O que é hacking ético?
Video: HACKER ÉTICO #2 - SHODAN - O "Google" dos Hackers - defhack.com.br
Conteúdo
hacking ético - que engloba testes formais e metódico penetração, hacking de chapéu branco, e testes de vulnerabilidade - envolve as mesmas ferramentas, truques e técnicas que hackers criminosos usam, mas com uma grande diferença: hacking ético é realizada com a permissão do alvo em um ambiente profissional.
Video: DICIONÁRIO HACKER [A a Z] - DICTIONARY HACKER
A intenção de hacking ético é descobrir vulnerabilidades do ponto de vista de um atacante malicioso para sistemas mais seguros. hacking ético é parte de um programa de gestão de risco global de informação que permite melhorias de segurança em curso. hacking ético também pode garantir que as alegações dos fornecedores sobre a segurança de seus produtos são legítimos.
hacking ético contra auditorias
Muitas pessoas confundem hacking ético com auditoria de segurança, mas há grande diferenças. A auditoria de segurança envolve comparar as políticas de segurança da empresa para o que está realmente ocorrendo. A intenção da auditoria de segurança é para validar a existência de controles de segurança - geralmente usando uma abordagem baseada em risco. Auditoria muitas vezes envolve rever os processos de negócios e, em muitos casos, pode não ser muito técnico. Nem todas as auditorias são este alto nível, mas a maioria são bastante simplista.
Video: O que é Ética?
Por outro lado, hacking ético incide sobre as vulnerabilidades que podem ser exploradas. É valida que os controles de segurança não existem ou são ineficazes na melhor das hipóteses. hacking ético pode ser tanto altamente técnica e não técnica, e apesar de você usar uma metodologia formal, ele tende a ser um pouco menos estruturada do que a auditoria formal.
Se a auditoria continua a ter lugar em sua organização, você pode considerar a integração de técnicas de hacking ético em seu programa de auditoria de TI. Eles complementam um ao outro muito bem.
considerações políticas
Se você optar por fazer hacking ético uma parte importante do programa de gestão de risco do seu negócio, você realmente precisa ter uma política de testes de segurança documentada. Essa política descreve o tipo de hacking ético que é feito, quais sistemas (tais como servidores, aplicações web, laptops, e assim por diante) são testados, e quantas vezes o teste é realizado.
Video: O que é ÉTICA HACKER { escola_hacker: 5 }
Você também pode considerar a criação de um documento de padrões de segurança que descreve as ferramentas específicas de testes de segurança que são datas utilizadas e específicos de seus sistemas são testados a cada ano. Você pode listar datas de testes padrão, como uma vez por trimestre para sistemas externos e testes bianuais para sistemas internos - o que funciona para o seu negócio.
Compliance e preocupações regulatórias
Suas próprias políticas internas pode ditar a forma como a gestão vê testes de segurança, mas você também precisa considerar as leis e regulamentações estaduais, federais e globais que afetam o seu negócio.
Muitas das leis e regulamentos federais nos EUA - como o Health Insurance Portability e Accountability Act (HIPAA), Tecnologia de Informação em Saúde para Económico e Clínica de Saúde (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric confiabilidade Corporation (NERC) requisitos CIP e Cartões de Pagamento padrão de Segurança de dados da Indústria (PCI DSS) - requerem controles de segurança fortes e avaliações de segurança consistentes.
Relacionadas com leis internacionais, como a Protecção canadense Informações Pessoais e Documentos Eletrônicos Act (PIPEDA), a Directiva de Protecção de Dados da União Europeia, e da Lei de Proteção de Informações Pessoais do Japão (JPIPA) não são diferentes. Incorporando seus testes de hacking ético para estes requisitos de conformidade é uma ótima maneira de conhecer os regulamentos estaduais e federais e reforçar o seu programa global de privacidade e segurança.