Sadržaj
- Da li vam stvarno trebaju etički hakeri?
- Poznavanje hakerskih metoda
- Penetrativno ispitivanje
- Identificiranje ranjivosti
- Spremnost za napade
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Zaključak
Izvor: Cammeraydave / Dreamstime.com
Oduzeti:
Hakiranje predstavlja ogromnu prijetnju za organizacije, zbog čega su etički hakeri često najbolje rješenje za pronalaženje propusta u sigurnosti.
Priroda prijetnji kibernetičkom sigurnošću stalno se razvija. Ako se ne razviju sustavi za upravljanje tim prijetnjama, bit će sjedeće patke. Iako su uobičajene sigurnosne mjere potrebne, važno je dobiti perspektivu ljudi koji mogu potencijalno prijetiti sustavima ili hakerima. Organizacije dopuštaju kategoriji hakera, poznatoj kao etički ili hakeri s bijelim šeširima, da prepoznaju ranjivosti sustava i daju prijedloge kako ih riješiti. Etički hakeri, uz izričiti pristanak vlasnika sustava ili dionika, prodire u sustave kako bi identificirali ranjivosti i pružili preporuke za poboljšanje sigurnosnih mjera. Etičko hakiranje sigurnost čini cjelovitom i sveobuhvatnom.
Da li vam stvarno trebaju etički hakeri?
Svakako nije obvezno koristiti usluge etičkih hakera, ali konvencionalni sigurnosni sustavi više puta nisu uspjeli pružiti odgovarajuću zaštitu protiv neprijatelja koji raste u veličini i raznolikosti. Uz širenje pametnih i povezanih uređaja, sustavi su stalno pod prijetnjom. U stvari, na sjeckanje se gleda kao na unosan financijski put, naravno na štetu organizacija. Kao što je rekao Bruce Schneier, autor knjige "Zaštiti svoj Macintosh", "Hardver je lako zaštititi: zaključati ga u sobi, staviti ga u lanac za stol ili kupiti rezervni. Podaci predstavljaju veći problem. Mogu postojati na više od jednog mjesta; biti transportiran na pola puta preko planete u sekundi i biti ukraden bez vašeg znanja. " Vaš IT odjel, osim ako nemate veliki proračun, može se pokazati inferiornijim od napada hakera, a vrijedne informacije mogu se ukrasti i prije nego što to shvatite. Stoga ima smisla dodati dimenziju svojoj IT sigurnosnoj strategiji zapošljavanjem etičkih hakera koji poznaju načine hakera u crnim šeširima. Inače, vaša organizacija može riskirati da nesvjesno drži rupe u sustavu otvorene.
Poznavanje hakerskih metoda
Da biste spriječili hakiranje, važno je razumjeti kako hakeri misle. Konvencionalne uloge u sigurnosti sustava mogu učiniti toliko puno dok se ne uvede mišljenje hakera. Očito je da su hakerski načini jedinstveni i teški za rukovanje konvencionalnim sigurnosnim ulogama u sustavu. To postavlja slučaj angažiranja etičkog hakera koji može pristupiti sustavu poput zlonamjernog hakera i na putu otkriti bilo kakve sigurnosne rupe.
Penetrativno ispitivanje
Poznato i kao testiranje olovkom, penetrativno testiranje koristi se za prepoznavanje ranjivosti sustava na koje napadač može ciljati. Postoji mnogo metoda penetrativnog ispitivanja. Organizacija može koristiti različite metode, ovisno o svojim zahtjevima.
- Ciljano testiranje uključuje organizacije ljudi i hakere. Osoblje organizacije sve zna o hakiranju koje se izvodi.
- Vanjsko testiranje prodire u sve eksterno izložene sustave poput web poslužitelja i DNS-a.
- Unutarnje testiranje otkriva ranjivosti koje su otvorene internim korisnicima s povlasticama pristupa.
- Slijepo testiranje simulira stvarne napade hakera.
Ispitivačima se daju ograničene informacije o cilju, zbog čega moraju izvesti izviđanje prije napada. Penetrativno testiranje najjači je slučaj za zapošljavanje etičkih hakera. (Da biste saznali više, pogledajte Ispitivanje penetracije i osjetljiva ravnoteža između sigurnosti i rizika.)
Identificiranje ranjivosti
Nijedan sustav nije u potpunosti imun na napade. Ipak, organizacije moraju osigurati višedimenzionalnu zaštitu. Paradigma etičkog hakera dodaje važnu dimenziju. Dobar primjer je studija slučaja velike organizacije u području proizvodnje. Organizacija je znala svoja ograničenja u pogledu sigurnosti sustava, ali nije mogla puno učiniti sama. Dakle, angažirao je etičke hakere za procjenu sigurnosti sustava i pružanje svojih nalaza i preporuka. Izvještaj se sastojalo od sljedećih komponenti: najosjetljiviji portovi kao što su Microsoft RPC i daljinska administracija, preporuke za poboljšanje sigurnosti sustava kao što su sustav za odgovor na nezgode, potpuno aktiviranje programa za upravljanje ranjivošću i pojačavanje smjernica o učvršćivanju.
Spremnost za napade
Napadi su neizbježni bez obzira na to koliko je sustav učvršćen. Na kraju će napadač pronaći ranjivost ili dvije. U ovom je članku već navedeno da su cyber napadi, bez obzira na stupanj učvršćenja sustava, neizbježni. To ne znači da bi organizacije trebale prestati jačati svoju sigurnost u sustavu, zapravo suprotno. Napadi na cyberat razvijaju se i jedini način da se spriječi ili minimizira šteta je dobra pripremljenost. Jedan od načina za pripremu sustava protiv napada je omogućavanje etičkim hakerima da prethodno utvrde ranjivosti.
Ima mnogo primjera za to, a primjereno je raspravljati na primjeru američkog Odjela za domovinsku sigurnost (DHS). DHS koristi izuzetno velik i složen sustav koji pohranjuje i obrađuje ogromne količine povjerljivih podataka. Kršenje podataka ozbiljna je prijetnja i jednako je prijetnja nacionalnoj sigurnosti. DHS je shvatio da je etički hakeri provaliti u njegov sustav prije nego što su to učinili hakeri sa crnim šeširima pametan način za podizanje razine spremnosti. Dakle, donesen je Hack DHS Act koji bi omogućio odabranim etičkim hakerima da prođu u DHS sustav. Akt je detaljno iznosio kako će inicijativa djelovati. Angažirana bi skupina etičkih hakera za proboj u DHS sustav i prepoznavanje ranjivosti, ako ih ima. Za svaku otkrivenu novu ranjivost, etični hakeri bili bi financijski nagrađeni. Etički hakeri ne bi bili podložni pravnim postupcima zbog svojih postupaka, iako bi morali raditi pod određenim ograničenjima i smjernicama. Akt je također odredio obvezu da svi etički hakeri koji sudjeluju u programu prolaze kroz temeljitu provjeru prošlosti. Poput DHS-a, poznate organizacije već duže vrijeme unajmljuju etičke hakere za podizanje razine sigurnosti sustava. (Za više o sigurnosti općenito, pogledajte 7 osnovnih načela sigurnosti IT-a.)
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Zaključak
I etično hakiranje i uobičajena IT sigurnost moraju zajedno raditi na zaštiti poslovnih sustava. Međutim, poduzeća moraju razraditi svoju strategiju prema etičkom hakiranju. Oni vjerojatno mogu izdvojiti politiku DHS-a prema etičkom hakiranju. Uloga i opseg etičkih hakera moraju biti jasno definirani; važno je da poduzeće održava provjere i ravnoteže kako haker ne bi prekoračio opseg posla ili prouzrokovao bilo kakvu štetu sustavu. Poduzeće također mora dati etičkim hakerima sigurnost da se neće poduzeti nikakve pravne radnje u slučaju kršenja definiranog njihovim ugovorom.