Πίνακας περιεχομένων:
Βίντεο: Ethihak Διαγωνισμός Hackers - Ρεπορτάζ ANT1 2024
Ηθική hacking - η οποία περιλαμβάνει επίσημες και μεθοδικές δοκιμές διείσδυσης, hacking λευκών καπέλων και δοκιμές ευπάθειας - περιλαμβάνει τα ίδια εργαλεία, κόλπα και τεχνικές οι hackers χρησιμοποιούν, αλλά με μια μεγάλη διαφορά: Η ηθική hacking εκτελείται με την άδεια του στόχου σε ένα επαγγελματικό περιβάλλον.
Η πρόθεση της ηθικής hacking είναι να ανακαλύψει τα τρωτά σημεία από την άποψη ενός κακόβουλου εισβολέα σε ασφαλέστερα συστήματα. Η ηθική hacking αποτελεί μέρος ενός συνολικού προγράμματος διαχείρισης κινδύνων πληροφόρησης που επιτρέπει συνεχείς βελτιώσεις ασφαλείας. Η ηθική hacking μπορεί επίσης να διασφαλίσει ότι οι ισχυρισμοί των πωλητών σχετικά με την ασφάλεια των προϊόντων τους είναι νόμιμοι.
Ηθική πειρατεία σε σχέση με τους ελέγχους
Πολλοί άνθρωποι συγχέουν την ηθική hacking με τον έλεγχο ασφάλειας, αλλά υπάρχουν διαφορές μεγάλες . Ο έλεγχος ασφαλείας περιλαμβάνει τη σύγκριση των πολιτικών ασφαλείας μιας εταιρείας με αυτά που πραγματικά συμβαίνουν. Σκοπός του ελέγχου ασφαλείας είναι να επικυρωθεί ότι υπάρχουν οι έλεγχοι ασφαλείας - συνήθως χρησιμοποιώντας μια προσέγγιση βασισμένη στον κίνδυνο. Ο έλεγχος συχνά περιλαμβάνει ανασκόπηση επιχειρηματικών διαδικασιών και, σε πολλές περιπτώσεις, ενδέχεται να μην είναι πολύ τεχνικός. Όλοι οι έλεγχοι δεν είναι αυτό το υψηλό επίπεδο, αλλά η πλειοψηφία είναι αρκετά απλοϊκή.
Αντίθετα, η ηθική hacking επικεντρώνεται σε ευπάθειες που μπορούν να αξιοποιηθούν. Επιβεβαιώνει ότι τα στοιχεία ελέγχου ασφαλείας δεν υπάρχουν ή είναι στην πραγματικότητα αναποτελεσματικά στην καλύτερη περίπτωση. Η ηθική hacking μπορεί να είναι τόσο εξαιρετικά τεχνική όσο και μη τεχνική, και παρόλο που χρησιμοποιείτε μια επίσημη μεθοδολογία, τείνει να είναι λίγο λιγότερο δομημένη από τον επίσημο έλεγχο.
Εάν συνεχίζεται ο έλεγχος στον οργανισμό σας, μπορείτε να εξετάσετε την ενσωμάτωση τεχνικών ηθικής hacking στο πρόγραμμα ελέγχου IT. Συνδυάζονται πολύ καλά μεταξύ τους.
Όροι πολιτικής
Αν επιλέξετε να κάνετε ηθική hacking ένα σημαντικό μέρος του προγράμματος διαχείρισης κινδύνου της επιχείρησής σας, πρέπει πραγματικά να έχετε μια τεκμηριωμένη πολιτική ελέγχου ασφαλείας. Μια τέτοια πολιτική περιγράφει το είδος της ηθικής hacking που γίνεται, ποια συστήματα (όπως διακομιστές, εφαρμογές ιστού, φορητοί υπολογιστές κ.λπ.) ελέγχονται και πόσο συχνά διεξάγεται η δοκιμή.
Ίσως θελήσετε επίσης να δημιουργήσετε ένα έγγραφο προδιαγραφών ασφαλείας που περιγράφει τα συγκεκριμένα εργαλεία ελέγχου ασφαλείας που χρησιμοποιούνται και συγκεκριμένες ημερομηνίες που ελέγχουν τα συστήματά σας κάθε χρόνο. Μπορείτε να καταχωρίσετε τυπικές ημερομηνίες δοκιμών, όπως μία φορά ανά τρίμηνο για εξωτερικά συστήματα και εξαμηνιαίες δοκιμές για εσωτερικά συστήματα - ό, τι κι αν λειτουργεί για την επιχείρησή σας.
Συμμόρφωση και κανονιστικές ανησυχίες
Οι δικές σας εσωτερικές πολιτικές ενδέχεται να υπαγορεύουν τον τρόπο με τον οποίο η διεύθυνση εξετάζει τις δοκιμές ασφαλείας, αλλά πρέπει επίσης να λάβετε υπόψη τους κρατικούς, ομοσπονδιακούς και παγκόσμιους νόμους και κανονισμούς που επηρεάζουν την επιχείρησή σας.
Πολλοί από τους ομοσπονδιακούς νόμους και κανονισμούς στις ΗΠΑ - όπως ο νόμος για την ασφάλεια φορητότητας και λογοδοσίας για ασφάλειες υγείας (HIPAA), ο νόμος για την τεχνολογία πληροφοριών για την υγεία και την κλινική υγεία (HITECH), ο νόμος Gramm-Leach-Bliley Act (GLBA) Οι απαιτήσεις CIP της Βορειοαμερικανικής Εταιρείας Ηλεκτρικής Αξιοπιστίας (NERC) και το Πρότυπο Ασφαλείας Δεδομένων Καρτών Πληρωμών (PCI DSS) απαιτούν ισχυρούς ελέγχους ασφάλειας και συνεπείς αξιολογήσεις ασφαλείας.
Σχετικοί διεθνείς νόμοι, όπως ο νόμος για την προστασία των προσωπικών πληροφοριών του Καναδά και τα ηλεκτρονικά έγγραφα (PIPEDA), η οδηγία για την προστασία δεδομένων της Ευρωπαϊκής Ένωσης και ο νόμος περί προστασίας προσωπικών δεδομένων της Ιαπωνίας (JPIPA) δεν διαφέρουν. Η ενσωμάτωση των δοκιμών δεοντολογίας σας σε αυτές τις απαιτήσεις συμμόρφωσης είναι ένας πολύ καλός τρόπος για να εκπληρώσετε τους κρατικούς και ομοσπονδιακούς κανονισμούς και να βελτιώσετε το γενικό σας πρόγραμμα προστασίας προσωπικών δεδομένων και ασφάλειας.