Πώς μπορεί ο οργανισμός σας να επωφεληθεί από τη δεοντολογική πειρατεία

Συγγραφέας: Roger Morrison
Ημερομηνία Δημιουργίας: 26 Σεπτέμβριος 2021
Ημερομηνία Ενημέρωσης: 1 Ιούλιος 2024
Anonim
Πώς μπορεί ο οργανισμός σας να επωφεληθεί από τη δεοντολογική πειρατεία - Τεχνολογία
Πώς μπορεί ο οργανισμός σας να επωφεληθεί από τη δεοντολογική πειρατεία - Τεχνολογία

Περιεχόμενο


Πηγή: Cammeraydave / Dreamstime.com

Πάρε μακριά:

Η πειρατεία αποτελεί τεράστια απειλή για τους οργανισμούς, γι 'αυτό και οι ηθικοί χάκερ αποτελούν συχνά την καλύτερη λύση για την εξεύρεση κενών ασφαλείας.

Η φύση των απειλών στον κυβερνοχώρο συνεχίζει να εξελίσσεται. Εάν τα συστήματα δεν εξελίσσονται για να διαχειριστούν αυτές τις απειλές, θα είναι καθισμένοι πάπιες. Ενώ τα συμβατικά μέτρα ασφαλείας είναι απαραίτητα, είναι σημαντικό να αποκτήσουμε την προοπτική των ανθρώπων που μπορούν να απειλήσουν τα συστήματα ή τους χάκερς. Οι οργανισμοί έχουν επιτρέψει σε μια κατηγορία hackers, γνωστών ως ηθικών ή λευκών hackers hat, να εντοπίσουν τρωτά σημεία του συστήματος και να παράσχουν προτάσεις για τον καθορισμό τους. Οι ηθικοί χάκερ, με τη ρητή συγκατάθεση των ιδιοκτητών συστημάτων ή των ενδιαφερομένων, διεισδύουν στα συστήματα για να εντοπίσουν τρωτά σημεία και να παράσχουν συστάσεις για τη βελτίωση των μέτρων ασφαλείας. Η ηθική hacking καθιστά την ασφάλεια ολιστική και ολοκληρωμένη.


Χρειάζεστε πραγματικά ηθικούς χάκερ;

Ασφαλώς δεν είναι υποχρεωτική η χρήση των υπηρεσιών των ηθικών hackers, αλλά τα συμβατικά συστήματα ασφαλείας έχουν επανειλημμένα αποτύχει να παράσχουν επαρκή προστασία ενάντια σε έναν εχθρό που μεγαλώνει σε μέγεθος και ποικιλία. Με τον πολλαπλασιασμό έξυπνων και συνδεδεμένων συσκευών, τα συστήματα απειλούνται συνεχώς. Στην πραγματικότητα, η πειρατεία θεωρείται οικονομικά προσοδοφόρα, φυσικά εις βάρος των οργανισμών. Όπως έγραψε ο Bruce Schneier, συγγραφέας του βιβλίου "Προστατέψτε τον υπολογιστή σας Macintosh", "Το υλικό είναι εύκολο να προστατευτεί: κλειδώστε το σε ένα δωμάτιο, να το αλείψετε σε ένα γραφείο ή να αγοράσετε ένα ανταλλακτικό. σε περισσότερα από ένα μέρη · να μεταφερθούν στη μέση του πλανήτη σε δευτερόλεπτα και να κλαπούν χωρίς να το γνωρίζετε ». Το τμήμα πληροφορικής σας, εκτός αν έχετε μεγάλο προϋπολογισμό, μπορεί να αποδειχθεί κατώτερο από την επίθεση των χάκερ, και πολύτιμες πληροφορίες μπορούν να κλαπούν προτού το συνειδητοποιήσετε. Επομένως, είναι λογικό να προσθέσετε μια διάσταση στη στρατηγική ασφάλειας IT σας, προσλαμβάνοντας ηθικούς hackers που γνωρίζουν τους τρόπους των μαύρων hacker καπέλων. Διαφορετικά, ο οργανισμός σας ενδέχεται να διατρέξει τον κίνδυνο να μην υπάρχουν ανοιχτά κενά στο σύστημα.


Γνώση των μεθόδων των χάκερ

Για να αποτραπεί η πειρατεία, είναι σημαντικό να κατανοήσουμε πώς σκέφτονται οι χάκερ. Οι συμβατικοί ρόλοι στην ασφάλεια του συστήματος μπορούν να το κάνουν μόνο μέχρι να εισαχθεί η νοοτροπία του χάκερ. Προφανώς, οι τρόποι των χάκερ είναι μοναδικοί και δύσκολοι για τους συμβατικούς ρόλους ασφαλείας του συστήματος για χειρισμό. Αυτό θέτει την υπόθεση για την πρόσληψη ενός ηθικού χάκερ ο οποίος μπορεί να έχει πρόσβαση στο σύστημα, όπως ένας κακόβουλος χάκερ, και, στο δρόμο, να ανακαλύψει τυχόν κενά ασφαλείας.

Διενέργεια δοκιμών

Επίσης γνωστή ως δοκιμή στυλό, οι δοκιμές διαπερατότητας χρησιμοποιούνται για τον εντοπισμό τρωτών σημείων του συστήματος που μπορεί να στοχεύσει ένας εισβολέας. Υπάρχουν πολλές μέθοδοι διαπερατότητας. Ο οργανισμός μπορεί να χρησιμοποιεί διαφορετικές μεθόδους ανάλογα με τις απαιτήσεις του.

  • Οι στοχευμένες δοκιμές περιλαμβάνουν τους ανθρώπους των οργανώσεων και τον χάκερ. Το οργανωτικό προσωπικό όλοι γνωρίζουν για την εκτέλεση του hacking.
  • Οι εξωτερικές δοκιμές διαπερνούν όλα τα εξωτερικά εκτεθειμένα συστήματα, όπως διακομιστές web και DNS.
  • Οι εσωτερικοί έλεγχοι αποκαλύπτουν ευπάθειες ανοιχτές σε εσωτερικούς χρήστες με δικαιώματα πρόσβασης.
  • Οι τυφλοί έλεγχοι προσομοιώνουν τις πραγματικές επιθέσεις από τους χάκερ.

Οι δοκιμαστές λαμβάνουν περιορισμένες πληροφορίες σχετικά με το στόχο, το οποίο απαιτεί την πραγματοποίηση αναγνωρίσεων πριν από την επίθεση. Οι δοκιμές διείσδυσης είναι η ισχυρότερη περίπτωση για την πρόσληψη ηθικών χάκερ. (Για να μάθετε περισσότερα, ανατρέξτε στην ενότητα Δοκιμές διείσδυσης και η λεπτή ισορροπία μεταξύ ασφάλειας και κινδύνου.)

Προσδιορισμός ευπαθειών

Κανένα σύστημα δεν είναι απολύτως άνοσο στις επιθέσεις. Ωστόσο, οι οργανώσεις πρέπει να παρέχουν πολυδιάστατη προστασία. Το παράδειγμα του ηθικού χάκερ προσθέτει μια σημαντική διάσταση. Ένα καλό παράδειγμα είναι η μελέτη περίπτωσης ενός μεγάλου οργανισμού στον τομέα της μεταποίησης. Η οργάνωση γνώριζε τους περιορισμούς της όσον αφορά την ασφάλεια του συστήματος, αλλά δεν μπορούσε να κάνει πολύ από μόνη της. Έτσι, προσέλαβε ηθικούς χάκερ για να αξιολογήσει την ασφάλεια του συστήματός του και να παράσχει τα ευρήματά του και τις συστάσεις του. Η έκθεση περιλάμβανε τα ακόλουθα στοιχεία: τις πιο ευάλωτες θύρες όπως το Microsoft RPC και την απομακρυσμένη διαχείριση, συστάσεις για τη βελτίωση της ασφάλειας του συστήματος όπως ένα σύστημα αντιμετώπισης περιστατικών, πλήρης ανάπτυξη ενός προγράμματος διαχείρισης ευπάθειας και καθιστώντας πιο ολοκληρωμένες τις κατευθυντήριες γραμμές σκλήρυνσης.

Ετοιμότητα για επιθέσεις

Οι επιθέσεις είναι αναπόφευκτες, ανεξάρτητα από το πόσο ενισχυμένο είναι το σύστημα. Τελικά ένας εισβολέας θα βρει μια ευπάθεια ή δύο. Αυτό το άρθρο έχει ήδη δηλώσει ότι τα cyberattacks, ανεξάρτητα από το βαθμό εμπλουτισμού ενός συστήματος, είναι αναπόφευκτα. Αυτό δεν σημαίνει ότι οι οργανισμοί θα πρέπει να σταματήσουν να ενισχύουν την ασφάλεια του συστήματός τους - μάλλον το αντίθετο. Οι Cyberattacks εξελίσσονται και ο μόνος τρόπος πρόληψης ή ελαχιστοποίησης των ζημιών είναι η καλή προετοιμασία. Ένας τρόπος για την προετοιμασία των συστημάτων κατά των επιθέσεων είναι να επιτρέπεται στους ηθικούς χάκερ να εντοπίζουν εκ των προτέρων τα τρωτά σημεία.

Υπάρχουν πολλά παραδείγματα και είναι σκόπιμο να συζητηθεί το παράδειγμα του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (DHS). Το DHS χρησιμοποιεί ένα εξαιρετικά μεγάλο και σύνθετο σύστημα, το οποίο αποθηκεύει και επεξεργάζεται τεράστιους όγκους εμπιστευτικών δεδομένων. Η παραβίαση δεδομένων αποτελεί σοβαρή απειλή και ισοδυναμεί με απειλή της εθνικής ασφάλειας. Ο DHS συνειδητοποίησε ότι η εξεύρεση ηθικών χάκερ για να σπάσει το σύστημά του πριν από τους μαύρους καπετάνιους χάκερς ήταν ένας έξυπνος τρόπος για να αυξηθεί το επίπεδο ετοιμότητας. Έτσι, ψηφίστηκε ο νόμος HHS DHS, ο οποίος θα επέτρεπε σε επιλεγμένους ηθικούς hackers να εισέλθουν στο σύστημα DHS. Η πράξη περιγράφει λεπτομερώς πώς θα λειτουργούσε η πρωτοβουλία. Μια ομάδα δεοντολογικών χάκερ θα προσληφθεί για να σπάσει το σύστημα DHS και να εντοπίσει τρωτά σημεία, εάν υπάρχουν. Για κάθε νέα ευπάθεια που εντοπίστηκε, οι ηθικοί χάκερ θα ανταμειφθούν οικονομικά. Οι ηθικοί χάκερ δεν θα υπόκεινται σε καμία νομική ενέργεια λόγω των πράξεών τους, αν και θα πρέπει να εργάζονται υπό ορισμένους περιορισμούς και κατευθυντήριες γραμμές. Η πράξη καθιστά επίσης υποχρεωτική για όλους τους ηθικούς χάκερ που συμμετέχουν στο πρόγραμμα να περάσουν από έναν εμπεριστατωμένο έλεγχο ιστορικού. Όπως και ο DHS, οι φημισμένοι οργανισμοί έχουν προσλάβει ηθικούς χάκερ για να αυξήσουν το επίπεδο της ετοιμότητας ασφάλειας του συστήματος για μεγάλο χρονικό διάστημα. (Για περισσότερες πληροφορίες σχετικά με την ασφάλεια εν γένει, δείτε τις 7 βασικές αρχές ασφάλειας IT.)

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

συμπέρασμα

Τόσο η ηθική hacking όσο και η συμβατική ασφάλεια πληροφορικής πρέπει να συνεργαστούν για την προστασία των επιχειρησιακών συστημάτων. Ωστόσο, οι επιχειρήσεις πρέπει να επεξεργαστούν τη στρατηγική τους για ηθική hacking. Μπορούν πιθανότατα να πάρουν ένα φύλλο από την πολιτική DHS προς την ηθική hacking. Ο ρόλος και το πεδίο εφαρμογής των δεοντολογικών χάκερ πρέπει να καθοριστεί σαφώς. είναι σημαντικό η επιχείρηση να διατηρεί ελέγχους και ισορροπίες ώστε ο χάκερ να μην υπερβαίνει το εύρος της εργασίας ή να προκαλέσει οποιαδήποτε βλάβη στο σύστημα. Η επιχείρηση πρέπει επίσης να δώσει στους ηθικούς χάκερ τη διαβεβαίωση ότι δεν θα ληφθούν νομικά μέτρα σε περίπτωση παραβίασης, όπως ορίζεται στη σύμβασή τους.