arrick Holdings是一家提供信息安全解決方案和服務的公司。該公司的CEO Clint Carrick說，在信息安全界，越來越多的人從黑客角度考慮問題，以便提高信息系統和設備的安全性。
“公司內部決策者站在網絡犯罪分子的立場上看問題，他們用這個方法成功地對他們的信息安全策略以及程序進行再評估。”
Carrick Holdings是Cyber Detectives, Carrick Training 以及Carrick Consulting三家公司的母公司。它最近受本地一家銀行機構的委托，對其進行全面的安全評估。
該項服務使用了外部方法（黑盒）以及使用內部方法（白盒）來進行評估。
Carrick的代理們不利用企業安全的任何漏洞，但他們確定外部能見度并且給出相關報告。
“原則不是那種‘你不能訪問數據，因此環境是安全的，而應當是在混沌情況下的安全性，”Carrick解釋道。“該項原則是針對伴隨黑客生命周期開始而出現的各種風險的。”
Carrick Holdings 的一個技術員Hugo van Niekerk解釋了該公司所使用的分階段評估法。
“項目的第一階段是搜查。就如同它的名字所顯示的一樣，這個過程中，我們搜集了關于評估目標（TOE）的所有公共可用的信息——這些是描述要評估的系統的整體信息。”
“DNS服務器就相當于信息的源頭。DNS信息給安全代理人員指示了防火墻IP地址和分配給該銀行的公共IP地址。它還進一步識別銀行網站的位置以及其他靜態IP的信息，例如，電子郵件和VPN服務等，”Van Niekerk說。
他繼續說，第二階段我們掃描漏洞，并進行分析。
除了顯示系統的一些不足，該分析還顯示了該機構花了大力氣保護它的基礎設備——從日常步驟和手續的修改，直到補丁和漏洞管理，還有有效地過濾電子郵件。
Van Niekerk說，“在銀行的內部網絡上，人們熟練地配置了連接設備，它提供一種平穩的安全措施。我們給服務器打了補丁，并安裝了防毒軟件，入侵防御系統(IPS)，以及各種各樣的加密和過濾裝置。”
Carrick總結道，“大多數對環境的攻擊都很復雜，并且這些攻擊是由那些動機很強的犯罪者操作的。可以說，銀行機構和財政機構每天都面臨這樣的挑戰，因此同時從敵我兩個角度處理安全措施很有價值。”