Dez erros fatais para evitar quando você cortar o seu negócio

Vários erros mortais podem causar estragos em seus resultados de hacking ético e até mesmo sua carreira. dom&rsquo-t são vítimas! Aqui estão algumas armadilhas potenciais que você precisa estar bem ciente.

Não obtendo aprovação prévia

Obter a aprovação documentada com antecedência, tais como e-mail, um memorando interno, ou um contrato formal para seus esforços de hacking ético - quer se trate&rsquo-s de gestão ou de seu cliente - é uma necessidade absoluta. isto&rsquo-s sua sair da cadeia Freecard.

Permitir sem exceções aqui - especialmente quando você&rsquo-re fazendo um trabalho para clientes: Certifique-se de obter uma cópia assinada deste documento para seus arquivos e para o seu advogado.

Supondo que você pode encontrar todas as vulnerabilidades durante os testes

Assim, existem muitas vulnerabilidades de segurança - conhecidos e desconhecidos - que você ganhou&rsquo-t encontrá-los todos durante o teste. dom&rsquo-t fazer quaisquer garantias de que você&rsquo-ll encontrar todos as vulnerabilidades de segurança em um sistema. Você&rsquo-ll estar começando algo que você pode&rsquo-t de chegada.

Se você fez bem estudar probabilidade e estatística na escola ou faculdade, você pode considerar colocar juntos alguns intervalos de confiança para mostrar o que você realmente esperar encontrar.

Atenha-se aos seguintes princípios:

  • Seja realista.

  • Use boas ferramentas.

  • Conheça seus sistemas e praticar aperfeiçoar suas técnicas.

Assumindo que você pode eliminar todas as vulnerabilidades de segurança

Quando se trata de computadores, 100 por cento, segurança ironclad não é atingível. Você pode&rsquo-t possivelmente prevenir todos vulnerabilidades de segurança, mas você&rsquo-vai fazer bem se você descobrir o fruto maduro e realizar essas tarefas:

  • Siga as práticas sólidas.

  • Patch e endurecer seus sistemas.



  • Aplicar razoáveis ​​contramedidas de segurança (custo justificado).

isto&rsquo-S também importante lembrar que você&rsquo-ll tem custos não planejadas. Você pode encontrar muitos dos problemas de segurança e terá o orçamento para tapar os buracos. Caso contrário, você pode ter começado sobre o obstáculo de due diligence, mas agora tem um problema cuidado devido em suas mãos. É por isso que você precisa se aproximar de segurança da informação a partir de uma perspectiva de risco e tem todas as pessoas certas a bordo.

Realização de testes apenas uma vez

hacking ético é um instantâneo de seu estado geral de segurança. Novas ameaças e vulnerabilidades superfície continuamente, de modo que você deve executar estes testes periodicamente e de forma consistente para se certificar de que você manter-se com as últimas defesas de segurança para seus sistemas. Desenvolver ambos os planos de curto e longo prazo para a realização de seus testes de segurança ao longo dos próximos meses e anos seguintes.

Video: 5 frases que matam as vendas!

Pensando que você sabe tudo

Mesmo que alguns na área de TI iria discordar, ninguém trabalhar com computadores ou informações de segurança sabe tudo. Mantendo-se com todas as versões de software, modelos de hardware e tecnologias emergentes, para não mencionar as ameaças de segurança associadas e vulnerabilidades, é impossível. Verdadeiros profissionais de segurança da informação sabe suas limitações - isto é, o que eles dom&rsquo-t conhecer. No entanto, eles sabem onde obter respostas.

Executando seus testes sem olhar as coisas de um hacker&rsquo-s ponto de vista

Pense em como um utilizador externo malicioso ou insider desonestos podem atacar sua rede e computadores. Obter uma nova perspectiva e tentar pensar fora da caixa proverbial.

Estudar comportamentos criminosos e hackers e ataques comuns de hackers para que você saiba o que para testar. Há blogs contínua sobre este assunto em Kevin Beaver&rsquo-s Blog de Segurança. revistas especializadas, tais como Hackin9 e 2600 são bons recursos também.

Não testar os sistemas certos

Concentre-se nos sistemas e operações que mais importam. Você pode cortar fora o dia todo em uma área de trabalho autônomo executando o MS-DOS a partir de um disquete 5 4/1 polegadas com nenhuma placa de rede e nenhum disco rígido, mas isso faz alguma coisa? Provavelmente não. Mas você nunca sabe. Seus maiores riscos podem estar no sistema aparentemente menos crítica. Foco sobre o que&rsquo-s urgente e importante.

Video: ♡ 10 Erros que Você Não Pode Fazer nos Cabelos - Mas que todo Mundo Faz

Não usar as ferramentas certas

Sem as ferramentas certas para a tarefa, se fazer qualquer coisa sem dirigir-se nozes é impossível. Comprar ferramentas comerciais quando puder - eles&rsquo-re geralmente vale cada centavo. Nenhuma ferramenta de segurança faz tudo isso, no entanto.

Construindo sua caixa de ferramentas e conhecer suas ferramentas bem vai poupar montes de esforço, e você&rsquo-vai impressionar os outros com seus resultados.

Batendo sistemas de produção no momento errado

Uma das melhores maneiras de assinalar fora de seu gerente ou perder o seu cliente&rsquo-s confiança é para executar ataques de hackers contra os sistemas de produção quando todo mundo está usando. Se você tentar testar um sistema, no momento errado, esperar que sistemas críticos pode ir para baixo no pior momento absoluta.

Video: O erro que você não pode cometer

Verifique se você sabe o melhor momento para realizar os testes. Pode ser no meio da noite. Isso pode ser motivo para justificar o uso de ferramentas de segurança e outros utilitários de apoio que podem ajudar a automatizar certas tarefas de hacking ético.

Terceirização de testes e não ficar envolvido

Outsourcing é grande, mas você deve ficar envolvido em todo o processo. dom&rsquo-t entregar as rédeas do seu teste de segurança para um indivíduo de terceiros ou um provedor de serviços em nuvem, sem acompanhamento e ficar em cima do que&rsquo-s ocorrendo.

Você ganhou&rsquo-t estar fazendo seu gerente ou clientes um favor por ficar fora dos fornecedores de terceiros&cabelo rsquo-. Obter dentro o cabelo deles. (Mas não como um pedaço de goma de mascar -. Que só torna tudo mais difícil) Peça para os relatórios de Análise de Vulnerabilidade, relatórios de avaliação de segurança formal, e qualquer outra coisa que&rsquo-re fazendo isso demonstra que eles levam a segurança a sério.


Publicações relacionadas