Jak může vaše organizace těžit z etického hackování

Autor: Roger Morrison
Datum Vytvoření: 26 Září 2021
Datum Aktualizace: 1 Červenec 2024
Anonim
Jak může vaše organizace těžit z etického hackování - Technologie
Jak může vaše organizace těžit z etického hackování - Technologie

Obsah


Zdroj: Cammeraydave / Dreamstime.com

Odnést:

Hacking je pro organizace obrovskou hrozbou, a proto jsou etičtí hackeři často nejlepším řešením pro nalezení bezpečnostních mezer.

Povaha hrozeb kybernetické bezpečnosti se neustále vyvíjí. Pokud se systémy nevyvinou pro správu těchto hrozeb, budou sedět kachny. Přestože jsou nezbytná konvenční bezpečnostní opatření, je důležité získat perspektivu lidí, kteří mohou potenciálně ohrožovat systémy nebo hackery. Organizace umožňují kategorii hackerů, známých jako hackery v oblasti etických nebo bílých klobouků, identifikovat slabá místa v systému a navrhovat jejich řešení. Etičtí hackeři, s výslovným souhlasem vlastníků systému nebo zúčastněných stran, pronikají do systémů, aby identifikovali zranitelnosti a poskytli doporučení ke zlepšení bezpečnostních opatření. Díky etickému hackování je zabezpečení holistické a komplexní.


Opravdu potřebujete etické hackery?

Určitě není povinné používat služby etických hackerů, ale konvenční bezpečnostní systémy opakovaně nedokázaly poskytnout přiměřenou ochranu proti nepříteli, který roste ve velikosti a rozmanitosti. S rozšiřováním inteligentních a připojených zařízení jsou systémy neustále ohroženy. Hacking je ve skutečnosti považován za lukrativní cestu finančně, samozřejmě na úkor organizací. Jak uvedl Bruce Schneier, autor knihy „Chraňte svůj počítač Macintosh“, „Hardware je snadné chránit: zamkněte jej v místnosti, připojte jej ke stolu nebo si koupte náhradní. Informace představují větší problém. Může existovat na více než jednom místě; během několika vteřin budete přepraveni na polovinu planety a bez vašeho vědomí budou ukradeni. “ Vaše IT oddělení, pokud nemáte velký rozpočet, se může ukázat jako podřadné vůči náporu hackerů a cenné informace mohou být ukradeny dříve, než si to vůbec uvědomíte. Proto má smysl přidat do vaší strategie zabezpečení IT rozměr tím, že najmete etické hackery, kteří znají způsoby hackerů s černým kloboukem. V opačném případě by vaše organizace mohla podstoupit riziko nevědomého udržování mezer v systému otevřených.


Znalost hackerských metod

Aby se zabránilo hackování, je důležité pochopit, jak si hackeři myslí. Konvenční role v zabezpečení systému mohou dělat tolik, dokud není nutné zavést myšlení hackera. Je zřejmé, že způsoby hackerů jsou jedinečné a obtížné pro běžné role zabezpečení systému. To je důvod pro najmutí etického hackera, který má přístup do systému jako nebezpečný hacker, a na cestě objevuje jakékoli bezpečnostní mezery.

Penetativní testování

Penetrační testování, také známé jako testování perem, se používá k identifikaci slabých míst systému, na které může útočník cílit. Existuje mnoho metod penetračního testování. Organizace může používat různé metody v závislosti na svých požadavcích.

  • Cílené testování zahrnuje organizace lidí a hackera. Všichni zaměstnanci organizace vědí o prováděném hackování.
  • Externí testování proniká do všech externě exponovaných systémů, jako jsou webové servery a DNS.
  • Interní testování odhaluje zranitelnosti otevřené interním uživatelům s přístupovými oprávněními.
  • Slepé testování simuluje skutečné útoky hackerů.

Testerům jsou poskytnuty omezené informace o cíli, což vyžaduje, aby před útokem provedli průzkum. Penetrativní testování je nejsilnějším případem najímání etických hackerů. (Další informace viz Testování penetrací a Delikátní rovnováha mezi zabezpečením a rizikem.)

Identifikace chyb zabezpečení

Žádný systém není vůči útokům zcela imunní. Stále však musí organizace poskytovat vícerozměrnou ochranu. Paradigma etického hackera přidává důležitý rozměr. Dobrým příkladem je případová studie velké organizace v oblasti výroby. Organizace znala svá omezení, pokud jde o zabezpečení systému, ale sama o sobě nedokázala moc. Najal proto etické hackery, aby posoudili bezpečnost svého systému a poskytli jeho zjištění a doporučení. Zpráva obsahovala následující součásti: nejzranitelnější porty, jako je Microsoft RPC a vzdálená správa, doporučení ke zlepšení zabezpečení systému, jako je systém reakce na incidenty, plné nasazení programu správy zranitelnosti a zpřísnění pokynů pro zatvrzování.

Připravenost na útoky

Útoky jsou nevyhnutelné bez ohledu na to, jak je systém opevněný. Útočník nakonec najde zranitelnost nebo dvě chyby. Tento článek již uvedl, že kybernetické útoky jsou nevyhnutelné, bez ohledu na to, do jaké míry je systém opevněn. To neznamená, že by organizace měly přestat posilovat zabezpečení systému - ve skutečnosti právě naopak. Kybernetické útoky se vyvíjely a jediným způsobem, jak zabránit poškození nebo je minimalizovat, je dobrá připravenost. Jedním ze způsobů, jak připravit systémy na útoky, je umožnit etickým hackerům identifikovat zranitelná místa předem.

Existuje mnoho příkladů toho a je vhodné diskutovat o příkladu amerického ministerstva vnitřní bezpečnosti (DHS). DHS používá extrémně velký a komplexní systém, který ukládá a zpracovává obrovské množství důvěrných dat. Porušení údajů je vážnou hrozbou a rovná ohrožení národní bezpečnosti. DHS si uvědomil, že přimět etické hackery, aby se vloupali do svého systému dříve, než hackeři s černými klobouky udělali, byl chytrý způsob, jak zvýšit úroveň připravenosti. Byl tedy přijat zákon Hack DHS, který by umožnil vybraným etickým hackerům proniknout do systému DHS. Zákon podrobně stanovil, jak by iniciativa fungovala. Najala by se skupina etických hackerů, aby se vloupala do systému DHS a identifikovala zranitelná místa, pokud existují. Za každou zjištěnou novou zranitelnost by byli etičtí hackeři finančně odměněni. Etickí hackeři by kvůli svým jednáním nepodléhali žádným právním krokům, i když by museli pracovat za určitých omezení a pokynů. Zákon také stanovil povinnost pro všechny etické hackery, kteří se účastní programu, projít důkladnou kontrolou na pozadí. Stejně jako DHS, i renomované organizace najaly etické hackery, aby zvýšili úroveň připravenosti na zabezpečení systému po dlouhou dobu. (Více informací o zabezpečení obecně viz 7 základních principů zabezpečení IT.)

Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života

Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.

Závěr

Jak chránit podnikové systémy, musí etické hackování i konvenční zabezpečení IT spolupracovat. Podniky však musí vypracovat svou strategii k etickému hackování. Pravděpodobně mohou vytáhnout z politiky DHS list k etickému hackování. Je třeba jasně definovat úlohu a rozsah etických hackerů; je důležité, aby podnik udržoval kontroly a vyvážení tak, aby hacker nepřekročil rozsah úlohy ani nezpůsobil poškození systému. Podnik rovněž musí poskytnout etickým hackerům ujištění, že v případě porušení, jak je stanoveno v jejich smlouvě, by nebylo učiněno žádné právní opatření.