Содержание
- Вам действительно нужны этические хакеры?
- Знание методов хакеров
- Проникающее тестирование
- Выявление уязвимостей
- Готовность к атакам
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Заключение
Источник: Cammeraydave / Dreamstime.com
вынос:
Хакерство представляет собой огромную угрозу для организаций, поэтому этические хакеры часто являются лучшим решением для поиска пробелов в безопасности.
Природа угроз кибербезопасности продолжает развиваться. Если системы не смогут справиться с этими угрозами, они будут просто утками. В то время как обычные меры безопасности необходимы, важно получить представление о людях, которые могут угрожать системам, или хакерах. Организации разрешают категории хакеров, известных как этические или белые хакеры, выявлять уязвимости системы и предоставлять предложения по их устранению. Этические хакеры, с явного согласия владельцев или заинтересованных сторон системы, проникают в системы, чтобы выявить уязвимости и предоставить рекомендации по улучшению мер безопасности. Этический взлом делает безопасность целостной и всеобъемлющей.
Вам действительно нужны этические хакеры?
Конечно, не обязательно использовать услуги этических хакеров, но обычные системы безопасности неоднократно не могли обеспечить адекватную защиту от врага, который увеличивается в размерах и разнообразии. С распространением интеллектуальных и подключенных устройств системы постоянно находятся под угрозой. На самом деле, хакерство рассматривается как прибыльный путь в финансовом отношении, конечно, за счет организаций. Как сказал Брюс Шнайер, автор книги «Защитите свой Macintosh»: «Оборудование легко защитить: запереть его в комнате, привязать к столу или купить запасной. Информация создает больше проблем. Она может существовать». в более чем одном месте; быть транспортированным на полпути через планету в считанные секунды, и быть украденным без вашего ведома ". Ваш ИТ-отдел, если у вас нет большого бюджета, может оказаться хуже нападения хакеров, и ценная информация может быть украдена еще до того, как вы ее поймете. Следовательно, имеет смысл добавить измерение в вашу стратегию информационной безопасности, нанимая этических хакеров, которые знают способы хакеров черной шляпы. В противном случае ваша организация может рискнуть неосознанно держать лазейки открытыми в системе.
Знание методов хакеров
Чтобы предотвратить взлом, важно понять, как думают хакеры. Обычные роли в системной безопасности могут сделать так много только до тех пор, пока не будет введено мышление хакера. Очевидно, что хакерские пути уникальны и сложны для обычных ролей безопасности системы. Это дает основание для найма этичного хакера, который может получить доступ к системе, как мог бы злонамеренный хакер, и в пути обнаруживать любые лазейки в безопасности.
Проникающее тестирование
Проникающее тестирование, также называемое ручным тестированием, используется для выявления уязвимостей системы, на которые может напасть злоумышленник. Существует много методов проникающего тестирования. Организация может использовать разные методы в зависимости от своих требований.
- Целевое тестирование включает в себя людей организации и хакера. Все сотрудники организации знают о взломе.
- Внешнее тестирование проникает во все внешние системы, такие как веб-серверы и DNS.
- Внутреннее тестирование раскрывает уязвимости, открытые для внутренних пользователей с правами доступа.
- Слепое тестирование имитирует реальные атаки хакеров.
Тестерам предоставляется ограниченная информация о цели, которая требует от них проведения разведки перед атакой. Проникающее тестирование - самый сильный случай для найма этических хакеров. (Для получения дополнительной информации см. Тестирование на проникновение и Тонкий баланс между безопасностью и риском.)
Выявление уязвимостей
Ни одна система не застрахована от атак. Тем не менее, организации должны предоставлять многомерную защиту. Парадигма этического хакера добавляет важное измерение. Хорошим примером является тематическое исследование крупной организации в области производства. Организация знала свои ограничения с точки зрения безопасности системы, но не могла многое сделать сама по себе. Таким образом, он нанял этических хакеров для оценки безопасности своей системы и предоставления своих выводов и рекомендаций. Отчет состоял из следующих компонентов: наиболее уязвимые порты, такие как Microsoft RPC и удаленное администрирование, рекомендации по улучшению безопасности системы, такие как система реагирования на инциденты, полное развертывание программы управления уязвимостями и более полные рекомендации по усилению защиты.
Готовность к атакам
Атаки неизбежны независимо от того, насколько укреплена система. В конце концов, злоумышленник обнаружит одну или две уязвимости. В этой статье уже говорилось, что кибератаки, независимо от степени укрепления системы, неизбежны. Это не означает, что организации должны прекратить укреплять безопасность своей системы - на самом деле, наоборот. Кибератаки развиваются, и единственный способ предотвратить или минимизировать ущерб - это хорошая готовность. Один из способов подготовить системы к атакам - позволить этическим хакерам заранее выявить уязвимости.
Есть много примеров этого, и уместно обсудить пример Министерства внутренней безопасности США (DHS). DHS использует чрезвычайно большую и сложную систему, которая хранит и обрабатывает огромные объемы конфиденциальных данных. Нарушение данных является серьезной угрозой и равнозначно угрозе национальной безопасности. DHS осознало, что заставить этических хакеров проникнуть в его систему до того, как это сделали хакеры в «черной шляпе», было разумным способом повысить уровень готовности. Таким образом, был принят Закон о взломе DHS, который позволит отдельным этическим хакерам взломать систему DHS. В законе подробно изложено, как будет работать инициатива. Группа этических хакеров будет нанята для проникновения в систему DHS и выявления уязвимостей, если таковые имеются. За любую обнаруженную новую уязвимость этические хакеры будут вознаграждены финансово. Этические хакеры не будут подвергнуты никаким юридическим действиям из-за их действий, хотя им придется работать при определенных ограничениях и руководящих принципах. Закон также сделал обязательным для всех этических хакеров, участвующих в программе, пройти тщательную проверку данных. Как и DHS, известные организации нанимают этических хакеров для поднятия уровня готовности системы безопасности в течение длительного времени. (Подробнее о безопасности в целом см. 7 основных принципов информационной безопасности.)
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
Заключение
И этический взлом, и традиционная ИТ-безопасность должны работать вместе для защиты корпоративных систем. Тем не менее, предприятия должны разработать свою стратегию по этическому взлому. Они могут, вероятно, взять лист из политики DHS в отношении этического взлома. Роль и масштаб этических хакеров должны быть четко определены; важно, чтобы предприятие поддерживало проверки и противовесы, чтобы хакер не выходил за рамки объема работ и не наносил ущерба системе. Предприятие также должно дать этическим хакерам уверенность в том, что в случае нарушения, как определено их договором, не будет предпринято никаких юридических действий.