W jaki sposób Twoja organizacja może skorzystać z etycznego hakowania?

Autor: Roger Morrison
Data Utworzenia: 26 Wrzesień 2021
Data Aktualizacji: 20 Czerwiec 2024
Anonim
W jaki sposób Twoja organizacja może skorzystać z etycznego hakowania? - Technologia
W jaki sposób Twoja organizacja może skorzystać z etycznego hakowania? - Technologia

Zawartość


Źródło: Cammeraydave / Dreamstime.com

Na wynos:

Hakowanie jest ogromnym zagrożeniem dla organizacji, dlatego etyczni hakerzy są często najlepszym rozwiązaniem do wykrywania luk w zabezpieczeniach.

Charakter zagrożeń bezpieczeństwa cybernetycznego ewoluuje. O ile systemy nie rozwiną się w celu zarządzania tymi zagrożeniami, będą siedzieć kaczki. Chociaż konieczne są konwencjonalne środki bezpieczeństwa, ważne jest, aby uzyskać perspektywę ludzi, którzy mogą potencjalnie zagrozić systemom lub hakerom. Organizacje zezwalają kategorii hakerów, znanej jako etyczni lub hakerzy z białym kapeluszem, na identyfikację luk w zabezpieczeniach systemu i dostarczanie sugestii, jak je naprawić. Etyczni hakerzy, za wyraźną zgodą właścicieli lub interesariuszy systemu, przenikają do systemów w celu identyfikowania luk w zabezpieczeniach i przedstawiają zalecenia dotyczące poprawy środków bezpieczeństwa. Etyczne hakowanie sprawia, że ​​bezpieczeństwo jest holistyczne i kompleksowe.


Czy naprawdę potrzebujesz etycznych hakerów?

Z pewnością nie jest obowiązkowe korzystanie z usług etycznych hakerów, ale konwencjonalne systemy bezpieczeństwa wielokrotnie nie zapewniały odpowiedniej ochrony przed wrogiem, który rośnie i rośnie. Wraz z rozprzestrzenianiem się inteligentnych i połączonych urządzeń systemy są stale zagrożone. W rzeczywistości hakowanie jest postrzegane jako lukratywna droga finansowa, oczywiście kosztem organizacji. Jak ujął to Bruce Schneier, autor książki „Chroń swój komputer Macintosh”: „Sprzęt jest łatwy do ochrony: zamknij go w pokoju, podłącz do biurka lub kup zapasowy. Informacja stanowi większy problem. Może istnieć w więcej niż jednym miejscu; być transportowanym w połowie planety w kilka sekund i zostać skradzionym bez twojej wiedzy. ” Twój dział IT, chyba że masz duży budżet, może okazać się gorszy od ataku hakerów, a cenne informacje mogą zostać skradzione, zanim zdasz sobie z tego sprawę. Dlatego sensowne jest dodanie wymiaru do strategii bezpieczeństwa IT poprzez zatrudnienie etycznych hakerów, którzy znają sposoby hakerów black hat. W przeciwnym razie Twoja organizacja może ryzykować nieświadomym utrzymaniem otwartych luk w systemie.


Znajomość metod hakerów

Aby zapobiec włamaniom, ważne jest, aby zrozumieć, jak myślą hakerzy. Konwencjonalne role w bezpieczeństwie systemu mogą zrobić tyle, dopóki nie zostanie wprowadzony sposób myślenia hakera. Oczywiście sposoby hakerów są wyjątkowe i trudne do obsłużenia przez konwencjonalne role bezpieczeństwa systemu. To uzasadnia zatrudnienie etycznego hakera, który może uzyskać dostęp do systemu tak, jak złośliwy haker może, a po drodze odkryć wszelkie luki w zabezpieczeniach.

Testy penetracyjne

Testy penetracyjne, znane również jako testowanie za pomocą pióra, służą do identyfikowania słabych punktów systemu, na które atakujący może atakować. Istnieje wiele metod testowania penetracyjnego. Organizacja może stosować różne metody w zależności od swoich wymagań.

  • Testy ukierunkowane obejmują ludzi organizacji i hakera. Wszyscy pracownicy organizacji wiedzą o hakowaniu.
  • Testy zewnętrzne przenikają wszystkie zewnętrzne systemy, takie jak serwery WWW i DNS.
  • Testy wewnętrzne ujawniają luki otwarte dla użytkowników wewnętrznych z uprawnieniami dostępu.
  • Ślepe testy symulują prawdziwe ataki hakerów.

Testerzy otrzymują ograniczone informacje o celu, co wymaga przeprowadzenia rozpoznania przed atakiem. Testy penetracyjne to najsilniejszy przypadek zatrudniania etycznych hakerów. (Aby dowiedzieć się więcej, zobacz Testy penetracyjne i delikatna równowaga między bezpieczeństwem a ryzykiem).

Identyfikacja podatności

Żaden system nie jest całkowicie odporny na ataki. Mimo to organizacje muszą zapewniać wielowymiarową ochronę. Paradygmat etycznego hakera dodaje ważny wymiar. Dobrym przykładem jest studium przypadku dużej organizacji w dziedzinie produkcji. Organizacja znała swoje ograniczenia w zakresie bezpieczeństwa systemu, ale sama nie mogła wiele zrobić. Dlatego zatrudnił etycznych hakerów, aby ocenili bezpieczeństwo swojego systemu oraz przedstawili swoje ustalenia i rekomendacje. Raport obejmował następujące komponenty: najbardziej wrażliwe porty, takie jak Microsoft RPC i administracja zdalna, zalecenia dotyczące poprawy bezpieczeństwa systemu, takie jak system reagowania na incydenty, pełne wdrożenie programu zarządzania lukami oraz bardziej kompleksowe wytyczne dotyczące hartowania.

Gotowość do ataków

Ataki są nieuniknione bez względu na to, jak wzmocniony jest system. W końcu atakujący odkryje lukę lub dwie. W tym artykule stwierdzono już, że cyberataki, niezależnie od stopnia wzmocnienia systemu, są nieuniknione. Nie oznacza to, że organizacje powinny przestać zwiększać bezpieczeństwo swojego systemu - wręcz przeciwnie. Cyberataki ewoluują, a jedynym sposobem zapobiegania lub minimalizowania szkód jest dobra gotowość. Jednym ze sposobów przygotowania systemów na ataki jest umożliwienie etycznym hakerom zidentyfikowania luk w zabezpieczeniach.

Istnieje wiele przykładów tego i należy omówić przykład Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS). DHS wykorzystuje niezwykle duży i złożony system, który zarówno przechowuje, jak i przetwarza ogromne ilości poufnych danych. Naruszenie danych stanowi poważne zagrożenie i jest równoznaczne z zagrożeniem dla bezpieczeństwa narodowego. DHS zdał sobie sprawę, że doprowadzenie etycznych hakerów do włamania się do jego systemu, zanim zrobili to hakerzy w czarnym kapeluszu, było sprytnym sposobem na podniesienie poziomu gotowości. Ustawa o hackowaniu DHS została przyjęta, co pozwoli wybranym etycznym hakerom włamać się do systemu DHS. Akt szczegółowo określał, w jaki sposób działałaby inicjatywa. Zostanie zatrudniona grupa etycznych hakerów, którzy włamią się do systemu DHS i zidentyfikują ewentualne luki w zabezpieczeniach. Za każdą nową zidentyfikowaną lukę etyczni hakerzy byliby nagradzani finansowo. Hakerzy etyczni nie podlegaliby żadnym działaniom prawnym z powodu ich działań, chociaż musieliby działać zgodnie z pewnymi ograniczeniami i wytycznymi. Ustawa zobowiązała również wszystkich hakerów etycznych uczestniczących w programie do dokładnego sprawdzenia przeszłości. Podobnie jak DHS, renomowane organizacje zatrudniają etycznych hakerów od dłuższego czasu, aby podnieść poziom bezpieczeństwa systemu. (Więcej informacji na temat bezpieczeństwa w ogólności znajduje się w 7 podstawowych zasadach bezpieczeństwa IT).

Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia

Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.

Wniosek

Zarówno etyczne hakowanie, jak i tradycyjne zabezpieczenia IT muszą współpracować w celu ochrony systemów korporacyjnych. Jednak przedsiębiorstwa muszą opracować strategię etycznego hakowania. Prawdopodobnie mogą usunąć liść z polityki DHS wobec etycznego hakowania. Rola i zakres etycznych hakerów muszą być jasno określone; ważne jest, aby przedsiębiorstwo utrzymywało kontrole i równowagę, aby haker nie przekroczył zakresu zadania ani nie spowodował uszkodzenia systemu. Przedsiębiorstwo musi również dać etycznym hakerom gwarancję, że w przypadku naruszenia określonego w umowie nie zostaną podjęte żadne kroki prawne.