Як ваша організація може отримати вигоду від етичного злому

Автор: Roger Morrison
Дата Створення: 26 Вересень 2021
Дата Оновлення: 1 Липня 2024
Anonim
Putin invades Ukraine because of this!
Відеоролик: Putin invades Ukraine because of this!

Зміст


Джерело: Cammeraydave / Dreamstime.com

Винос:

Злом становить величезну загрозу для організацій, саме тому етичні хакери часто є найкращим рішенням для пошуку прогалин у безпеці.

Природа загроз кібербезпеці постійно розвивається. Якщо системи не розвинуться для управління цими загрозами, вони будуть сидіти качками. Хоча звичайні заходи безпеки є необхідними, важливо отримати перспективу людей, які можуть потенційно загрожувати системам, або хакерам. Організації дозволяють категорії хакерів, відомих як хакерські етичні або білі капелюхи, визначати вразливості системи та надавати пропозиції щодо їх усунення. Етичні хакери, за виразною згодою власників системи або зацікавлених сторін, проникають у системи, щоб виявити вразливості та надають рекомендації щодо вдосконалення заходів безпеки. Етичний злом робить безпеку цілісною та всебічною.

Вам справді потрібні етичні хакери?

Безумовно, не обов'язково користуватися послугами етичних хакерів, але звичайні системи безпеки неодноразово не забезпечували належного захисту від ворога, який зростає за розмірами та різноманітністю. З поширенням розумних та підключених пристроїв системи постійно знаходяться під загрозою. Насправді хакерство розглядається як прибутковий проспект фінансово, звичайно за рахунок організацій. Як заявив Брюс Шнайер, автор книги "Захисти свій Macintosh", "Обладнання легко захистити: замкнути його в кімнаті, зав'язати ланцюжком до столу або придбати запасні дані. Інформація створює більше проблеми. Вона може існувати в більш ніж одному місці; вас за секунди перевезуть на півдорозі планети; вкрадуть без вашого відома ". Ваш ІТ-відділ, якщо у вас великий бюджет, може виявитись неповноцінним під натиском хакерів, і цінна інформація може бути викрадена, перш ніж ви навіть усвідомте це. Тому має сенс додати вимір у вашу стратегію безпеки ІТ, найнявши етичних хакерів, які знають способи хакерів з чорних капелюхів. В іншому випадку ваша організація може ризикувати несвідомим збереженням лазівки в системі.


Знання методів хакерів

Щоб запобігти злому, важливо зрозуміти, як хакери думають. Звичайні ролі в безпеці системи можуть зробити стільки, доки не введеться мислення хакера. Очевидно, що хакерські способи є унікальними та складними для звичайних ролей у захисті системи. Це встановлює випадок наймання етичного хакера, який може отримати доступ до системи, як зловмисний хакер, і, можливо, відкриє будь-які лазівки безпеки.

Тестування на проникнення

Також відомий як тестування ручками, проникаюче тестування використовується для виявлення вразливості системи, на яку може нападати зловмисник. Існує безліч методів проникаючого тестування. Організація може використовувати різні методи залежно від її вимог.

  • Цільове тестування передбачає організацію людей та хакера. Працівники організації всі знають про зловживання, яке проводиться.
  • Зовнішнє тестування проникає у всі зовнішні системи, такі як веб-сервери та DNS.
  • Внутрішнє тестування виявляє вразливості, відкриті для внутрішніх користувачів з правами доступу.
  • Сліпе тестування імітує реальні атаки з боку хакерів.

Тестерам надається обмежена інформація про ціль, яка вимагає від них проведення розвідки до нападу. Тестування на проникнення - найсильніший випадок найму етичних хакерів. (Щоб дізнатися більше, див. Тестування на проникнення та делікатний баланс між безпекою та ризиком.)


Виявлення вразливих місць

Жодна система не застрахована від атак. Тим не менш, організації повинні забезпечити багатовимірний захист. Парадигма етичного хакера додає важливого аспекту. Хорошим прикладом є тематичне дослідження великої організації в галузі виробництва. Організація знала свої обмеження щодо безпеки системи, але не змогла зробити багато чого самостійно. Отже, він найняв етичних хакерів для оцінки безпеки системи та надання висновків та рекомендацій. Звіт містив такі компоненти: найбільш вразливі порти, такі як Microsoft RPC та віддалене адміністрування, рекомендації щодо вдосконалення безпеки системи, такі як система реагування на випадок аварій, повне розгортання програми управління вразливістю та покращення керівних принципів щодо загартовування.

Підготовка до нападів

Напади неминучі, незалежно від того, наскільки укріплена система. Врешті-решт зловмисник знайде вразливість чи дві. У цій статті вже зазначено, що кібератаки, незалежно від того, наскільки укріплена система, неминучі. Це не означає, що організації повинні припинити зміцнювати свою систему безпеки - навпаки, насправді. Кібератаки розвиваються, і єдиний спосіб запобігти або мінімізувати шкоду - це хороша підготовленість. Один із способів підготувати системи до атак - дозволити етичним хакерам заздалегідь визначити вразливості.

Прикладів цього багато, і доречно обговорити приклад департаменту внутрішньої безпеки США (DHS). DHS використовує надзвичайно велику і складну систему, яка одночасно зберігає та обробляє величезні обсяги конфіденційних даних. Порушення даних є серйозною загрозою і рівнозначно загрожує національній безпеці. DHS зрозумів, що отримання етичних хакерів проникнути в його систему до того, як це зробили хакери з чорних капелюхів, - це розумний спосіб підвищити рівень підготовленості. Отже, був прийнятий Закон про hack DHS, який дозволив би вибраним етичним хакерам проникнути в систему DHS. В акті детально викладено, як діятиме ініціатива. Буде найнята група етичних хакерів для проникнення в систему DHS та виявлення вразливості, якщо така є. За будь-яку нову виявлену вразливість етичні хакери отримають фінансову винагороду. Етичні хакери не зазнавали б жодних юридичних дій через свої дії, хоча їм доведеться працювати за певних обмежень та вказівок. Акт також зобов’язав усіх етичних хакерів, що беруть участь у програмі, пройти ретельну перевірку. Як і DHS, відомі організації наймають етичних хакерів для підвищення рівня готовності системи протягом тривалого часу. (Докладніше про безпеку загалом див. У 7 основних принципах безпеки ІТ.)

Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя

Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.

Висновок

І етичний злом, і звичайна безпека ІТ повинні спільно працювати над захистом корпоративних систем. Однак підприємствам потрібно розробити свою стратегію щодо етичного злому. Вони, ймовірно, можуть взяти участь у політиці DHS щодо етичного злому. Роль та сфера застосування етичних хакерів повинні бути чітко визначені; важливо, щоб підприємство підтримувало перевірки та противаги, щоб хакер не перевищував обсяг роботи та не завдавав шкоди системі. Підприємству також необхідно дати етичним хакерам впевненість, що жодних юридичних дій не буде вжито у випадку порушення, визначеного їх контрактом.