Como atacantes maliciosos gerar hackers éticos

Video: COMO DENUNCIAR HACKERS ft. Ragnar - Central Overwatch Brasil

Você precisa de proteção contra hackers shenanigans- você tem que se tornar tão experientes quanto os caras tentando atacar seus sistemas. Um profissional de avaliação de segurança verdade possui as habilidades, mentalidade e ferramentas de um hacker, mas também é confiável. Ele ou ela realiza os hacks como testes de segurança contra os sistemas baseados em como hackers poderia funcionar.

hacking ético - que engloba testes formais e metódico penetração, hacking de chapéu branco, e testes de vulnerabilidade - envolve as mesmas ferramentas, truques e técnicas que hackers criminosos usam, mas com uma grande diferença: hacking ético é realizada com a permissão do alvo em um profissional configuração. A intenção de hacking ético é descobrir vulnerabilidades do ponto de vista de um atacante malicioso para sistemas mais seguros. hacking ético é parte de um programa de gestão de risco global de informação que permite melhorias de segurança em curso. hacking ético também pode garantir que as alegações dos fornecedores sobre a segurança de seus produtos são legítimos.

Se você executar testes de hacking ético e deseja adicionar outra certificação para as suas credenciais, você pode querer considerar se tornar um Certified Ethical Hacker (CEH), através de um programa de certificação patrocinado pela EC-Council. Como o Certified Information Systems Security Professional (CISSP), a certificação CEH tornou-se uma certificação bem conhecida e respeitada na indústria. É ainda credenciado pelo American National Standards Institute (ANSI 17024).

Video: RAINBOW SIX SIEGE - JOGO TA PURO HACK - COMPILADO DE HACKERS

Outras opções incluem os SANS Certificação Global Information Assurance programa (GIAC) eo Ofensivo Certified Security Professional programa (OSCP) - uma certificação de testes de segurança completamente hands-on. Com demasiada frequência, as pessoas que executam este tipo de trabalho não têm a experiência prática correta de fazê-lo bem.

hacking ético contra auditoria

Muitas pessoas confundem testes de segurança através da abordagem hacking ético com auditoria de segurança, mas há grande diferenças, nomeadamente nos objetivos. A auditoria de segurança envolve comparar as políticas de segurança de uma empresa (ou requisitos de conformidade) para o que está realmente ocorrendo. A intenção da auditoria de segurança é para validar a existência de controles de segurança - geralmente usando uma abordagem baseada em risco. Auditoria muitas vezes envolve rever os processos de negócios e, em muitos casos, pode não ser muito técnico. As auditorias de segurança são geralmente baseados em listas de verificação.

Video: HACKER VS BANIMENTO ! DENUNCIAREMOS OS HACKERS AGORA NO CROSSFIRE !

Nem todas as auditorias são de alto nível, mas muitos (especialmente em torno PCI DSS [Cartões de Pagamento Padrão de Segurança de Dados da Indústria] compliance) são bastante simplista - muitas vezes realizada por pessoas que não têm computador, rede e experiência de aplicação técnica ou, pior, eles trabalham fora da TI completamente!



Por outro lado, avaliações de segurança em torno foco hacking ético sobre as vulnerabilidades que podem ser exploradas. Esta abordagem de teste valida que os controles de segurança não existem ou são ineficazes na melhor das hipóteses. hacking ético pode ser tanto altamente técnica e não técnica, e apesar de você usar uma metodologia formal, ele tende a ser um pouco menos estruturada do que a auditoria formal.

Quando for exigido auditoria (como para a ISO 9001 e 27001 certificações) em sua organização, você pode considerar a integração de técnicas de hacking ético em seu programa de auditoria de TI / segurança. Eles complementam um ao outro muito bem.

considerações políticas

Se você optar por fazer hacking ético uma parte importante do programa de gerenciamento de risco da informação do seu negócio, você realmente precisa ter uma política de testes de segurança documentada. Esta política descreve quem está fazendo o teste, o tipo geral de teste que é realizado, e como frequentemente se realiza a testagem.

Você também pode considerar a criação de um documento de padrões de segurança que descreve as ferramentas específicas de testes de segurança que são usados ​​e as pessoas específicas realizando o teste. Você também pode listar datas de testes padrão, como uma vez por trimestre para sistemas externos e testes bianuais para sistemas internos - o que funciona para o seu negócio.

Compliance e preocupações regulatórias

Suas próprias políticas internas pode ditar a forma como a gestão vê testes de segurança, mas você também precisa considerar as leis e regulamentações estaduais, federais e internacionais que afetam o seu negócio. Em particular, o Digital Millennium Copyright Act (DMCA) envia arrepios na espinha de pesquisadores legítimos.

Muitas das leis e regulamentos federais nos Estados Unidos - como o Health Insurance Portability e Accountability Act (HIPAA), Tecnologia de Informação em Saúde para Económico e Clínica de Saúde (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), América do Norte elétrica Reliability Corporation (NERC) requisitos de protecção das infra-(CIP), e PCI DSS - exigem controles de segurança fortes e avaliações de segurança consistentes. Relacionadas com leis internacionais, como a Protecção canadense Informações Pessoais e Documentos Eletrônicos Act (PIPEDA), a Directiva de Protecção de Dados da União Europeia, e da Lei de Proteção de Informações Pessoais do Japão (JPIPA) não são diferentes.

Incorporando seus testes de segurança para esses requisitos de conformidade é uma ótima maneira de conhecer os regulamentos estaduais e federais e reforçar o seu programa global de segurança da informação e privacidade.


Publicações relacionadas