Kuruluşunuz Etik Hacking'ten Nasıl Yararlanabilir?

Yazar: Roger Morrison
Yaratılış Tarihi: 26 Eylül 2021
Güncelleme Tarihi: 1 Temmuz 2024
Anonim
Kuruluşunuz Etik Hacking'ten Nasıl Yararlanabilir? - Teknoloji
Kuruluşunuz Etik Hacking'ten Nasıl Yararlanabilir? - Teknoloji

İçerik


Kaynak: Cammeraydave / Dreamstime.com

Paket servisi:

Hacking, örgütler için muazzam bir tehdit oluşturuyor, bu nedenle etik korsanların güvenlik açığı bulmak için en iyi çözüm olmaları.

Siber güvenlik tehditlerinin doğası gelişmeye devam ediyor. Sistemler bu tehditleri yönetmek için evrimleşmedikçe, ördekleri oturacaklar. Geleneksel güvenlik önlemleri gerekli olsa da, sistemleri veya bilgisayar korsanlarını tehdit edebilecek kişilerin bakış açısını elde etmek önemlidir. Örgütler, sistem açıklarını tespit etmek ve bunları düzeltmek için önerilerde bulunmak üzere, etik veya beyaz şapka korsanları olarak bilinen bir bilgisayar korsanları kategorisine izin vermektedir. Etik bilgisayar korsanları, sistem sahiplerinin veya paydaşların açıkça izniyle, güvenlik açıklarını tespit etmek ve güvenlik önlemlerini iyileştirmek için önerilerde bulunmak için sistemlere girerler. Etik hack, güvenliği bütüncül ve kapsamlı hale getirir.


Gerçekten Etik Hackerlara İhtiyacınız Var mı?

Etik hackerların hizmetlerini kullanmak kesinlikle zorunlu değildir, ancak geleneksel güvenlik sistemleri art arda boyut ve çeşitlilik gösteren bir düşmana karşı yeterli koruma sağlamada başarısız olmuştur. Akıllı ve bağlı cihazların yayılmasıyla sistemler sürekli tehdit altındadır. Aslında, bilgisayar korsanlığı, elbette ki örgütlerin pahasına, finansal olarak kazançlı bir cadde olarak görülmektedir. Bruce Schneier'in "Macintosh'unuzu Koruyun" kitabının yazarı olarak belirttiği gibi, "Donanımın korunması kolaydır: bir odaya kilitleyin, bir masaya zincirleyin ya da yedek alın. Bilgi daha fazla sorun yaratır. Birden fazla yerde, saniyeler içinde gezegenin yarısına kadar taşınacak ve bilginiz olmadan çalınacak. " BT departmanınız, büyük bir bütçeniz yoksa, bilgisayar korsanlarının saldırısından daha düşük olduğunu kanıtlayabilir ve bunu fark etmeden önce değerli bilgiler çalınabilir. Bu nedenle, siyah şapka korsanlarının yöntemlerini bilen etik korsanları işe alarak BT güvenlik stratejinize bir boyut katmak mantıklı geliyor. Aksi takdirde, kuruluşunuz bilinmeyen bir şekilde boşlukları sistemde açık tutma riski taşıyabilir.


Hackerların Metodları Bilgisi

Korsanlığı önlemek için korsanların nasıl düşündüğünü anlamak önemlidir. Sistem güvenliğindeki geleneksel roller ancak bilgisayar korsanının zihniyetinin tanıtılması gerekene kadar çok şey yapabilir. Açıkçası, bilgisayar korsanlarının yolları, geleneksel sistem güvenliği rollerinin üstesinden gelmek için benzersiz ve zordur. Bu, kötü niyetli bir bilgisayar korsanı gibi sisteme erişebilecek etik bir bilgisayar korsanının işe alınması ve bu arada tüm güvenlik boşluklarını keşfetme durumunu belirler.

Penetratif Test

Kalem testi olarak da bilinen nüfuz testi, bir saldırganın hedefleyebileceği sistem açıklarını tespit etmek için kullanılır. Bir çok penetrasyon testi yöntemi vardır. Kuruluş, gereksinimlerine bağlı olarak farklı yöntemler kullanabilir.

  • Hedefli test, kurumları ve korsanları içerir. Organizasyon personeli, gerçekleştirilen hacklemeyi biliyor.
  • Dış testler, web sunucuları ve DNS gibi dışarıdan maruz kalan tüm sistemlere nüfuz eder.
  • Dahili testler, erişim haklarına sahip dahili kullanıcılara açık güvenlik açıklarını ortaya çıkarır.
  • Kör testi, bilgisayar korsanlarının gerçek saldırılarını simüle eder.

Testçilere, saldırıdan önce keşif yapmalarını gerektiren hedef hakkında sınırlı bilgi verilir. Penetratif testler, etik korsanları işe almak için en güçlü örnektir. (Daha fazla bilgi için, bkz. Penetrasyon Testi ve Güvenlik ve Risk Arasındaki Hassas Denge.)

Güvenlik Açıklarını Belirleme

Hiçbir sistem saldırılara karşı tamamen bağışık değildir. Yine de, kuruluşların çok boyutlu koruma sağlamaları gerekir. Etik hacker’ın paradigması önemli bir boyut katıyor. İyi bir örnek, üretim alanındaki büyük bir organizasyonun vaka çalışmasıdır. Örgüt, sistem güvenliği açısından sınırlarını biliyordu, ancak kendi başına çok fazla şey yapamadı. Bu nedenle, sistem güvenliğini değerlendirmek ve bulgularını ve önerilerini sağlamak için etik korsanları işe aldı. Rapor şu bileşenlerden oluşuyordu: Microsoft RPC ve uzaktan yönetim gibi en savunmasız bağlantı noktaları, bir olay yanıt sistemi gibi sistem güvenliği iyileştirme önerileri, bir güvenlik açığı yönetim programının tam olarak dağıtılması ve sertleştirme kılavuzlarının daha kapsamlı hale getirilmesi.

Saldırılara Hazırlık

Bir sistemin ne kadar güçlendirilmiş olduğu önemli değildir, saldırılar kaçınılmazdır. Sonunda bir saldırgan bir ya da iki güvenlik açığı bulacaktır. Bu makale, bir sistemin güçlendirilme boyutuna bakılmaksızın siber saldırıların kaçınılmaz olduğunu zaten belirtti. Bu, organizasyonların sistem güvenliğini güçlendirmeyi bırakmaları gerektiği anlamına gelmez - tam tersine, aslında. Cyberattacks evrimleşmektedir ve hasarı önlemenin veya azaltmanın tek yolu iyi hazırlıktır. Saldırılara karşı sistemleri hazırlamanın bir yolu, etik hackerların güvenlik açıklarını önceden tespit etmelerine izin vermektir.

Bunun birçok örneği vardır ve ABD İç Güvenlik Bakanlığı (DHS) örneğini tartışmak uygundur. DHS, çok büyük miktarda gizli veriyi depolayan ve işleyen oldukça büyük ve karmaşık bir sistem kullanır. Veri ihlali ciddi bir tehdittir ve ulusal güvenliği tehdit etmek için eşittir. DHS, siyah hackerların yapmadan önce etik hackerların sisteme girmesinin, hazırlık seviyesini yükseltmenin akıllıca bir yolu olduğunu fark etti. Bu yüzden, seçilmiş etik korsanların DHS sistemine girmesine izin verecek olan Hack DHS Yasası kabul edildi. Yasa, girişimin nasıl işleyeceğini ayrıntılı olarak ortaya koydu. DHS sistemine girmek ve varsa güvenlik açıklarını belirlemek için bir grup etik korsandan işe alınacaktı. Tanımlanan herhangi bir yeni güvenlik açığı için, etik korsanları finansal olarak ödüllendirileceklerdir. Etik bilgisayar korsanları, belirli kısıtlamalar ve kılavuz ilkeler altında çalışmak zorunda kalacak olmalarına rağmen, davranışlarından dolayı herhangi bir yasal eyleme tabi olmazlar. Kanun ayrıca, programa katılan tüm etik korsanların kapsamlı bir arka plan kontrolünden geçmesini zorunlu kılmıştır. DHS gibi tanınmış organizasyonlar da uzun süredir sistem güvenliğine hazırlık seviyesini yükseltmek için etik korsanları işe alıyorlar. (Genel olarak güvenlik hakkında daha fazla bilgi için, bkz. BT Güvenliğinin 7 Temel İlkesi.)

Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz

Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.

Sonuç

Hem etik korsanlık hem de geleneksel BT güvenliğinin, kurumsal sistemleri korumak için birlikte çalışması gerekir. Ancak, işletmelerin etik saldırıya karşı stratejilerini geliştirmeleri gerekir. Muhtemelen DHS politikasından etik hacklemeye yönelik bir yaprak çıkarabilirler. Etik korsanların rolü ve kapsamı açıkça tanımlanmalıdır; Korsanların iş kapsamını aşmaması veya sisteme zarar vermemesi için girişimin kontrolleri ve dengeleri tutması önemlidir. Girişim aynı zamanda etik korsanlara, sözleşmelerinde tanımlandığı şekilde bir ihlal durumunda yasal işlem yapılmayacağına dair güvence vermelidir.