美国军方在上周冒险进入了新领域，在“黑了军队”悬赏行动的第一天，众多被邀请的黑客挑战入侵军方的官方网站，试图寻找那些可能的漏洞。

　　美军部长Eric Fanning在11月中旬发布这个计划的时候说道“我们对于国防部以外发生的那些科技变化并非十分灵活，我们也在寻求新的做事方法。”其中就包括打破了以往政府避免与黑客组织打交道的惯例。

　　和军方一样，企业也意识到黑客并不是罪犯的同义词，而且将黑客变成自己的雇员可能是面对真正挑战的唯一方法。

　　在Radware and Merrill Research进行的调研中，超过59%的受访经理表示曾经雇佣或会雇佣一个前黑客加入他们的网络安全团队。1/4以上的受访机构表示雇佣前黑客超过2年以上，包括所谓的白帽子或有道德的黑客：灰客——那些并非心怀恶意触犯法律或道德标准的人——而黑客通常是恶意操作。

　　在科技职业网站Dice.com上发布招聘道德黑客的职位从2013年的100个到了如今的800个以上。网站董事长Bob Melk表示“与每天超过80000个科技职位的发布量相比，这是个小数目，但很明显这种专业需求的增长十分迅速。”

　　HackerOne的联合创始人兼CTO AlexRice表示，“黑客在寻找一般人无法找到的细枝末节上有特殊的才能，如那些未知的漏洞、并未完全修复好的错误，”HackerOne的社区中有70000个黑客在线的漏洞悬赏平台。“任何机构都有错过的漏洞。”他们愿意承担让一位思维独特、技术高超的黑客进入寻找问题这样的风险。

　　“我们作为供应商已经观战良久，现在作为用户也是一样，”Jon Oltsik是Enterprise Strategy集团的首席分析师与网络安全服务负责人。“那些为了有趣或者研究目的黑入系统的人是首选雇佣对象，他们是很好的猎人与法律调查员，也许没有资质证明，但他们有很好的技巧与能力。”

　　但是雇佣一个因黑客行为触犯法律的人的确有其风险，企业也必须权衡他们想达成的目的与能承担的风险。“你要不要忽略背景雇佣一个罪犯?得看具体情况，有的时候答案是肯定的。根据各自的风险评估结果。”Rice认为。

　　有很多著名黑客走上了成功合法的职业生涯。2008年，18岁的Owen Walker作为国际黑客组织的头目，被指控造成2000万美元损失，他后来去了通信公司Telstra的安全部门工作。Jeff Moss，是Black hat和DEF CON计算机攻击论坛创始人，经营着一个遍布黑客的地下网络，由好奇心开始最后成为罪犯。在2009年，他加入了美国国土安全顾问委员会，并在2011年被任命为ICANN的CSO。Kevin Mitnick目前是安全意识培训网站KnowBe4的首席官员，曾因入侵40家以上大企业被FBI列入通缉名单。

　　模糊的灰色地带

　　大部分黑客不是恶棍或罪犯，Rice认为，“他们能很好地把控自己的能力，其实他们可以选择去做一个罪犯但没有——这和其他类型的专业人员是一样的。”

　　但是在白帽子和黑客之间，有多少企业能判断这中间的灰色地带到底是怎样的?“一个人的黑客行为在另一人看来只是安全研究罢了，”Stu Sjouwerman，KnowBe4的创始人兼CEO表示，“正如同对一人来说是自由斗士之于他人则变成恐怖分子。”

　　供应商公司通常会选择雇佣道德黑客，Oltsik说，“也许他们曾触碰法律边界，但他们并未背负罚单或被定罪。”

　　KnowBe4雇佣了4名白-灰帽子作为安全研究员，偶尔地，公司会在其避免受攻击中踩到法律边界——最近CEO本人就遭遇了欺诈。

　　有人冒名Sjouwerman发了邮件给其审计官并要求电汇40000美元。在马上意识到这是个骗局的同时，他的团队找到骗子的身份信息以其人之道还制其人之身。

　　“我们发了封钓鱼邮件给他的AOL账号，告知登录次数过多账户被锁，请重新登录解锁。他马上就掉入陷阱了。”Sjouwerman回忆道。

　　5分钟后，Sjouwerman的团队就收到了骗子AOL账户的用户名和密码。登录后，他们清空其AOL账导入他们自己的PSD文档并检查他做了什么。这种骗局保证骗子月净入25万美元。

　　“我们知道不能这么做但还是做了，”Sjouwerman说。那么黑客员工的话，“这种事情很容易去尝试，无论白帽子还事灰帽子。”

　　雇佣黑客的障碍

　　Global CSO Shawn Burke非常愿意听取黑客关于他的团队在Sungard Availability 服务中的安全控制解决方案里没涉及到的那些建议，“他们肯定有很多拿得出手的东西。”但是对于Sungard这种为高度管制的金融机构及政府机关提供服务的公司来说，严格的背景审查必不可少。“当然，他们的简历或背景调查中也不会显示他们有什么把柄被抓到。”

　　Sungard确实雇佣了一批白帽子做SANS渗透测试以及培训如何正规地入侵。其中一名员工在上份工作中被卷入“NSA top-secret work”，“他看到了很多其他人从未意识到的东西，”Burke说道，“然而他们不能谈论这些——但他们知道如何去说，用那种秘密的方式，我觉得我们的安全控制也应该用这样的方式进行。”在提到选择员工时，Burke认为信任是关键，“我必须相信他们能够做好工作。”

　　小心翼翼地推进

　　专家认为企业雇佣黑客应该采取必要的预防措施。

　　首先，在招聘前进行背景审查，Oltsik说道，“任何形式的法律问题或者犯罪背景都要亮红灯，与同僚的摩擦或龃龉经历，人事纠纷，私下兼职——与雇用其他人时所需注意的没什么不同。”

　　当评价一个可能有案底的灰、黑客时，“通常是由各种认识的人推荐来帮助他们获得工作，”Sjouwerman说。“有人背书就是某种程度上比较可靠且唯一能够成功的途径了。”

　　一旦成为雇员，黑客们在自己的位置上通常如鱼得水，但是一定要确保你能够监控并管得住他们。Oltsik说，“他们拥有的技能杀伤力很大，经过一段时间的工作，你能很快判断出是否有人在做些令人怀疑的事。”

　　企业同时应该思考黑客是否能融入团队，黑客们天性上趋于单枪匹马而非团队合作，Oltsik表示，“如果你有个员工以入侵破坏系统为乐，也不是那么合群，你是否能找到一个适合他并且有利于双方的位置给他呢。”

　　让他们做咨询顾问

　　Sjouwerman提出，企业如有雇佣黑客的风险顾虑或文化接受方面的担忧，可以考虑选择黑客作为项目制的独立顾问。

　　类似HackerOne这种的漏洞发布企业，通过与安全专家的合作为企业解决其安全漏洞。他们平台上超过70000名黑客已经通过悬赏活动为企业解决漏洞赚取了高达1000万美元的奖金。一个追踪反馈其个人漏洞捕捉行为的信用体系检视着这些从青少年到从事安全渗透测试的专业人员，Rice解释道，“这是一个让人以某种好的方式施展黑客技能的组织机构，那些被证明有道德的黑客会得到一些特殊项目的邀请，例如‘黑了军队’这样的活动。”

　　“企业认识到抢先一步避免被入侵的唯一方式就是与那些没有犯罪动机的能力者们并肩作战，”Rice说，“这能够让彼此更加了解。”

　　责任编辑：DJ编辑