Как вашата организация може да се възползва от етичното хакерство

Автор: Roger Morrison
Дата На Създаване: 26 Септември 2021
Дата На Актуализиране: 1 Юли 2024
Anonim
TPM 2.0 Trusted Platform Module Introduction
Видео: TPM 2.0 Trusted Platform Module Introduction

Съдържание


Източник: Cammeraydave / Dreamstime.com

За вкъщи:

Хакването представлява огромна заплаха за организациите, поради което етичните хакери често са най-доброто решение за намиране на пропуски в сигурността.

Природата на заплахите за киберсигурност продължава да се развива. Ако не се развият системи за управление на тези заплахи, те ще са седнали патици. Въпреки че са необходими конвенционални мерки за сигурност, важно е да се добие перспектива за хората, които потенциално могат да застрашат системите, или хакерите. Организациите позволяват на категория хакери, известни като хакери за етични или бели шапки, да идентифицират уязвимостите на системата и да дадат предложения за тяхното отстраняване. Етичните хакери, с изричното съгласие на собствениците на системата или заинтересованите страни, проникват в системите, за да идентифицират уязвимостите и да дадат препоръки за подобряване на мерките за сигурност. Етичното хакване прави сигурността холистична и всеобхватна.


Наистина ли имате нужда от етични хакери?

Със сигурност не е задължително да се използват услугите на етични хакери, но конвенционалните системи за сигурност многократно не успяват да осигурят адекватна защита срещу враг, който нараства по размер и разнообразие. С разпространението на интелигентни и свързани устройства системите са постоянно застрашени. Всъщност хакерството се разглежда като доходоносен финансов път, разбира се за сметка на организациите. Както Брус Шнайер, автор на книгата "Защитете своя Macintosh", "Хардуерът е лесен за защита: заключете го в стая, поставете верига на бюро или купете резервна. Информацията създава повече проблем. Тя може да съществува. на повече от едно място; бъдете транспортирани на половината път през планетата за секунди и бъдете откраднати без ваше знание. " Вашият IT отдел, освен ако нямате голям бюджет, може да се окаже по-нисък от натиска на хакерите и ценна информация може да бъде открадната, преди дори да я осъзнаете. Затова има смисъл да добавите измерение към стратегията си за ИТ сигурност, като наемете етични хакери, които знаят начините на хакерите с черна шапка. В противен случай вашата организация може да рискува несъзнателно да държи вратички отворени в системата.


Познаване на методите на хакерите

За да предотвратите хакването, е важно да разберете как мислят хакерите. Конвенционалните роли в сигурността на системата могат да направят толкова много, докато не бъде въведено мисленето на хакера. Очевидно е, че начините на хакерите са уникални и трудни за работа с конвенционалните системи за сигурност. Това поставя случая с наемането на етичен хакер, който може да получи достъп до системата като злонамерен хакер, и по пътя може да открие всички пропуски в сигурността.

Тестове за проникване

Известен също като тестването с химикалки, проникващото тестване се използва за идентифициране на системните уязвимости, към които нападателят може да се насочи. Има много методи за проникване. Организацията може да използва различни методи в зависимост от нейните изисквания.

  • Целевото тестване включва организациите хора и хакера. Всички служители на организацията знаят за хакера, който се извършва.
  • Външното тестване прониква във всички външно изложени системи като уеб сървъри и DNS.
  • Вътрешното тестване разкрива уязвимости, отворени за вътрешни потребители с права на достъп.
  • Сляпото тестване симулира реални атаки от хакери.

Тестерите получават ограничена информация за целта, което изисква те да извършат разузнаване преди атаката. Проникването на тестове е най-силният случай за наемане на етични хакери. (За да научите повече, вижте Тест за проникване и деликатен баланс между сигурност и риск.)

Идентифициране на уязвимости

Нито една система не е напълно имунизирана срещу атаки. Все пак организациите трябва да осигурят многоизмерна защита. Парадигмата на етичния хакер добавя важно измерение. Добър пример е казусът на голяма организация в областта на производството. Организацията знаеше своите ограничения по отношение на сигурността на системата, но не можа да направи много сама. И така, тя нае етични хакери, за да оцени сигурността на системата си и да предостави своите заключения и препоръки. Докладът съдържаше следните компоненти: най-уязвимите портове като Microsoft RPC и отдалечена администрация, препоръки за подобряване на сигурността на системата като система за реакция на инциденти, пълно разгръщане на програма за управление на уязвимостта и правене на по-всеобхватни указания за закаляване.

Готовност за атаки

Атаките са неизбежни, независимо колко укрепена е системата. В крайна сметка нападател ще намери уязвимост или две. В тази статия вече беше посочено, че кибератаките, независимо от степента, в която е укрепена системата, са неизбежни. Това не означава, че организациите трябва да спрат да засилват сигурността на системата си - всъщност точно обратното. Кибератаките се развиват и единственият начин за предотвратяване или минимизиране на щетите е добрата готовност. Един от начините да се подготвят системи срещу атаки е да се позволи на етичните хакери да идентифицират уязвимостите предварително.

Има много примери за това и е уместно да се обсъди примера на американския департамент за вътрешна сигурност (DHS). DHS използва изключително голяма и сложна система, която съхранява и обработва огромни обеми от поверителни данни. Нарушаването на данни представлява сериозна заплаха и равностойно на заплаха за националната сигурност. DHS разбра, че да навлезете етични хакери да проникнат в системата му преди хакерите с черни шапки да са интелигентен начин за повишаване на нивото на готовност. И така, беше приет Законът за хак DHS, който ще позволи на избрани етични хакери да проникнат в системата на DHS. Актът излага подробно как би действала инициативата. Група етични хакери ще бъдат наети да проникнат в системата на DHS и да идентифицират уязвимости, ако има такива. При всяка идентифицирана нова уязвимост етичните хакери ще бъдат възнаградени финансово. Етичните хакери няма да бъдат обект на никакви правни действия поради техните действия, въпреки че ще трябва да работят при определени ограничения и насоки. Актът също така направи задължителен всички етични хакери, участващи в програмата, да преминат през щателна проверка. Подобно на DHS, известните организации отдавна наемат етични хакери, за да повишат нивото на готовност за сигурност на системата. (За повече информация относно сигурността като цяло вижте 7-те основни принципа на сигурността на информационните технологии.)

Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви

Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.

заключение

Както етичното хакване, така и конвенционалната ИТ сигурност трябва да работят заедно за защита на корпоративните системи. Предприятията обаче трябва да разработят своята стратегия за етично хакерство. Вероятно те могат да извадят листа от политиката на DHS към етично хакване. Ролята и обхватът на етичните хакери трябва да бъдат ясно определени; важно е предприятието да поддържа проверки и баланси, така че хакерът да не надвишава обхвата на работата или да не причини щети на системата. Предприятието също трябва да даде на етичните хакери гаранция, че няма да бъдат предприети правни действия в случай на нарушение, както е определено в техния договор.