Innehållsförteckning:
Video: Ethical Hacking - Phases 2024
Precis som ett IT- eller säkerhetsprojekt måste etisk hacking planeras i förväg. Strategiska och taktiska problem i den etiska hackningsprocessen bör bestämmas och överenskommas. För att säkerställa framgången med dina ansträngningar, spendera tid på att planera saker och ting framåt. Planering är viktig för varje testprovning - från ett enkelt lösenordsprickningstest till ett all-out penetrationstest på en webbapplikation.
Formulera din plan
Godkännande för etisk hackning är viktigt. Gör vad du gör känt och synligt - åtminstone till beslutsfattarna. Att få sponsring av projektet är det första steget. Det här kan vara din chef, en verkställande, din klient eller ens om du är chefen. Du behöver någon att rädda dig och skriva ut på din plan. Annars kan din provning avbrutas oväntat om någon hävdar att de aldrig godkände dig för att utföra testen.
Bemyndigandet kan vara lika enkelt som ett internt memo eller e-post från din chef om du utför dessa tester på dina egna system. Om du testar för en klient, har du ett tecknat kontrakt på plats, där kundens stöd och godkännande anges. Få skriftligt godkännande på denna sponsring så snart som möjligt för att säkerställa att ingen av din tid eller ansträngning är bortkastad. Denna dokumentation är ditt Få ut ur fängelse gratis -kort om någon frågar vad du gör, eller värre om myndigheterna kommer att ringa.
En slip kan krascha dina system - inte nödvändigtvis vad någon vill ha. Du behöver en detaljerad plan, men det betyder inte att du behöver volymer av testprocedurer. Ett väldefinierat omfång innehåller följande information:
- Specifika system som ska testas: När du väljer system för test, börja med de mest kritiska system och processer eller de som du misstänker vara de mest utsatta. Du kan till exempel testa datorns lösenord, en webbapplikation mot Internet eller försöka med socialtekniska attacker innan du borrar ner i alla dina system.
- Inblandade risker: Det lönar sig att ha en beredskapsplan för din etiska hackprocess om något går fel. Vad händer om du utvärderar din brandvägg eller webbapplikation och tar det ner? Det kan leda till att systemet inte är tillgängligt, vilket kan minska systemets prestanda eller produktivitet. Ännu värre kan det leda till förlust av dataintegritet, förlust av data i sig och till og med dålig publicitet. Det kommer säkert att kryssa av en person eller två och få dig att se dåligt ut. Hantera socialteknik och DoS-attacker noggrant. Bestäm hur de kan påverka de system du testar och hela din organisation.
- När testen ska utföras och din övergripande tidslinje: Bestämning när testerna utförs är något du måste tänka länge och svårt om. Utför du tester under normala öppettider? Vad sägs om sent på kvällen eller tidigt på morgonen så att produktionssystemen inte påverkas? Involvera andra för att se till att de godkänner din tidpunkt. Det bästa sättet är en obegränsad attack, där varje typ av test är möjligt när som helst på dygnet. De dåliga killarna bryter inte in i dina system inom ett begränsat utrymme, så varför ska du? Några undantag från detta tillvägagångssätt utförs DoS-attacker, socialteknik och fysiska säkerhetsprov.
- Hur mycket kunskap om systemen du har innan du börjar testa: Du behöver inte en omfattande kunskap om de system du testar - bara en grundläggande förståelse. Denna grundläggande förståelse hjälper till att skydda dig och de testade systemen.
- Vilka åtgärder kommer att vidtas när ett större säkerhetsproblem upptäcks: Stopp inte efter att du har hittat ett säkerhetshål. Detta kan leda till en falsk känsla av säkerhet. Fortsätt och se vad du kan upptäcka. Du behöver inte fortsätta hacka till slutet av tiden eller tills du kraschar alla dina system. helt enkelt driva vägen du går ner tills du inte kan hacka den längre (ordsprog avsedda). Om du inte har hittat några sårbarheter har du inte tittat tillräckligt hårt.
- De specifika leveranserna: Detta inkluderar rapporter om säkerhetsbedömning och en rapport på högre nivå som beskriver de allmänna sårbarheter som ska åtgärdas, tillsammans med motåtgärder som bör genomföras.
Ett av dina mål kan vara att utföra testen utan att detekteras. Till exempel kan du utföra dina tester på fjärrsystem eller på ett fjärrkontor, och du vill inte att användarna ska vara medvetna om vad du gör. Annars kan användarna fånga på dig och vara på sitt bästa beteende - i stället för deras normala beteende.
Genomföra planen
God etisk hackning kräver uthållighet. Tid och tålamod är viktiga. Var försiktig när du utför dina etiska hacktest. En hacker i ditt nätverk eller en till synes vänlig anställd som tittar över din axel kan titta på vad som händer och använda den här informationen mot dig.
Det är inte praktiskt att se till att inga hackare finns på ditt system innan du börjar. Se bara till att du håller allt så tyst och privat som möjligt. Detta är särskilt viktigt när du överför och lagrar dina testresultat. Om möjligt, kryptera alla e-postmeddelanden och filer som innehåller känslig testinformation genom att använda Pretty Good Privacy eller liknande teknik. Förminskas lösenordsskydda dem.
Du är nu på ett rekryteringsuppdrag. Få så mycket information som möjligt om din organisation och system, vilket är vad skadliga hackare gör. Börja med en bred vy och begränsa ditt fokus:
1. Sök på Internet efter organisationens namn, datorns och nätverkssystemnamnen och dina IP-adresser.
Google är ett bra ställe att börja.
2. Begränsa ditt räckvidd genom att rikta in de specifika system du testar.
Oavsett om du bedömer fysiska säkerhetsstrukturer eller webbapplikationer kan en avslappnad bedömning ge dig mycket information om dina system.
3. Vidare begränsa ditt fokus med ett mer kritiskt öga. Utför faktiska skanningar och andra detaljerade tester för att upptäcka sårbarheter på dina system.
4. Utför attackerna och utnyttja eventuella sårbarheter du har hittat, om det är vad du väljer att göra.
Utvärdera resultat
Bedöm dina resultat för att se vad du upptäckte, förutsatt att sårbarheterna inte har blivit uppenbara förrän nu. Det är här kunskapen räknas. Utvärdering av resultaten och korrelering av de specifika sårbarheter som upptäckts är en färdighet som blir bättre med erfarenhet. Du kommer att sluta veta dina system mycket bättre än någon annan. Detta gör utvärderingsprocessen mycket enklare framåt.
Skicka en formell rapport till överordnad ledning eller till din klient, redogör för dina resultat och eventuella rekommendationer du vill dela. Håll dessa fester i slingan för att visa att dina ansträngningar och pengar är bra tillbringade.