Βίντεο: Μπείτε στην συχνότητα των στόχων σας - Bob Proctor & Sandy Gallagher 2024
Το σχέδιο δοκιμών σου χρειάζεται στόχους. Ο κύριος στόχος της ηθικής hacking είναι να εντοπίσετε τα τρωτά σημεία στα συστήματά σας από την οπτική γωνία των κακών, ώστε να μπορείτε να κάνετε το περιβάλλον σας πιο ασφαλές. Στη συνέχεια, μπορείτε να κάνετε ένα ακόμη βήμα:
-
Καθορίστε πιο συγκεκριμένους στόχους. Ευθυγραμμίστε τους στόχους με τους επιχειρηματικούς στόχους σας. Ποια είσαι εσύ και η διοίκηση προσπαθείς να βγεις από αυτή τη διαδικασία; Ποια κριτήρια απόδοσης θα χρησιμοποιήσετε για να διασφαλίσετε ότι αξιοποιείτε στο έπακρο τις δοκιμές σας;
-
Δημιουργήστε ένα συγκεκριμένο χρονοδιάγραμμα με ημερομηνίες έναρξης και λήξης καθώς και τις ώρες που θα πραγματοποιηθεί η δοκιμή σας. Αυτές οι ημερομηνίες και οι ώρες είναι κρίσιμα στοιχεία του συνολικού σας σχεδίου.
Πριν ξεκινήσετε οποιαδήποτε δοκιμή, απολύτως, χρειάζεστε θετικά τα πάντα γραπτώς και εγκρίνετε. Εγγράψτε τα πάντα και εμπλέξτε τη διαχείριση σε αυτή τη διαδικασία. Ο καλύτερος σύμμαχός σας στις προσπάθειές σας για δοκιμές είναι ένας διευθυντής που υποστηρίζει αυτό που κάνετε.
Υποστηρίζει η δοκιμή σας την αποστολή της επιχείρησης και των τμημάτων πληροφορικής και ασφάλειας;-
Ποιοι επιχειρηματικοί στόχοι επιτυγχάνονται με την πραγματοποίηση ηθικής πειρατείας;
-
Αυτοί οι στόχοι μπορεί να περιλαμβάνουν τα εξής: Εργασία με Δήλωση για τα Πρότυπα Πιστοποίησης Συμμετοχών (SSAE) 16 ελέγχων
-
->
Την τήρηση των ομοσπονδιακών κανονισμών όπως ο HIPAA και το πρότυπο ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών (PCI DSS) -
Η εκπλήρωση συμβατικών απαιτήσεων πελατών ή επιχειρηματικών συνεργατών
-
Διατήρηση της εικόνας της εταιρείας
-
Προετοιμασία για το διεθνώς αποδεκτό πρότυπο ασφαλείας του ISO / IEC 27001: 2013
-
Πώς θα βελτιώσουν αυτές οι δοκιμές την ασφάλεια, την πληροφορική και την επιχείρηση στο σύνολό της;
-
-
Ποιες πληροφορίες προστατεύετε;
-
Αυτό θα μπορούσε να είναι προσωπικές πληροφορίες για την υγεία, πνευματική ιδιοκτησία, εμπιστευτικές πληροφορίες για τους πελάτες ή προσωπικές πληροφορίες των εργαζομένων. Πόσα χρήματα, χρόνο και προσπάθεια είστε εσείς και ο οργανισμός σας πρόθυμοι να δαπανήσουν για αξιολογήσεις ασφάλειας;
-
Ποια συγκεκριμένα παραδοτέα θα υπάρξουν;
-
Τα Παραδοτέα μπορούν να περιλαμβάνουν οτιδήποτε από εκτελεστικές αναφορές υψηλού επιπέδου έως λεπτομερείς τεχνικές αναφορές και αναλύσεις σχετικά με το τι δοκιμάσατε μαζί με τα αποτελέσματα των δοκιμών σας. Μπορείτε να παραδώσετε συγκεκριμένες πληροφορίες που συλλέγονται κατά τη διάρκεια των δοκιμών σας, όπως κωδικοί πρόσβασης και άλλες εμπιστευτικές πληροφορίες. Ποια συγκεκριμένα αποτελέσματα θέλετε;
-
Τα επιθυμητά αποτελέσματα περιλαμβάνουν την αιτιολόγηση της πρόσληψης ή της εξωτερικής ανάθεσης προσωπικού ασφαλείας, την αύξηση του προϋπολογισμού ασφαλείας, την ικανοποίηση των απαιτήσεων συμμόρφωσης ή την ενίσχυση των συστημάτων ασφαλείας. Αφού γνωρίσετε τους στόχους σας, τεκμηριώνετε τα βήματα για να φτάσετε εκεί. Για παράδειγμα, αν ένας στόχος είναι να αναπτύξετε ένα ανταγωνιστικό πλεονέκτημα για να κρατήσετε τους υπάρχοντες πελάτες και να προσελκύσετε νέους πελάτες, καθορίστε τις απαντήσεις σε αυτές τις ερωτήσεις:
Πότε θα ξεκινήσετε τις δοκιμές σας;
-
Η προσέγγισή σας θα είναι
-
τυφλή, στην οποία δεν γνωρίζετε τίποτα για τα συστήματα που δοκιμάζετε ή που βασίζονται στη γνώση, στα οποία σας δίνεται συγκεκριμένες πληροφορίες σχετικά με το τα συστήματα που δοκιμάζετε, όπως οι διευθύνσεις IP, τα ονόματα κεντρικών υπολογιστών και ακόμη και τα ονόματα χρηστών και οι κωδικοί πρόσβασης; Οι δοκιμές σας θα έχουν τεχνικό χαρακτήρα, θα περιλαμβάνουν εκτιμήσεις φυσικής ασφάλειας ή ακόμα και χρήση κοινωνικής μηχανικής;
-
Θα συμμετάσχετε σε μια μεγαλύτερη ομάδα ηθικής hacking, μερικές φορές αποκαλούμε ομάδα
-
τίγρης ή κόκκινη ομάδα; Θα ενημερώσετε τα ενδιαφερόμενα μέρη για το τι κάνετε και πότε το κάνετε; Αν ναι, πώς;
-
Η ειδοποίηση πελατών είναι ένα κρίσιμο ζήτημα. Πολλοί πελάτες εκτιμούν ότι λαμβάνετε μέτρα για την προστασία των πληροφοριών τους. Προσέξτε τη δοκιμή με θετικό τρόπο. Μην πείτε: "Σπάμε στα δικά μας συστήματα για να δούμε ποιες πληροφορίες είναι ευάλωτες στους χάκερς", ακόμα κι αν αυτό είναι αυτό που κάνετε. Αντ 'αυτού, λέτε ότι αξιολογείτε τη συνολική ασφάλεια του περιβάλλοντος δικτύου σας, ώστε οι πληροφορίες να είναι όσο το δυνατόν πιο ασφαλείς.
Πώς θα μάθετε αν οι πελάτες ενδιαφέρονται ακόμα για αυτό που κάνετε;
-
Πώς θα ενημερώσετε τους πελάτες ότι ο οργανισμός λαμβάνει μέτρα για να ενισχύσει την ασφάλεια των πληροφοριών τους;
-
Τι μετρήσεις μπορούν να διασφαλίσουν ότι αυτές οι προσπάθειες αποδίδουν;
-
Ο καθορισμός των στόχων σας απαιτεί χρόνο, αλλά δεν θα το μετανιώσετε. Αυτοί οι στόχοι είναι ο οδικός σας χάρτης. Εάν έχετε οποιεσδήποτε ανησυχίες, ανατρέξτε σε αυτούς τους στόχους για να βεβαιωθείτε ότι έχετε μείνει στο σωστό δρόμο.