Πίνακας περιεχομένων:
- Πολλοί άνθρωποι συγχέουν τις δοκιμές ασφαλείας μέσω της δεοντολογικής προσέγγισης hacking με έλεγχο ασφαλείας, αλλά υπάρχουν διαφορές
- Ίσως θελήσετε επίσης να δημιουργήσετε ένα έγγραφο προτύπων ασφαλείας που περιγράφει τα συγκεκριμένα εργαλεία ελέγχου ασφαλείας που χρησιμοποιούνται και συγκεκριμένα άτομα που εκτελούν τη δοκιμή. Μπορείτε επίσης να αναφέρετε τις τυπικές ημερομηνίες δοκιμών, όπως μία φορά ανά τρίμηνο για εξωτερικά συστήματα και εξαμηνιαίες δοκιμές για εσωτερικά συστήματα - ό, τι και αν λειτουργεί για την επιχείρησή σας.
- Πολλοί από τους ομοσπονδιακούς νόμους και κανονισμούς στις Ηνωμένες Πολιτείες - όπως ο νόμος για την ασφάλεια φορητότητας και λογοδοσίας (Health Insurance Act - HIPAA), ο Νόμος για την Οικονομική και Κλινική Υγεία (HITECH), ο νόμος Gramm-Leach-Bliley Act (GLBA) , Οι απαιτήσεις της προστασίας της υποδομής ζωτικής σημασίας (CIP) της Βόρειας Αμερικής και η PCI DSS - απαιτούν ισχυρούς ελέγχους ασφαλείας και συνεκτικές αξιολογήσεις ασφαλείας. Οι σχετικοί διεθνείς νόμοι, όπως ο νόμος για την προστασία των προσωπικών πληροφοριών του Καναδά και τα ηλεκτρονικά έγγραφα (PIPEDA), η οδηγία για την προστασία δεδομένων της Ευρωπαϊκής Ένωσης και ο νόμος περί προστασίας προσωπικών δεδομένων της Ιαπωνίας (JPIPA) δεν διαφέρουν.
Βίντεο: Η μάχη του Στάλινγκραντ 1949 με ελληνικούς υπότιτλους 2024
Χρειάζεστε προστασία από τους hacker shenanigans. πρέπει να γίνεις καταλαβαίνω, καθώς τα παιδιά προσπαθούν να επιτεθούν στα συστήματά σου. Ένας αληθινός επαγγελματίας στον τομέα της αξιολόγησης της ασφάλειας έχει τις δεξιότητες, τη νοοτροπία και τα εργαλεία ενός χάκερ, αλλά είναι επίσης αξιόπιστος. Αυτός ή αυτή εκτελεί τα hacks ως δοκιμές ασφάλειας έναντι συστημάτων που βασίζονται στον τρόπο με τον οποίο οι χάκερ θα μπορούσαν να λειτουργήσουν.
Ηθική hacking - η οποία περιλαμβάνει επίσημες και μεθοδικές δοκιμές διείσδυσης, hacking λευκών καπέλων και δοκιμές ευπάθειας - περιλαμβάνει τα ίδια εργαλεία, κόλπα και τεχνικές που χρησιμοποιούν οι εγκληματίες χάκερ, αλλά με μια μεγάλη διαφορά: Ηθική hacking εκτελείται με την άδεια του στόχου σε επαγγελματικό περιβάλλον. Η πρόθεση της ηθικής hacking είναι να ανακαλύψει τα τρωτά σημεία από την άποψη ενός κακόβουλου εισβολέα σε ασφαλέστερα συστήματα. Η ηθική hacking αποτελεί μέρος ενός συνολικού προγράμματος διαχείρισης κινδύνων πληροφόρησης που επιτρέπει συνεχείς βελτιώσεις ασφαλείας. Η ηθική hacking μπορεί επίσης να διασφαλίσει ότι οι ισχυρισμοί των πωλητών σχετικά με την ασφάλεια των προϊόντων τους είναι νόμιμοι.
Ηθική απάτη σε σχέση με τον έλεγχο
Πολλοί άνθρωποι συγχέουν τις δοκιμές ασφαλείας μέσω της δεοντολογικής προσέγγισης hacking με έλεγχο ασφαλείας, αλλά υπάρχουν διαφορές
μεγάλες , και συγκεκριμένα στους στόχους. Ο έλεγχος ασφαλείας περιλαμβάνει τη σύγκριση των πολιτικών ασφαλείας μιας εταιρείας (ή των απαιτήσεων συμμόρφωσης) με αυτά που πραγματικά συμβαίνουν. Σκοπός του ελέγχου ασφαλείας είναι να επικυρωθεί ότι υπάρχουν οι έλεγχοι ασφαλείας - συνήθως χρησιμοποιώντας μια προσέγγιση βασισμένη στον κίνδυνο. Ο έλεγχος συχνά περιλαμβάνει ανασκόπηση επιχειρηματικών διαδικασιών και, σε πολλές περιπτώσεις, ενδέχεται να μην είναι πολύ τεχνικός. Οι έλεγχοι ασφαλείας βασίζονται συνήθως σε λίστες ελέγχου. Αντίστροφα, οι αξιολογήσεις ασφάλειας που βασίζονται σε ηθική hacking επικεντρώνονται σε ευπάθειες που μπορούν να αξιοποιηθούν. Αυτή η προσέγγιση δοκιμής επιβεβαιώνει ότι οι έλεγχοι ασφαλείας
δεν υπάρχουν
ή δεν είναι αποτελεσματικοί στην καλύτερη περίπτωση. Η ηθική hacking μπορεί να είναι τόσο εξαιρετικά τεχνική όσο και μη τεχνική, και αν και χρησιμοποιείτε μια επίσημη μεθοδολογία, τείνει να είναι λίγο λιγότερο δομημένη από τον επίσημο έλεγχο. Όπου απαιτούνται έλεγχοι (όπως για τις πιστοποιήσεις ISO 9001 και 27001) στον οργανισμό σας, μπορείτε να εξετάσετε το ενδεχόμενο να ενσωματώσετε τεχνικές ηθικής hacking στο πρόγραμμα ελέγχου IT / ασφάλειας. Συνδυάζονται πολύ καλά μεταξύ τους. Πολιτικές εκτιμήσεις
Αν επιλέξετε να κάνετε ηθική hacking ένα σημαντικό μέρος του προγράμματος διαχείρισης κινδύνου πληροφοριών της επιχείρησής σας, πρέπει πραγματικά να έχετε μια τεκμηριωμένη πολιτική ελέγχου ασφαλείας. Μια τέτοια πολιτική περιγράφει ποιος κάνει τις δοκιμές, τον γενικό τύπο των δοκιμών που εκτελούνται και πόσο συχνά διεξάγεται ο έλεγχος.
Ίσως θελήσετε επίσης να δημιουργήσετε ένα έγγραφο προτύπων ασφαλείας που περιγράφει τα συγκεκριμένα εργαλεία ελέγχου ασφαλείας που χρησιμοποιούνται και συγκεκριμένα άτομα που εκτελούν τη δοκιμή. Μπορείτε επίσης να αναφέρετε τις τυπικές ημερομηνίες δοκιμών, όπως μία φορά ανά τρίμηνο για εξωτερικά συστήματα και εξαμηνιαίες δοκιμές για εσωτερικά συστήματα - ό, τι και αν λειτουργεί για την επιχείρησή σας.
Συμμόρφωση και κανονιστικές ανησυχίες
Οι δικές σας εσωτερικές πολιτικές ενδέχεται να υπαγορεύουν τον τρόπο με τον οποίο η διεύθυνση εξετάζει τις δοκιμές ασφαλείας, αλλά πρέπει επίσης να λάβετε υπόψη τους κρατικούς, ομοσπονδιακούς και διεθνείς νόμους και κανονισμούς που επηρεάζουν την επιχείρησή σας. Συγκεκριμένα, ο ψηφιακός νόμος για τα δικαιώματα πνευματικής ιδιοκτησίας (Digital Millennium Copyright Act - DMCA) στέλνει ρίγη κάτω από τις αγκάθες των νόμιμων ερευνητών.
Πολλοί από τους ομοσπονδιακούς νόμους και κανονισμούς στις Ηνωμένες Πολιτείες - όπως ο νόμος για την ασφάλεια φορητότητας και λογοδοσίας (Health Insurance Act - HIPAA), ο Νόμος για την Οικονομική και Κλινική Υγεία (HITECH), ο νόμος Gramm-Leach-Bliley Act (GLBA), Οι απαιτήσεις της προστασίας της υποδομής ζωτικής σημασίας (CIP) της Βόρειας Αμερικής και η PCI DSS - απαιτούν ισχυρούς ελέγχους ασφαλείας και συνεκτικές αξιολογήσεις ασφαλείας. Οι σχετικοί διεθνείς νόμοι, όπως ο νόμος για την προστασία των προσωπικών πληροφοριών του Καναδά και τα ηλεκτρονικά έγγραφα (PIPEDA), η οδηγία για την προστασία δεδομένων της Ευρωπαϊκής Ένωσης και ο νόμος περί προστασίας προσωπικών δεδομένων της Ιαπωνίας (JPIPA) δεν διαφέρουν.
Η ενσωμάτωση των δοκιμών ασφαλείας σας σε αυτές τις απαιτήσεις συμμόρφωσης είναι ένας πολύ καλός τρόπος για να εκπληρώσετε τους κρατικούς και ομοσπονδιακούς κανονισμούς και να ενισχύσετε το γενικό σας πρόγραμμα ασφάλειας και προστασίας προσωπικών δεδομένων.