Innholdsfortegnelse:
Video: Vinnetou - Poslední výstřel (1965) 2024
Du trenger beskyttelse mot hacker shenanigans; du må bli så kunnskapsrik som gutta prøver å angripe systemene dine. En sann sikkerhetsvurdering profesjonell har ferdigheter, tankegang og verktøy for en hacker, men er også pålitelig. Han eller hun utfører hackene som sikkerhetstester mot systemer basert på hvordan hackere kan fungere.
Etisk hacking - som omfatter formell og metodisk penetrasjonstesting, hvithatthacking og sårbarhetstesting - involverer de samme verktøyene, triksene og teknikkene som kriminelle hackere bruker, men med en stor forskjell: Etisk hacking utføres med målets tillatelse i en profesjonell setting. Hensikten med etisk hacking er å oppdage sårbarheter fra en ondsinnet angriper til sikrere systemer. Etisk hacking er en del av et overordnet informasjonsrisikostyringsprogram som muliggjør kontinuerlige sikkerhetsforbedringer. Etisk hacking kan også sikre at leverandørens krav om sikkerheten til deres produkter er legitime.
Hvis du utfører etiske hackingstester og vil legge til en annen sertifisering i legitimasjonene dine, kan du vurdere å bli en sertifisert etisk hacker (CEH) gjennom et sertifiseringsprogram sponset av EC-Council. I likhet med Certified Information Systems Security Professional (CISSP) har CEH-sertifiseringen blitt en kjent og respektert sertifisering i bransjen. Det er til og med akkreditert av American National Standards Institute (ANSI 17024).
Andre alternativer inkluderer SANS Global Information Assurance Certification (GIAC) -programmet og OSCP-programmet (Offensive Security Certified Professional) - en fullstendig sikker sertifisering av sikkerhetstesting. Altfor ofte har personer som utfører denne typen arbeid, ikke den riktige praktiske erfaring for å gjøre det bra.
Etisk hacking mot revisjon
Mange mennesker forvirrer sikkerhetsprøving via den etiske hacking-tilnærmingen med sikkerhetsrevisjon, men det er store forskjeller, nemlig i målene. Sikkerhetsrevisjon innebærer å sammenligne selskapets sikkerhetspolitikk (eller krav til etterlevelse) til det som faktisk skjer. Hensikten med sikkerhetsrevisjon er å validere at sikkerhetskontroller eksisterer - vanligvis ved hjelp av en risikobasert tilnærming. Revisjon omfatter ofte gjennomgang av forretningsprosesser og, i mange tilfeller, kan ikke være veldig teknisk. Sikkerhetsrevisjon er vanligvis basert på sjekklister.
Ikke alle revisjoner er på høyt nivå, men mange (spesielt om PCI DSS-kompatibilitet) er ganske enkle - ofte utført av personer som ikke har teknisk datamaskin, nettverk, og applikasjonserfaring eller, verre, de jobber utenfor IT helt!
Omvendt fokuserer sikkerhetsvurderinger basert på etisk hacking på sårbarheter som kan utnyttes. Denne testmetoden validerer at sikkerhetskontrollene ikke eksisterer eller ikke er effektive i beste fall. Etisk hacking kan være både høyteknologisk og ikke-teknisk, og selv om du bruker en formell metodikk, har den en tendens til å være litt mindre strukturert enn formell revisjon.
Hvor det er behov for revisjon (for eksempel ISO 9001 og 27001 sertifiseringer) i organisasjonen, kan du vurdere å integrere etiske hackingsteknikker i ditt IT / sikkerhetskontrollprogram. De utfyller hverandre veldig bra.
Politiske hensyn
Hvis du velger å gjøre etisk hacking en viktig del av virksomhetsinformasjonsrisikostyringsprogrammet, må du virkelig ha en dokumentert sikkerhetsprøvepolitikk. En slik politikk skisserer hvem som gjør testingen, den generelle typen testing som utføres, og hvor ofte testen finner sted.
Du kan også vurdere å opprette et sikkerhetsstandarddokument som beskriver de spesifikke sikkerhetsprøvingsverktøyene som brukes, og bestemte personer som utfører testingen. Du kan også oppgi standard testdatoer, for eksempel en gang per kvartal for eksterne systemer og halvårlige tester for interne systemer - hva som helst for virksomheten din.
Overholdelse av lov og forskrifter
Dine egne interne retningslinjer kan diktere hvordan ledelsen ser på sikkerhetstesting, men du må også vurdere statlige, føderale og internasjonale lover og forskrifter som påvirker virksomheten din. Spesielt gir Digital Millennium Copyright Act (DMCA) frysninger ned i ryggene til legitime forskere.
Mange av de føderale lover og forskrifter i USA - for eksempel HIPAA, HITECH-loven, Gramm-Leach-Bliley Act (GLBA), Health Information Technology for Economic and Clinical Health (HITECH), NERCs krav til kritisk infrastruktur (CIP), og PCI DSS - krever sterke sikkerhetsreguleringer og konsekvente sikkerhetsevalueringer. Relaterte internasjonale lover som den kanadiske personopplysningsloven (PIPEDA), EUs databeskyttelsesdirektiv og Japans personopplysningsloven (JPIPA) er ikke forskjellige.
Inkludering av sikkerhetstestene dine i disse kravene til samsvar er en fin måte å møte statlige og føderale forskrifter på og bøte opp det generelle informasjonssikkerhets- og personvernprogrammet.
