Hogyan profitálhat az Ön szervezete az etikus hackelésből?

Szerző: Roger Morrison
A Teremtés Dátuma: 26 Szeptember 2021
Frissítés Dátuma: 1 Július 2024
Anonim
Hogyan profitálhat az Ön szervezete az etikus hackelésből? - Technológia
Hogyan profitálhat az Ön szervezete az etikus hackelésből? - Technológia

Tartalom


Forrás: Cammeraydave / Dreamstime.com

Elvitel:

A hackelés óriási fenyegetést jelent a szervezetek számára, ezért az etikus hackerek gyakran a legjobb megoldás a biztonsági hiányosságok felkutatására.

A kiberbiztonsági fenyegetések jellege folyamatosan fejlődik. Hacsak nem alakulnak ki rendszerek ezeknek a fenyegetéseknek a kezelésére, akkor ülő kacsa lesz. Míg a hagyományos biztonsági intézkedésekre szükség van, fontos megismerni azokat az embereket, akik potenciálisan veszélyeztethetik a rendszereket, vagy a hackereket. A szervezetek megengedték egy hackerek kategóriájának, az úgynevezett etikus vagy fegyveres hackereknek, hogy felismerjék a rendszer sebezhetőségét, és javaslatokat tegyenek a javításukra. Az etikus hackerek a rendszertulajdonosok vagy az érdekelt felek kifejezett hozzájárulásával behatolnak a rendszerekbe, hogy felismerjék a sérülékenységeket, és ajánlásokat tegyenek a biztonsági intézkedések javítására. Az etikus hackelés holisztikusvá és átfogóvá teszi a biztonságot.


Szüksége van-e etikus hackerekre?

Az etikus hackerek szolgáltatásainak használata természetesen nem kötelező, ám a hagyományos biztonsági rendszerek többször nem tudtak megfelelő védelmet nyújtani az ellenség ellen, amely növekszik a méretében és változatosságában. Az intelligens és csatlakoztatott eszközök elterjedésével a rendszerek folyamatosan veszélyben vannak. Valójában a hackelést pénzügyi szempontból jövedelmezőnek tekintik, természetesen a szervezetek rovására. Ahogy a Bruce Schneier, a "Védd meg a Macintosh-t" című könyv szerzője elmondta: "A hardvert könnyű megvédeni: rögzítse egy helyiségben, láncolja az asztalra, vagy vásároljon egy tartalékot. Az információk több problémát jelentenek. egynél több helyen; fél másodperc alatt félúton szállíthatók a földön, és tudásod nélkül ellopják. " IT-osztálya - hacsak nincs nagy költségvetése - alacsonyabb szintűnek bizonyulhat a hackerek támadásainál, és értékes információkat ellophat, mielőtt még észreveszi. Ezért érdemes egy dimenziót hozzáadni informatikai biztonsági stratégiájához etikai hackerek felvételével, akik ismerik a fekete kalap hackerek módját. Ellenkező esetben a szervezet azzal a kockázattal járhat, hogy tudattalanul fenntartja a kiskapukat a rendszerben.


A hackerek módszereinek ismerete

A hackelés elkerülése érdekében fontos megérteni, hogy a hackerek hogyan gondolkodnak. A rendszerbiztonságban a szokásos szerepek csak annyit tehetnek, amíg a hackerek gondolkodásmódját be kell vezetni. Nyilvánvaló, hogy a hackerek módjai egyediek és nehézkes a hagyományos rendszerbiztonsági szerepek számára. Ez indokolja az etikus hackerek felvételét, akik úgy férnek hozzá a rendszerhez, mint egy rosszindulatú hackerek, és úton fedezhetnek fel minden biztonsági rést.

Penetratív tesztelés

Toll-néven is ismert, áthatoló teszteléssel azonosítják a támadó által megcélozható rendszer sebezhetőségeit. A penetrációs tesztelésnek számos módja van. A szervezet igényeitől függően különböző módszereket alkalmazhat.

  • A célzott tesztelésbe bevonják a szervezeteket és az embereket. A szervezet munkatársai mindannyian tudnak a végrehajtott hackelésről.
  • A külső tesztelés minden olyan külső rendszeren áthatol, mint például a webszerverek és a DNS.
  • A belső tesztelés feltárja a belső felhasználók számára hozzáférési jogosultságokkal rendelkező sebezhetőségeket.
  • A vakteszt a hackerek valódi támadásait szimulálja.

A tesztelők korlátozott információt kapnak a célról, ami megköveteli számukra, hogy a támadás előtt felderítsék őket. Az áttörő tesztelés az etikus hackerek felvételének legerősebb esete. (További információkért lásd: Áttörésteszt és a biztonság és a kockázat finom egyensúlya.)

A sérülékenységek azonosítása

Egyetlen rendszer sem teljesen mentes a támadásoktól. Ennek ellenére a szervezeteknek többdimenziós védelmet kell biztosítaniuk. Az etikus hacker paradigma fontos dimenziót ad hozzá. Jó példa erre egy nagy szervezet esettanulmánya a gyártás területén. A szervezet ismerte a rendszerbiztonság korlátozásait, de önmagában nem tudott sok mindent megtenni. Tehát etikai hackereket bérelt fel, hogy értékelje a rendszer biztonságát, és nyújtsa be eredményeit és ajánlásait. A jelentés a következő elemeket tartalmazta: a legsebezhetőbb portokat, például a Microsoft RPC-t és a távoli adminisztrációt, a rendszerbiztonságot javító ajánlásokat, például az eseményekre reagáló rendszert, a sebezhetőség-menedzsment program teljes telepítését és a megszilárdítási iránymutatások átfogóbbá tételét.

Felkészültség támadásokra

A támadások elkerülhetetlenek, függetlenül attól, hogy milyen erős a rendszer. Végül a támadó két vagy több sebezhetőséget talál. Ez a cikk már kimondta, hogy a kibertámadások - függetlenül attól, hogy mennyire erősödik a rendszer - elkerülhetetlenek. Ez nem azt jelenti, hogy a szervezeteknek abba kell hagyniuk a rendszerbiztonságuk megerősítését - valójában éppen ellenkezőleg. A kibertámadások fejlődtek, és a károk megelőzésének vagy minimalizálásának egyetlen módja a jó felkészültség. A támadások elleni rendszerek előkészítésének egyik módja az etikus hackerek előzetes felismerése a sérülékenységekkel.

Ennek számos példája van, és helyénvaló megvitatni az Egyesült Nemzetbiztonsági Minisztérium (DHS) példáját. A DHS egy rendkívül nagy és összetett rendszert használ, amely óriási mennyiségű bizalmas adatot tárol és dolgoz fel. Az adatok megsértése súlyos fenyegetést jelent, és egyenértékű a nemzeti biztonság veszélyeztetésével. A DHS rájött, hogy az etikus hackerek behatolása a rendszerébe, mielőtt a fekete kalap hackerek megtörténtek, okos módszer volt a felkészültség fokozására. Tehát elfogadták a Hack DHS törvényt, amely lehetővé teszi egyes etikai hackerek számára, hogy betörjenek a DHS rendszerbe. A törvény részletesen meghatározta a kezdeményezés működését. Etikai hackereket csoportba foglalnának, hogy betörjenek a DHS-rendszerbe és azonosítsák a sérülékenységeket, ha vannak ilyenek. Bármilyen feltárt új sebezhetőség esetén az etikus hackereket pénzügyileg jutalmazzák. Az etikus hackerek cselekedeteik miatt nem lennének jogi lépéseknek alávetve, bár bizonyos korlátozások és iránymutatások szerint kellett dolgozniuk. A törvény kötelezővé tette a programban részt vevő összes etikus hackert is, alapos háttér-ellenőrzésen keresztül. Mint a DHS, a neves szervezetek etikai hackereket alkalmaznak, hogy hosszú ideig emeljék a rendszerbiztonsági szintű felkészültség szintjét. (Az általános biztonságról további információt az IT biztonság 7 alapelve tartalmaz.)

Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül

Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.

Következtetés

Az etikai hackelésnek és a hagyományos informatikai biztonságnak együtt kell működnie a vállalati rendszerek védelme érdekében. A vállalkozásoknak azonban ki kell dolgozniuk az etikus hackelés stratégiáját. Valószínűleg kivonhatnak egy levelet a DHS politikájáról az etikus hackelés felé. Az etikus hackerek szerepét és alkalmazási körét egyértelműen meg kell határozni; Fontos, hogy a vállalkozás ellenőrzéseket és egyensúlyokat tartson fenn annak érdekében, hogy a hacker ne lépje túl a feladat körét, és ne károsítsa a rendszert. A vállalkozásnak biztosítania kell az etikus hackereket is arról, hogy a szerződésükben meghatározott jogsértés esetén semmiféle jogi lépést nem tesznek.