“黑客”一詞對許多人來說具有負面的含義，但是為了加強企業數據中心或業務系統的安全性，黑客攻擊并不總是惡意的。在某些情況下，黑客攻擊可以幫助加強企業數據中心的網絡安全性。

白帽、紅隊和滲透性測試  

道德黑客會在企業的業務系統中尋找安全漏洞，以幫助企業解決問題。  

網絡安全服務商AttackIQ公司的副總裁兼首席信息安全官(CISO)Chris Kennedy表示：“紅隊(Red Teams)就是采用的一種道德黑客的概念，他們可以在惡意攻擊者攻擊之前發現問題。它允許企業的數據中心在惡意攻擊者發現之前堵住安全漏洞。”   他說，這里涉及廣泛的活動和技能水平。例如，歐洲服務器租用，可以使用自動化工具來查找系統和應用程序中的已知缺陷。另一方面，才華橫溢的工程師可以對應用程序進行逆向工程。  

他說，“他們可以尋找憑據的管理方式，以及用于通信的協議中的缺陷。”白帽黑客也可以被部署來突破數據中心的物理安全，或者模仿內部人員并試圖竊取數據。  

Kennedy表示，這完全取決于成本效益分析以及數據中心想要實現的目標。他說，“大多數人都不想承擔被惡意攻擊的風險。如果遭遇攻擊可能帶來損失，就會承擔責任，這會使員工感到恐懼。”   他說，大多數情況下，滲透性測試(Pen Tests，Pen是“Penetration”的縮寫)僅涉及身份卡(badging)系統有效且門鎖已固定。黑客具有一些技巧，以避開安全系統的檢測。   他說，“以磁性門鎖為例，它們依靠運動傳感器工作。我親眼目睹了一次滲透性測試，安全人員采用一根木棍和一張卡片迅速打開了門鎖。”  

Kennedy警告說，數據中心管理人員在雇傭白帽黑客之前應采取一些防范措施。這包括調查滲透性測試公司的聲譽及其審查員工的政策。  

他表示，滲透測試還應該有一個明確定義的范圍。數據中心需要決定如何監控滲透性測試。安全運營中心是否會意識到發生了什么?對于黑客的行為為什么不會發出警報?或者他們是否會注意到受到攻擊?數據中心應提前計劃以防萬一。  

BeyondTrust公司首席技術官 Morey Haber說：“道德黑客就像其他人一樣。盡管他們攻擊的意圖很好，但他們的測試可能會帶來不良后果。”  

他說，例如，如果一個系統在測試前是適度安全的，那么道德黑客可能會在測試后意外地使其處于易受攻擊的狀態。如果不加以補救，就可以讓真正的攻擊者更容易闖入。  

Haber說，“道德黑客記錄了他們的行為，并且如果這些文件沒有得到保護并被視為敏感文件，則可以將它們用作真正的威脅行為者進行破壞的藍圖。黑客甚至會與道德黑客彼此交流。雖然保密協議將禁止命名，但這種方法通常對于論文和會議來說是公平的。這一曝光有助于技術社區，但也可能會讓一些黑客嘗試其攻擊技術。”  

羅得島州技術咨詢機構Carousel Industries公司的首席信息安全官Jason Albuquerque表示，為了降低這些風險，企業應該與值得信賴、信譽良好的公司合作。  

企業選擇的滲透測試公司應該有適當的認證、道德規范和行為準則，以及清晰概述測試范圍的結構化流程。  

他說：“如果安全工程師遇到敏感的、個人的、機密的或專有的信息，他們的行動必須以百分之百關注保護客戶為指導方針。”  

當黑客來敲門  

有時，白帽黑客在沒有獲得企業同意的情況侵入其系統。  

AttackIQ公司Kennedy的一個朋友表示，一名黑客聯系到他，聲稱已經侵入了該朋友公司的安全系統，站群服務器，該公司的一個程序已經脫離補丁程序管理范圍，并已公開泄露。白帽黑客對他說，‘我發現了這個問題，你愿意提供賠償嗎?'他的朋友進行了漏洞掃描，找到了問題立即修復，并向這位黑客支付了酬金。  

Kennedy表示，如果這發生在企業身上，那么第一步就是驗證問題。它可以像運行掃描一樣簡單，也可以要求黑客提供更多信息。  

他說：“企業首先需要接觸黑客，為了設定正確的賠償標準，可以讓黑客透露可能泄露的資產，也許企業的一位開發人員只是進行了修改，并沒有任何商業價值。下一步是確定黑客是否值得信任，企業需要了解其行為是否出于惡意目的還是白帽黑客。現實是，可能會向他們支付費用，否則黑客可能會以惡意方式公開披露漏洞。”  

專家建議，數據中心管理人員需要了解白帽黑客可能會提出什么樣的要求，并與Bugcrowd等信譽良好的組織簽約，或者向黑客支付費用，以符合道德的方式幫助企業查找漏洞。