?招行去年赚64亿

    信托代销哪家强?招行去年赚64亿

    发布时间:2020/04/04

    证券时报记者 杨卓卿 随着银行年报密集披露,一些行业巨头代销信托产品的情况也浮出水面。 证券时报记者注意到,“零售之王”招商银行2019年代销的信托产品规模超过3000亿元,借此实现64.32亿元的手续费及佣金收入...

研究称,红色团队可以推动道德极限,但不能强加于自己

发布时间:2020/02/03 商业 浏览次数:638

 
醒来,做早餐,让孩子们上学,开车去上班,闯入首席财务官的邮箱,并窃取整个公司的员工税收记录。也许以后,您会从街对面的百吉饼中抢来。
对于“红色团队”(或进攻性安全研究人员)而言,这只是工作的另一天。
这些进攻性安全团队由熟练的黑客组成,他们被授权在公司的系统,网络以及他们的员工中发现漏洞。通过从内部对公司进行黑客攻击,公司可以更好地了解在哪里需要加强防御,以帮助防止真正的未来黑客。但是,黑客操纵目标的社会工程学可能会对目标造成严重后果。尽管红队的参与是经过授权的并且是合法的,但是某些攻击和努力的道德准则可能会被忽略。
最新发布的研究着眼于参与进攻性安全活动的道德规范。在道德上可接受的做法是,发送钓鱼电子邮件,贿赂接待员或在个人计算机上植入破坏性文档,如果这意味着防止违反常规的行为?
调查结果表明,安全专家,例如红色团队和事件响应者,在道德上更容易接受对他人进行某些类型的黑客活动,而不是让这些活动与自己对立。
这项研究是本周在华盛顿特区的Shmoocon 2020上首次对500名从事安全和非安全职位工作的人员进行的调查,结果发现非安全专业人员,例如从事法律,人力资源工作的员工,或在接待处,与红队或事件响应之类的安全专业人员相比,反对将钓鱼邮件作为红色团队参与的一部分的可能性要高出9倍。
希望这些发现有助于在内部渗透测试期间开始讨论红队的参与对公司士气的影响,并帮助公司帮助理解红队的参与规则的局限性。
“当红色团队成员被迫面对自己的目标与自己一样的事实时,他们对可以对他人进行安全测试以对他人进行安全测试的态度在他们面对可能发生在他们身上的事实后就会发生巨大变化,”这项研究的合著者,新美洲网络安全政策研究员塔拉·惠勒(Tarah Wheeler)说。
该调查询问了进攻性安全测试中的一系列潜在策略,例如网络钓鱼,贿赂,威胁和冒充。受访者被随机分配到两个包含所有相同问题的调查中,其中一个被问及是否可以开展这项活动,而另一个被问及是否对他们发生了问是可接受的。
调查结果显示,如果对网络钓鱼使用某些策略(例如,网络钓鱼电子邮件和植入破坏性文档),安全专业人员将最多反对四次。
惠勒说:“人类不善于客观。”
这些发现是在红色团队越来越多地将其活动列为头条新闻的时候发布的。就在本周,Coalfire的两名进攻性安全研究人员因闯入爱荷华州法院大楼而被指控落案,这是红队参与的一部分。这些研究人员受爱荷华州司法部门的任务和授权,以发现其建筑物和计算机网络中的漏洞,以提高其安全性。但是,当地警长抓住了这对夫妇并反对他们的活动,尽管出示了一封“越狱”信,详细说明了授权的订婚活动。即使安全社区普遍逮捕了该人,此案也使人们难得了解安全渗透测试和红色团队。
调查还发现,世界不同地区的安全专业人员比其他人更讨厌某些活动。例如,中美洲和南美洲的安全专家更多地反对植入破坏性文件,而中东和非洲的安全专家则更多地反对贿赂和威胁。
该研究的作者说,要点不是说红色团队应该避免某些进攻性安全实践,而是要意识到他们可能对目标(包括其企业同事)产生的影响。
Fortalice Solutions的安全工程和运营总监Roy Iversen说:“当您组建一支红色团队并确定目标时,请考虑对您的同事和客户的影响。”艾弗森说,调查结果还可以帮助公司决定他们是否希望外部红色团队开展业务,以最大程度地减少公司内部红色团队与更广泛的员工之间的内部冲突。
研究人员计划在明年扩展他们的工作,以提高总体调查数量,并更好地了解其受访者的人口统计特征,以帮助完善调查结果。
惠勒说:“这是一个正在进行的项目。”