Hoe uw organisatie kan profiteren van ethisch hacken

Schrijver: Roger Morrison
Datum Van Creatie: 26 September 2021
Updatedatum: 1 Juli- 2024
Anonim
Creative Society Unites Everyone (English subtitles)
Video: Creative Society Unites Everyone (English subtitles)

Inhoud


Bron: Cammeraydave / Dreamstime.com

Afhaal:

Hacken is een enorme bedreiging voor organisaties, en daarom zijn ethische hackers vaak de beste oplossing voor het vinden van beveiligingslekken.

De aard van cybersecurity-bedreigingen blijft evolueren. Tenzij systemen evolueren om deze bedreigingen te beheren, zullen ze eenden zijn. Hoewel conventionele beveiligingsmaatregelen nodig zijn, is het belangrijk om het perspectief te krijgen van mensen die mogelijk systemen of hackers kunnen bedreigen. Organisaties hebben een categorie hackers, ethische of white hat hackers, toegestaan ​​om systeemkwetsbaarheden te identificeren en suggesties te geven om deze te verhelpen. Ethische hackers dringen met uitdrukkelijke toestemming van de systeemeigenaren of belanghebbenden de systemen binnen om kwetsbaarheden te identificeren en aanbevelingen te doen voor het verbeteren van beveiligingsmaatregelen. Ethisch hacken maakt beveiliging holistisch en uitgebreid.

Heb je echt ethische hackers nodig?

Het is zeker niet verplicht om gebruik te maken van de diensten van ethische hackers, maar conventionele beveiligingssystemen hebben herhaaldelijk onvoldoende bescherming geboden tegen een vijand die in omvang en variëteit groeit. Met de verspreiding van slimme en verbonden apparaten worden systemen voortdurend bedreigd. In feite wordt hacking financieel gezien als een lucratieve weg, uiteraard ten koste van organisaties. Zoals Bruce Schneier, auteur van het boek "Bescherm je Macintosh", "Hardware is gemakkelijk te beschermen: sluit het in een kamer, keten het aan een bureau of koop een reserve. Informatie vormt meer een probleem. Het kan bestaan op meer dan één plaats; binnen enkele seconden halverwege de planeet worden vervoerd en zonder uw medeweten worden gestolen. " Uw IT-afdeling kan, tenzij u een groot budget heeft, inferieur zijn aan de aanval van hackers, en waardevolle informatie kan worden gestolen voordat u het zelfs maar beseft. Daarom is het logisch om een ​​dimensie toe te voegen aan uw IT-beveiligingsstrategie door ethische hackers in te huren die de manieren kennen van black hat-hackers. Anders loopt uw ​​organisatie het risico onbewust openingen in het systeem open te houden.


Kennis van de methoden van hackers

Om hacken te voorkomen, is het belangrijk om te begrijpen hoe de hackers denken. Conventionele rollen in systeembeveiliging kunnen alleen zo veel doen totdat de denkwijze van de hacker moet worden geïntroduceerd. Het is duidelijk dat de manieren van hackers uniek en moeilijk zijn voor conventionele systeembeveiligingsrollen. Dit pleit voor het inhuren van een ethische hacker die toegang heeft tot het systeem zoals een kwaadwillende hacker zou kunnen, en onderweg eventuele lacunes in de beveiliging zou kunnen ontdekken.

Penetratief onderzoek

Ook bekend als pentesten, wordt penetrerend testen gebruikt om systeemkwetsbaarheden te identificeren waarop een aanvaller zich kan richten. Er zijn veel methoden voor penetrerend testen. De organisatie kan verschillende methoden gebruiken, afhankelijk van de vereisten.

  • Bij gericht testen zijn de organisaties mensen en de hacker betrokken. De medewerkers van de organisatie zijn allemaal op de hoogte van de hacking die wordt uitgevoerd.
  • Extern testen dringt door tot alle extern blootgestelde systemen zoals webservers en DNS.
  • Interne tests onthullen kwetsbaarheden die openstaan ​​voor interne gebruikers met toegangsrechten.
  • Blind testen simuleert echte aanvallen van hackers.

Testers krijgen beperkte informatie over het doelwit, waardoor ze voorafgaand aan de aanval verkenning moeten uitvoeren. Doordringend testen is het sterkste argument voor het inhuren van ethische hackers. (Zie Penetratietesten en het delicate evenwicht tussen veiligheid en risico voor meer informatie.)


Kwetsbaarheden identificeren

Geen enkel systeem is volledig immuun voor aanvallen. Toch moeten organisaties multidimensionale bescherming bieden. Het paradigma van de ethische hacker voegt een belangrijke dimensie toe. Een goed voorbeeld is de case study van een grote organisatie in het productiedomein. De organisatie kende haar beperkingen op het gebied van systeembeveiliging, maar kon op zichzelf niet veel doen. Dus huurde het ethische hackers in om zijn systeembeveiliging te beoordelen en zijn bevindingen en aanbevelingen te geven. Het rapport bevat de volgende componenten: de meest kwetsbare poorten zoals Microsoft RPC en beheer op afstand, aanbevelingen voor verbetering van de systeembeveiliging, zoals een incidentresponssysteem, volledige inzet van een programma voor kwetsbaarheidsbeheer en uitgebreider maken van richtlijnen voor harden.

Paraatheid voor aanvallen

Aanvallen zijn onvermijdelijk, ongeacht hoe versterkt een systeem is. Uiteindelijk zal een aanvaller een kwetsbaarheid of twee vinden. Dit artikel heeft al gezegd dat cyberaanvallen onvermijdelijk zijn, ongeacht de mate waarin een systeem is versterkt. Dat betekent niet dat organisaties moeten stoppen met het versterken van hun systeembeveiliging, integendeel zelfs. Cyberaanvallen zijn geëvolueerd en de enige manier om schade te voorkomen of te minimaliseren is een goede voorbereiding. Een manier om systemen voor te bereiden op aanvallen is om ethische hackers vooraf de kwetsbaarheden te laten identificeren.

Er zijn veel voorbeelden hiervan en het is relevant om het voorbeeld van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) te bespreken. Het DHS maakt gebruik van een extreem groot en complex systeem dat enorme hoeveelheden vertrouwelijke gegevens opslaat en verwerkt. Datalek is een ernstige bedreiging en komt neer op een bedreiging voor de nationale veiligheid. Het DHS realiseerde zich dat het een slimme manier was om ethische hackers in te breken in het systeem voordat black hat-hackers dat deden. Dus werd de Hack DHS Act aangenomen, waardoor bepaalde ethische hackers in het DHS-systeem konden binnendringen. De wet legde gedetailleerd uit hoe het initiatief zou werken. Een groep ethische hackers zou worden ingehuurd om in te breken in het DHS-systeem en eventuele kwetsbaarheden te identificeren. Voor elke nieuwe geïdentificeerde kwetsbaarheid zouden de ethische hackers financieel worden beloond. De ethische hackers zouden vanwege hun acties niet worden onderworpen aan juridische stappen, hoewel ze onder bepaalde beperkingen en richtlijnen zouden moeten werken. De wet maakte het ook verplicht voor alle ethische hackers die aan het programma deelnemen, een grondige achtergrondcontrole ondergaan. Net als DHS hebben gerenommeerde organisaties ethische hackers aangenomen om het niveau van paraatheid van systeembeveiliging al lange tijd te verhogen. (Zie De 7 basisprincipes van IT-beveiliging voor meer informatie over beveiliging in het algemeen.)

Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen

U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.

Gevolgtrekking

Zowel ethisch hacken als conventionele IT-beveiliging moeten samenwerken om bedrijfssystemen te beschermen. Ondernemingen moeten echter hun strategie voor ethisch hacken uitwerken. Ze kunnen waarschijnlijk een uitweg vinden in het DHS-beleid voor ethisch hacken. De rol en reikwijdte van ethische hackers moet duidelijk worden gedefinieerd; het is belangrijk dat de onderneming checks and balances handhaaft, zodat de hacker de taakomvang niet overschrijdt of schade aan het systeem veroorzaakt. De onderneming moet de ethische hackers ook de verzekering geven dat er geen juridische stappen worden ondernomen in het geval van een inbreuk zoals vastgelegd in hun contract.