Innehållsförteckning:
Video: Hackerskolan episod 1: Vad är hacking? 2024
Etisk hackning - som omfattar formell och metodisk penetrationstestning, vithatthackning och sårbarhetstestning - omfattar samma verktyg, tricks och tekniker som brottsling hackare använder, men med en stor skillnad: Etisk hacking utförs med målets tillstånd i en professionell miljö.
Syftet med etiskt hacking är att upptäcka sårbarheter från en skadlig angripare till bättre säkra system. Etisk hackning är en del av ett övergripande informationshanteringsprogram som möjliggör pågående säkerhetsförbättringar. Etisk hacking kan också säkerställa att leverantörernas påståenden om säkerheten för sina produkter är legitima.
Etisk hacking mot revisioner
Många människor förvirrar etisk hacking med säkerhetsrevision, men det finns stora skillnader. Säkerhetsrevision innebär att ett företags säkerhetspolicy jämförs med vad som faktiskt äger rum. Avsikten med säkerhetsrevision är att validera att säkerhetskontroller existerar - vanligtvis med hjälp av ett riskbaserat tillvägagångssätt. Revision innebär ofta att man granskar affärsprocesser och i många fall kanske inte är mycket tekniskt. Inte alla revisioner är den här högnivån, men majoriteten är ganska enkel.
Omvänt fokuserar etisk hacking på sårbarheter som kan utnyttjas. Det bekräftar att säkerhetskontroller inte existerar eller är ineffektiva i bästa fall. Etisk hacking kan vara både högteknologiskt och icke-tekniskt, och även om du använder en formell metod, tenderar den att vara lite mindre strukturerad än formell revision.
Om revisionen fortsätter att ske i din organisation kan du överväga att integrera etiska hackningstekniker i ditt IT-granskningsprogram. De kompletterar varandra väldigt bra.
Politiska överväganden
Om du väljer att göra etisk hacking en viktig del av ditt företags riskhanteringsprogram behöver du verkligen ha en dokumenterad säkerhetsprövningspolicy. En sådan policy beskriver vilken typ av etisk hacking som görs, vilka system (som servrar, webbapplikationer, bärbara datorer etc.) testas och hur ofta testningen utförs.
Du kan också överväga att skapa ett säkerhetsstandarddokument som beskriver de specifika säkerhetsverktyg som används och specifika datum som dina system testas varje år. Du kan lista vanliga testdatum, t.ex. en gång per kvartal för externa system och tvååriga tester för interna system - vad som helst för ditt företag.
Överensstämmelse och regleringshänsyn
Dina egna interna policyer kan diktera hur hanteringen visar säkerhetsprovning, men du måste också överväga de statliga, federala och globala lagar och regler som påverkar ditt företag.
Många av federala lagar och förordningar i USA - såsom HIPAA, HITECH-lagen, Gramm-Leach-Bliley Act (GLBA), Health Information Technology for Economic and Clinical Health (HITECH) NIP-krav för nordamerikanska elförtroendeföretag (NERC) och betalkortindustrin Datasäkerhetsstandard (PCI DSS) - kräver starka säkerhetsåtgärder och konsekventa säkerhetsbedömningar.
Relaterade internationella lagar som den kanadensiska lagen om personlig information om skydd av personuppgifter (PIPEDA), Europeiska unionens databeskyddsdirektiv och Japans personuppgiftslagen (JPIPA) är inte annorlunda. Att integrera dina etiska hacktest i dessa krav på överensstämmelse är ett utmärkt sätt att uppfylla de statliga och federala bestämmelserna och sätta upp ditt övergripande integritets- och säkerhetsprogram.
