Kuinka organisaatiosi voi hyötyä eettisestä hakkeroinnista

Kirjoittaja: Roger Morrison
Luomispäivä: 26 Syyskuu 2021
Päivityspäivä: 1 Heinäkuu 2024
Anonim
Kuinka organisaatiosi voi hyötyä eettisestä hakkeroinnista - Tekniikka
Kuinka organisaatiosi voi hyötyä eettisestä hakkeroinnista - Tekniikka

Sisältö


Lähde: Cammeraydave / Dreamstime.com

Ottaa mukaan:

Hakkerointi on valtava uhka organisaatioille, minkä vuoksi eettiset hakkerit ovat usein paras ratkaisu turvapuutteiden löytämiseen.

Kyberturvallisuusuhkien luonne kehittyy jatkuvasti. Ellei järjestelmiä kehitetä hallitsemaan näitä uhkia, he ovat istuvia ankkoja. Vaikka tavanomaiset turvatoimenpiteet ovat välttämättömiä, on tärkeää saada näkemys ihmisistä, jotka voivat uhata järjestelmiä, tai hakkereihin. Organisaatiot ovat sallineet hakkereiden luokan, joka tunnetaan nimellä eettiset tai valkoisten hattujen hakkerit, tunnistamaan järjestelmän haavoittuvuudet ja antamaan ehdotuksia niiden korjaamiseksi. Eettiset hakkerit tunkeutuvat järjestelmien omistajien tai sidosryhmien nimenomaisella suostumuksella järjestelmiin haavoittuvuuksien tunnistamiseksi ja antavat suosituksia turvallisuustoimenpiteiden parantamiseksi. Eettinen hakkerointi tekee turvallisuudesta kokonaisvaltaisen ja kattavan.


Tarvitsetko todella eettisiä hakkereita?

Eettisten hakkereiden palvelujen käyttäminen ei ole ehdottomasti pakollista, mutta perinteiset turvajärjestelmät eivät ole toistuvasti kyenneet tarjoamaan riittävää suojaa viholliselta, joka kasvaa kokoaan ja monimuotoisuuteensa. Älykkäiden ja kytkettyjen laitteiden leviämisen myötä järjestelmät ovat jatkuvasti uhattuna. Itse asiassa hakkerointia pidetään taloudellisesti kannattavana keinona, tietysti organisaatioiden kustannuksella. Kuten Bruce Schneier, kirjan "Suojaa Macintosh" kirjoittaja, sanoi: "Laitteisto on helppo suojata: lukita se huoneeseen, ketjuttaa se työpöydälle tai ostaa varaosa. Tiedot aiheuttavat enemmän ongelmia. Niitä voi olla. useammassa kuin yhdessä paikassa; kuljetetaan puolivälissä planeetan yli sekunneissa; ja varastetaan tietämättäsi. " IT-osastosi, ellei sinulla ole suurta budjettia, voi osoittautua heikommaksi hakkereiden hyökkäyksissä, ja arvokasta tietoa voidaan varastaa ennen kuin edes ymmärrät sitä. Siksi on järkevää lisätä ulottuvuus IT-tietoturvastrategiaan palkkaamalla eettisiä hakkereita, jotka tietävät mustahattu-hakkereiden tapoja. Muutoin organisaatiossasi saattaa olla vaara, että tietämättömästi pidetään porsaanreikiä avoinna järjestelmässä.


Hakkeroiden menetelmien tuntemus

Hakkeroinnin estämiseksi on tärkeää ymmärtää miten hakkerit ajattelevat. Järjestelmän tietoturvan tavanomaiset roolit voivat tehdä vain niin paljon, kunnes hakkereiden ajattelutapa on otettava käyttöön. On selvää, että hakkerointitavat ovat ainutlaatuisia ja tavanomaisten järjestelmän tietoturvaroolien vaikeita käsitellä. Tämä antaa aihetta eettisen hakkeroinnin palkkaamiseen, joka voi käyttää järjestelmää kuten haittaohjelma voi, ja matkalla löytää kaikki tietoturvapuutteet.

Penetratiivinen testaus

Tunnetaan myös nimellä kynätestaus, tunkeutuvaa testausta käytetään tunnistamaan järjestelmän haavoittuvuudet, joihin hyökkääjä voi kohdistaa. Tunkeutuvalle testaamiselle on monia menetelmiä. Organisaatio voi käyttää erilaisia ​​menetelmiä vaatimuksistaan ​​riippuen.

  • Kohdennettuun testaukseen osallistuvat organisaatiot ihmiset ja hakkerit. Organisaation henkilökunta tietää kaikki suoritettavasta hakkeroinnista.
  • Ulkoinen testaus tunkeutuu kaikkiin ulkopuolelle altistettuihin järjestelmiin, kuten verkkopalvelimiin ja DNS: ään.
  • Sisäinen testaus paljastaa sisäisille käyttäjille avoimet haavoittuvuudet, joilla on käyttöoikeudet.
  • Sokeiden testaus simuloi hakkereiden todellisia hyökkäyksiä.

Testaajille annetaan rajoitettua tietoa maalista, mikä edellyttää heidän suorittavan tiedustelu ennen hyökkäystä. Läpäisevä testaus on vahvin tapa eettisten hakkereiden palkkaamiseen. (Jos haluat lisätietoja, katso Läpäisytestaus ja suojauksen ja riskien välinen tasapaino.)

Haavoittuvuuksien tunnistaminen

Mikään järjestelmä ei ole täysin immuuni hyökkäyksille. Organisaatioiden on silti tarjottava moniulotteinen suoja. Eettisen hakkeroinnin paradigma lisää tärkeän ulottuvuuden. Hyvä esimerkki on tapaustutkimus suuresta organisaatiosta valmistusalueella. Organisaatio tiesi järjestelmän turvallisuuden rajoituksista, mutta ei pystynyt tekemään paljon yksinään. Joten se palkkasi eettisiä hakkereita arvioimaan järjestelmän turvallisuutta ja antamaan havaintoja ja suosituksia. Raportti sisälsi seuraavat komponentit: haavoittuvimmat portit, kuten Microsoft RPC ja etähallinta, järjestelmän tietoturvan parantamista koskevat suositukset, kuten tapahtumien reagointijärjestelmä, haavoittuvuuksien hallintaohjelman täydellinen käyttöönotto ja karkaisemisohjeiden tekeminen kattavammaksi.

Valmistautuminen hyökkäyksiin

Hyökkäykset ovat väistämättömiä riippumatta siitä, kuinka vakaa järjestelmä on. Lopulta hyökkääjä löytää haavoittuvuuden tai kaksi. Tässä artikkelissa on jo todettu, että kyberhyökkäykset ovat väistämättömiä riippumatta siitä, missä määrin järjestelmää on vahvistettu. Tämä ei tarkoita, että organisaatioiden tulisi lopettaa järjestelmäturvallisuuden lisääminen - itse asiassa päinvastoin. Kyberahyökkäykset ovat kehittyneet ja ainoa tapa estää tai minimoida vahinko on hyvä varautuminen. Yksi tapa valmistella järjestelmiä hyökkäyksiä vastaan ​​on antaa eettisille hakkereille tunnistaa haavoittuvuudet etukäteen.

Tästä on monia esimerkkejä, ja on aiheellista keskustella Yhdysvaltain sisäisen turvallisuuden laitoksen (DHS) esimerkistä. DHS käyttää erittäin suurta ja monimutkaista järjestelmää, joka sekä tallentaa että käsittelee valtavia määriä luottamuksellisia tietoja. Tietojen rikkominen on vakava uhka, ja se merkitsee kansallisen turvallisuuden uhkaamista. DHS ymmärsi, että eettisten hakkereiden pääsy järjestelmään ennen kuin mustahattu hakkerit tekivät, oli älykäs tapa parantaa valmiustasoa. Joten hyväksyttiin Hack DHS -laki, jonka avulla tietyt eettiset hakkerit pääsivät DHS-järjestelmään. Laissa säädettiin yksityiskohtaisesti, kuinka aloite toimisi. Ryhmä eettisiä hakkereita palkataan murtautumaan DHS-järjestelmään ja tunnistamaan mahdolliset haavoittuvuudet. Mahdollisista havaituista haavoittuvuuksista eettiset hakkerit palkitaan taloudellisesti. Eettisiin hakkereihin ei voida ryhtyä oikeustoimiin heidän toimiensa takia, vaikka heidän olisi työskenneltävä tiettyjen rajoitusten ja ohjeiden mukaisesti. Laki muutti myös pakolliseksi kaikille ohjelmaan osallistuville eettisille hakkereille perusteellisen taustatarkastuksen. Kuten DHS, maineikkaat organisaatiot ovat palkanneet eettisiä hakkereita nostamaan järjestelmän turvallisuuteen varautumisen tasoa pitkään. (Lisätietoja turvallisuudesta yleensä, katso 7 tietoturvan perusperiaatetta.)

Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi

Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.

johtopäätös

Sekä eettisen hakkeroinnin että perinteisen IT-tietoturvan on toimittava yhdessä yrityksen järjestelmien suojaamiseksi. Yritysten on kuitenkin laadittava strategia eettisen hakkeroinnin edistämiseksi. Ne voivat todennäköisesti ottaa lehden pois DHS-politiikasta kohti eettistä hakkerointia. Eettisten hakkereiden rooli ja laajuus on määriteltävä selvästi; on tärkeää, että yritys ylläpitää tarkastuksia ja tasapainoa, jotta hakkeri ei ylitä työn laajuutta tai vahingoita järjestelmää. Yrityksen on myös annettava eettisille hakkereille vakuutus siitä, että mitään oikeudellisia toimia ei toteuteta, jos heidän sopimuksessaan määritelty rikkomus tapahtuu.