Hvordan din organisation kan drage fordel af etisk hacking

Forfatter: Roger Morrison
Oprettelsesdato: 26 September 2021
Opdateringsdato: 1 Juli 2024
Anonim
Lotus-Born Master: The Shambhala Access Code || Guru Padmasambhava, Guru Rinpoche ||
Video.: Lotus-Born Master: The Shambhala Access Code || Guru Padmasambhava, Guru Rinpoche ||

Indhold


Kilde: Cammeraydave / Dreamstime.com

Tag væk:

Hacking er en enorm trussel mod organisationer, hvorfor etiske hackere ofte er den bedste løsning til at finde sikkerhedshuller.

Arten af ​​cybersikkerhedstrusler er ved at udvikle sig. Medmindre systemer udvikler sig til at håndtere disse trusler, vil de sidde ænder. Selvom konventionelle sikkerhedsforanstaltninger er nødvendige, er det vigtigt at få perspektivet fra mennesker, der potentielt kan true systemer, eller hackere. Organisationer har tilladt en kategori af hackere, kendt som etiske eller white hat-hackere, at identificere systemsårbarheder og give forslag til løsning af dem. Etiske hackere, med udtrykkeligt samtykke fra systemejere eller interessenter, trænger ind i systemerne for at identificere sårbarheder og give anbefalinger om forbedring af sikkerhedsforanstaltninger. Etisk hacking gør sikkerhed holistisk og omfattende.

Har du virkelig brug for etiske hackere?

Det er bestemt ikke obligatorisk at anvende tjenester fra etiske hackere, men konventionelle sikkerhedssystemer har gentagne gange undladt at give tilstrækkelig beskyttelse mod en fjende, der vokser i størrelse og sort. Med spredning af smarte og tilsluttede enheder er systemer konstant truet. Faktisk betragtes hacking som en indbringende mulighed økonomisk, selvfølgelig på bekostning af organisationer. Som Bruce Schneier, forfatter af bogen "Beskyt din Macintosh" udtrykte det, "hardware er let at beskytte: lås det i et rum, kæde det til et skrivebord eller købe en ekstra. Oplysninger udgør mere et problem. Det kan eksistere på mere end et sted; transporteres halvvejs over planeten på få sekunder; og blive stjålet uden din viden. " Din IT-afdeling, medmindre du har et stort budget, kan vise sig at være dårligere end angreb fra hackere, og værdifulde oplysninger kan stjæles, inden du engang klar over det. Derfor giver det mening at tilføje en dimension til din IT-sikkerhedsstrategi ved at ansætte etiske hackere, der kender måderne med black hat-hackere på. Ellers risikerer din organisation muligvis ubevidst at holde smuthuller åbne i systemet.


Kendskab til hackers metoder

For at forhindre hacking er det vigtigt at forstå, hvordan hackere tænker. Konventionelle roller inden for systemsikkerhed kan kun gøre så meget, indtil hackerens tankegang skal introduceres. Naturligvis er hackers måder unikke og vanskelige for konventionelle systemsikkerhedsroller at håndtere. Dette sætter sagen for ansættelse af en etisk hacker, der kan få adgang til systemet, som en ondsindet hacker måtte, og undervejs opdage eventuelle sikkerhedsløjfer.

Penetrativ testning

Også kendt som penetest, anvendes penetrativ test til at identificere systemsårbarheder, som en angriber kan målrette mod. Der er mange metoder til penetrativ testning. Organisationen kan bruge forskellige metoder afhængigt af dens krav.

  • Målrettet test involverer organisationernes mennesker og hacker. Organisationens personale ved alle om hacking, der udføres.
  • Ekstern testning trænger ind i alle eksternt eksponerede systemer som webservere og DNS.
  • Intern test afslører sårbarheder, der er åbne for interne brugere med adgangsrettigheder.
  • Blind test simulerer virkelige angreb fra hackere.

Testere får begrænset information om målet, hvilket kræver, at de udfører rekognosering før angrebet. Penetrativ test er det stærkeste tilfælde for ansættelse af etiske hackere. (Se Penetration Testing og den delikate balance mellem sikkerhed og risiko for at lære mere).


Identificering af sårbarheder

Intet system er fuldstændigt immun mod angreb. Organisationer er stadig nødt til at yde multidimensionel beskyttelse. Den etiske hacker's paradigme tilføjer en vigtig dimension. Et godt eksempel er case study af en stor organisation i fremstillingsområdet. Organisationen kendte sine begrænsninger med hensyn til systemsikkerhed, men kunne ikke gøre meget på egen hånd. Så det hyrede etiske hackere til at vurdere dets systemsikkerhed og give sine fund og anbefalinger. Rapporten omfattede følgende komponenter: mest sårbare havne som Microsoft RPC og fjernadministration, anbefalinger til forbedring af systemsikkerhed såsom et hændelsessystem, fuld implementering af et sårbarhedsstyringsprogram og gør hærdningsretningslinjerne mere omfattende.

Beredskab til angreb

Angreb er uundgåelige, uanset hvor befæstet et system er. Til sidst finder en hacker en sårbarhed eller to. Denne artikel har allerede sagt, at cyberattacks, uanset omfanget af et system er styrket, er uundgåelige. Det betyder ikke, at organisationer skal stoppe med at styrke deres systemsikkerhed - snarere tværtimod. Cyberattacks har udviklet sig, og den eneste måde at forhindre eller minimere skader på er god beredskab. En måde at forberede systemer mod angreb på er at tillade etiske hackere at identificere sårbarhederne på forhånd.

Der er mange eksempler på dette, og det er relevant at diskutere eksemplet fra U.S. Department of Homeland Security (DHS). DHS bruger et ekstremt stort og komplekst system, som både lagrer og behandler enorme mængder fortrolige data. Dataovertrædelse er en alvorlig trussel og svarer til trussel om national sikkerhed. DHS indså, at det at få etiske hackere til at bryde ind i sit system, før black hat-hackere gjorde, var en smart måde at hæve niveauet af beredskab på. Så blev Hack DHS Act vedtaget, hvilket ville give udvalgte etiske hackere mulighed for at bryde ind i DHS-systemet. Loven indeholdt detaljeret, hvordan initiativet ville fungere. En gruppe af etiske hackere ville blive hyret til at bryde ind i DHS-systemet og identificere eventuelle sårbarheder. For enhver identificeret ny sårbarhed vil de etiske hackere blive belønnet økonomisk. De etiske hackere vil ikke blive udsat for nogen juridiske handlinger på grund af deres handlinger, skønt de skulle arbejde under visse begrænsninger og retningslinjer. Handlingen gjorde det også obligatorisk for alle etiske hackere, der deltager i programmet, at gennemgå en grundig baggrundskontrol. Ligesom DHS har ansete organisationer ansat etiske hackere for at hæve niveauet for systemsikkerhedsberedskab i lang tid. (Se De 7 grundlæggende principper for it-sikkerhed for mere om sikkerhed generelt).

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

Konklusion

Både etisk hacking og konventionel it-sikkerhed er nødt til at arbejde sammen for at beskytte virksomhedssystemer. Virksomheder skal dog udarbejde deres strategi for etisk hacking. De kan sandsynligvis tage et blad ud af DHS-politikken mod etisk hacking. Rollen og omfanget af etiske hackere skal defineres klart; Det er vigtigt, at virksomheden opretholder kontroller og balancer, så hackeren ikke overskrider jobomfanget eller forårsager skade på systemet. Virksomheden er også nødt til at give de etiske hackere forsikringen om, at der ikke ville blive truffet nogen juridiske handlinger i tilfælde af et brud som defineret i deres kontrakt.