Hva er etisk hacking? - dummies

Etisk hacking - som omfatter formell og metodisk penetrasjonstesting, hvithatthacking og sårbarhetstesting - involverer de samme verktøyene, triksene og teknikkene som kriminelle hackere bruker, men med en stor forskjell: Etisk hacking utføres med målets tillatelse i en profesjonell setting.

Hensikten med etisk hacking er å oppdage sårbarheter fra en ondsinnet angriper til sikrere systemer. Etisk hacking er en del av et overordnet informasjonsrisikostyringsprogram som muliggjør kontinuerlige sikkerhetsforbedringer. Etisk hacking kan også sikre at leverandørens krav om sikkerheten til deres produkter er legitime.

Etisk hacking mot revisjoner

Mange forveksler etisk hacking med sikkerhetsrevisjon, men det er store forskjeller. Sikkerhetsrevisjon innebærer å sammenligne selskapets sikkerhetspolitikk med det som faktisk skjer. Hensikten med sikkerhetsrevisjon er å validere at sikkerhetskontroller eksisterer - vanligvis ved hjelp av en risikobasert tilnærming. Revisjon omfatter ofte gjennomgang av forretningsprosesser og, i mange tilfeller, kan ikke være veldig teknisk. Ikke alle revisjoner er dette høyt nivå, men flertallet er ganske forenklet.

Omvendt fokuserer etisk hacking på sårbarheter som kan utnyttes. Det bekrefter at sikkerhetskontrollene ikke eksisterer eller er uvirkende i beste fall. Etisk hacking kan være både høyteknologisk og ikke-teknisk, og selv om du bruker en formell metodikk, har den en tendens til å være litt mindre strukturert enn formell revisjon.

Hvis revisjonen fortsatt foregår i organisasjonen, kan du vurdere å integrere etiske hackingsteknikker i ditt IT-revisjonsprogram. De utfyller hverandre veldig bra.

Politiske hensyn

Hvis du velger å gjøre etisk hacking en viktig del av bedriftens risikostyringsprogram, må du virkelig ha en dokumentert sikkerhetsprøvepolitikk. En slik politikk skisserer hvilken type etisk hacking som er gjort, hvilke systemer (som servere, webapplikasjoner, bærbare datamaskiner og så videre) blir testet, og hvor ofte testingen utføres.

Du kan også vurdere å opprette et sikkerhetsstandarddokument som beskriver de spesifikke sikkerhetsprøvingsverktøyene som brukes og bestemte datoer systemene dine testes hvert år. Du kan oppgi standard testdatoer, for eksempel en gang per kvartal for eksterne systemer og halvårlige tester for interne systemer - hva som helst for virksomheten din.

Overholdelse av lov og forskrifter

Dine egne interne retningslinjer kan diktere hvordan ledelsen ser sikkerhetstesting, men du må også vurdere statlige, føderale og globale lover og forskrifter som påvirker virksomheten din.

Mange av de føderale lover og forskrifter i USA - for eksempel HIPAA, HITECH-loven, Gramm-Leach-Bliley Act (GLBA), Health Information Technology for Economic and Clinical Health (HITECH) CIP-krav for Nord-American Electric Reliability Corporation (NERC) og Betalingskort Industri Data Security Standard (PCI DSS) - krever sterke sikkerhetskontroller og konsekvente sikkerhetsevalueringer.

Relaterte internasjonale lover som den kanadiske personopplysningsloven og elektronisk dokumentloven (PIPEDA), EUs databeskyttelsesdirektiv og Japans personopplysningsloven (JPIPA) er ikke annerledes. Innlemme dine etiske hackingstester i disse kravene til overholdelse er en fin måte å møte statlige og føderale forskrifter på og bøte opp ditt generelle personvern- og sikkerhetsprogram.