Ako môže vaša organizácia ťažiť z etického hackovania

Autor: Roger Morrison
Dátum Stvorenia: 26 September 2021
Dátum Aktualizácie: 1 V Júli 2024
Anonim
Ako môže vaša organizácia ťažiť z etického hackovania - Technológie
Ako môže vaša organizácia ťažiť z etického hackovania - Technológie

Obsah


Zdroj: Cammeraydave / Dreamstime.com

Zobrať:

Hacking je obrovskou hrozbou pre organizácie, a preto sú etickí hackeri často najlepším riešením na nájdenie bezpečnostných medzier.

Povaha hrozieb v oblasti kybernetickej bezpečnosti sa neustále vyvíja. Pokiaľ sa nevyvinú systémy na riadenie týchto hrozieb, budú sedieť kačice. Aj keď sú potrebné tradičné bezpečnostné opatrenia, je dôležité získať perspektívu ľudí, ktorí môžu potenciálne ohroziť systémy alebo hackerov. Organizácie umožňujú kategórii hackerov, známych ako hackeri s etickými alebo bielymi klobúkmi, identifikovať zraniteľné miesta systému a poskytnúť návrhy na ich odstránenie. Etickí hackeri s výslovným súhlasom vlastníkov systému alebo zainteresovaných strán prenikajú do systémov s cieľom identifikovať zraniteľné miesta a poskytnúť odporúčania na zlepšenie bezpečnostných opatrení. Vďaka etickému hackerstvu je bezpečnosť holistická a komplexná.


Naozaj potrebujete etických hackerov?

Určite nie je povinné zamestnávať služby etických hackerov, ale konvenčné bezpečnostné systémy opakovane nedokázali poskytnúť primeranú ochranu pred nepriateľom, ktorý rastie svojou veľkosťou a rozmanitosťou. So šírením inteligentných a pripojených zariadení sú systémy neustále ohrozené. Na hacking sa v skutočnosti nazerá ako na lukratívnu cestu finančne, samozrejme na úkor organizácií. Ako uviedol Bruce Schneier, autor knihy „Chráňte svoj počítač Macintosh“, „Hardvér sa ľahko chráni: zamknite ho v miestnosti, pripojte ho k pracovnému stolu alebo si kúpte náhradné zariadenie. Informácie predstavujú väčší problém. Môže existovať na viac ako jednom mieste; v priebehu niekoľkých sekúnd budete prepravení do polovice planéty a bez vášho vedomia vás odcudzia. ““ Vaše IT oddelenie, pokiaľ nemáte veľký rozpočet, sa môže ukázať ako podradené hackerom a cenné informácie môžu byť ukradnuté skôr, ako si ich uvedomíte. Preto je rozumné pridať rozmer do vašej bezpečnostnej stratégie IT najímaním etických hackerov, ktorí poznajú spôsoby hackerov v oblasti čiernych klobúk. Inak by vaša organizácia mohla riskovať, že nevedomky udržiava medzery v systéme otvorené.


Znalosť metód hackerov

Aby sa zabránilo hackerom, je dôležité pochopiť, ako si hackeri myslia. Konvenčné úlohy v oblasti zabezpečenia systému môžu robiť toľko, až kým sa nezavedie myslenie hackera. Je zrejmé, že spôsoby hackerov sú jedinečné a ťažké pre konvenčné úlohy zabezpečenia systému. Toto je dôvod na prijatie etického hackera, ktorý má prístup do systému ako škodlivý hacker, a na ceste môže odhaliť akékoľvek medzery v zabezpečení.

Penetračné testovanie

Penetračné testovanie, známe tiež ako testovanie perom, sa používa na identifikáciu slabých miest systému, na ktoré môže útočník zacieliť. Existuje veľa metód penetračného testovania. Organizácia môže používať rôzne metódy v závislosti od svojich požiadaviek.

  • Cielené testovanie zahŕňa organizácie ľudí a hackerov. Zamestnanci organizácie vedia o vykonanom hackovaní.
  • Externé testovanie preniká do všetkých externe exponovaných systémov, ako sú webové servery a DNS.
  • Interné testovanie odhaľuje zraniteľné miesta prístupné interným používateľom s prístupovými oprávneniami.
  • Slepé testovanie simuluje skutočné útoky hackerov.

Testerom sú poskytnuté obmedzené informácie o cieli, čo vyžaduje, aby pred útokom vykonali prieskum. Penetratívne testovanie je najsilnejším prípadom prijímania etických hackerov. (Ak sa chcete dozvedieť viac, pozrite si časť Testovanie prieniku a Jemná rovnováha medzi bezpečnosťou a rizikom.)

Identifikácia zraniteľností

Žiadny systém nie je úplne odolný voči útokom. Organizácie však stále musia poskytovať viacrozmernú ochranu. Paradigma etického hackera dodáva dôležitú dimenziu. Dobrým príkladom je prípadová štúdia veľkej organizácie v oblasti výroby. Organizácia poznala svoje obmedzenia, pokiaľ ide o bezpečnosť systému, ale sama o sebe nedokázala veľa urobiť. Preto najala etických hackerov, aby vyhodnotili bezpečnosť svojho systému a poskytli jeho zistenia a odporúčania. Správa obsahovala tieto komponenty: najzraniteľnejšie porty, ako napríklad Microsoft RPC a vzdialená správa, odporúčania na zlepšenie zabezpečenia systému, ako napríklad systém reakcie na incidenty, úplné nasadenie programu na správu zraniteľností a komplexnejšie pokyny týkajúce sa tvrdenia.

Pripravenosť na útoky

Útoky sú nevyhnutné bez ohľadu na to, ako je systém opevnený. Útočník nakoniec nájde zraniteľnosť alebo dve chyby. V tomto článku sa už uviedlo, že kybernetické útoky sú nevyhnutné, bez ohľadu na rozsah opevnenia systému. To neznamená, že by organizácie mali prestať posilňovať svoju bezpečnosť systému - v skutočnosti práve naopak. Kybernetické útoky sa vyvíjali a jediným spôsobom, ako zabrániť poškodeniu alebo minimalizovať škody, je dobrá pripravenosť. Jedným zo spôsobov, ako pripraviť systémy na útoky, je umožniť etickým hackerom vopred zistiť zraniteľné miesta.

Existuje mnoho príkladov toho a je vhodné prediskutovať príklad amerického ministerstva vnútornej bezpečnosti (DHS). DHS používa extrémne veľký a komplexný systém, ktorý ukladá a spracováva obrovské množstvo dôverných údajov. Porušenie údajov je vážnou hrozbou a rovná ohrozeniu národnej bezpečnosti. DHS si uvedomil, že prinútiť etických hackerov preniknúť do svojho systému skôr, ako hackeri v oblasti čiernych klobúk urobili, bolo inteligentným spôsobom, ako zvýšiť úroveň pripravenosti. Bol prijatý zákon Hack DHS, ktorý by umožnil vybraným etickým hackerom preniknúť do systému DHS. Zákon podrobne stanovil, ako bude iniciatíva fungovať. Najala by sa skupina etických hackerov, ktorí by prenikli do systému DHS a identifikovali prípadné zraniteľné miesta. Za každú identifikovanú novú zraniteľnosť by boli etickí hackeri finančne odmenení. Etickí hackeri by kvôli svojim konaniam nepodliehali žiadnym právnym krokom, hoci by museli pracovať za určitých obmedzení a usmernení. Zákon tiež ustanovil, že všetci etickí hackeri, ktorí sa zúčastňujú na programe, sú povinní podrobiť sa dôkladnej previerke. Rovnako ako DHS, aj renomované organizácie najímajú etických hackerov na zvýšenie úrovne pripravenosti na bezpečnosť systému na dlhú dobu. (Viac informácií o bezpečnosti všeobecne nájdete v siedmich základných zásadách bezpečnosti IT.)

Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života

Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.

záver

Etické hackovanie a konvenčné zabezpečenie IT musia spolupracovať pri ochrane podnikových systémov. Podniky však musia vypracovať svoju stratégiu zameranú na etické hackovanie. Pravdepodobne môžu vytiahnuť z politiky DHS smer k etickému hackovaniu. Je potrebné jasne definovať úlohu a rozsah etických hackerov; je dôležité, aby podnik udržiaval kontroly a vyváženie tak, aby hacker neprekročil rozsah úloh ani nespôsobil žiadne škody na systéme. Podnik musí tiež poskytnúť etickým hackerom istotu, že v prípade porušenia, ako je definované v ich zmluve, by sa nepodnikli žiadne právne kroky.