Innehållsförteckning:
Video: The Vietnam War: Reasons for Failure - Why the U.S. Lost 2024
Du behöver skydd mot hacker shenanigans; du måste bli så kunnig som killarna försöker attackera dina system. En sann säkerhetsbedömningspersonal har kompetens, tankegång och verktyg för en hackare men är också pålitlig. Han eller hon utför hackarna som säkerhetsprov mot system baserat på hur hackare kan fungera.
Etisk hackning - som omfattar formell och metodisk penetrationstestning, vithatthackning och sårbarhetstestning - omfattar samma verktyg, trick och tekniker som brottsliga hackare använder, men med en stor skillnad: Etisk hacking utförs med målets tillstånd i en professionell miljö. Avsikten med etisk hacking är att upptäcka sårbarheter från en skadlig angripare till bättre säkra system. Etisk hackning är en del av ett övergripande informationshanteringsprogram som möjliggör pågående säkerhetsförbättringar. Etisk hacking kan också säkerställa att leverantörernas påståenden om säkerheten för sina produkter är legitima.
Om du utför etiska hacktest och vill lägga till en annan certifiering i dina uppgifter, kanske du vill överväga att bli en certifierad etisk hacker (CEH) genom ett certifieringsprogram sponsrat av EC-Council. Precis som Certified Information Systems Security Professional (CISSP) har CEH-certifieringen blivit en välkänd och respekterad certifiering i branschen. Det är även ackrediterat av American National Standards Institute (ANSI 17024).
Andra alternativ inkluderar programmet SANS Global Information Assurance Certification (GIAC) och OSCP-programmet (Offensive Security Certified Professional) - en heltäckande säkerhetstestcertifiering. Alltför ofta har människor som utför denna typ av arbete inte den rätta praktiska erfarenheten att göra det bra.
Etisk hacking mot revision
Många människor förvirrar säkerhetsprovning via den etiska hackingmetoden med säkerhetsrevision, men det finns stora skillnader, nämligen i målen. Säkerhetsrevision innebär att ett företags säkerhetspolicy (eller efterlevnadskrav) jämförs med vad som faktiskt äger rum. Avsikten med säkerhetsrevision är att validera att säkerhetskontroller existerar - vanligtvis med hjälp av ett riskbaserat tillvägagångssätt. Revision innebär ofta att man granskar affärsprocesser och i många fall kanske inte är mycket tekniskt. Säkerhetsrevisioner baseras vanligtvis på checklistor.
Inte alla revisioner är på hög nivå, men många (särskilt kring PCI DSS-kompatibilitet) är ganska enkla - ofta utförs av personer som inte har någon teknisk dator, nätverk, och applikationserfarenhet eller, värre, de arbetar helt utanför IT!
Omvänt är säkerhetsbedömningar baserade på etisk hacking inriktat på sårbarheter som kan utnyttjas. Det här testmetoden validerar att säkerhetskontroller inte existerar eller är ineffektiva i bästa fall. Etisk hacking kan vara både högteknologiskt och icke-tekniskt, och även om du använder en formell metod, tenderar den att vara lite mindre strukturerad än formell revision.
Om det krävs revision (t.ex. för certifieringarna ISO 9001 och 27001) i din organisation, kan du överväga att integrera etiska hackningstekniker i ditt IT / säkerhetsrevisionsprogram. De kompletterar varandra väldigt bra.
Politiska överväganden
Om du väljer att göra etisk hacking en viktig del av ditt företags informationshanteringsprogram, behöver du verkligen ha en dokumenterad säkerhetsprövningspolicy. En sådan policy beskriver vem som gör testningen, den allmänna typen av testning som utförs och hur ofta testningen äger rum.
Du kan också överväga att skapa ett säkerhetsstandarddokument som beskriver de specifika säkerhetstestverktygen som används och specifika personer som utför testningen. Du kan också lista standard testdatum, t.ex. en gång per kvartal för externa system och halvårliga tester för interna system - vad som helst för ditt företag.
Överensstämmelse och regleringshänsyn
Din egen interna policy kan diktera hur hanteringen visar säkerhetsprovning, men du måste också överväga de statliga, federala och internationella lagar och regler som påverkar ditt företag. I synnerhet skickar Digital Millennium Copyright Act (DMCA) frysningar ner i ryggraden av legitima forskare.
Många av de federala lagar och förordningar i Förenta staterna, såsom HIPAA, HITECH-lagen, Gramm-Leach-Bliley Act (GLBA), Health Information Technology for Economic and Clinical Health (HITECH), NERC-kraven för kritisk infrastruktur (CIP) och PCI DSS - kräver starka säkerhetsåtgärder och konsekventa säkerhetsutvärderingar. Tillhörande internationella lagar som den kanadensiska lagen om personlig information om skydd av personuppgifter (PIPEDA), Europeiska unionens dataskyddsdirektiv och Japans personuppgiftslagen (JPIPA) är inte annorlunda.
Att integrera dina säkerhetsprov i dessa krav på överensstämmelse är ett utmärkt sätt att uppfylla de statliga och federala bestämmelserna och sätta upp ditt övergripande informationssäkerhets- och integritetsprogram.