Isi kandungan:
Video: 5 Striker Tertajam Paling Mematikan Musim 2017 / 2018 Sejauh Ini ● Starting Eleven 2024
Anda memerlukan perlindungan daripada penggodam penggodam; anda perlu menjadi seperti orang yang cuba menyerang sistem anda. Seorang profesional penilaian keselamatan yang benar mempunyai kemahiran, pemikiran, dan alat penggodam tetapi juga boleh dipercayai. Dia menjalankan hacks sebagai ujian keselamatan terhadap sistem berdasarkan bagaimana penggodam mungkin berfungsi.
Peretasan etika - yang merangkumi ujian penetrasi formal dan teratur, hacking hat putih, dan ujian kerentanan - melibatkan alat, teknik dan teknik yang sama yang diguna pakai oleh penggodam jenayah, tetapi dengan satu perbezaan utama: Peretasan etika dilakukan dengan izin target dalam suasana profesional. Tujuan peretasan etika ialah untuk mengetahui kelemahan dari sudut pandangan penyerang yang berniat jahat untuk sistem yang lebih selamat. Peretasan etika adalah sebahagian daripada program pengurusan risiko maklumat keseluruhan yang membolehkan penambahbaikan keselamatan berterusan. Peretasan etika juga boleh memastikan bahawa tuntutan vendor tentang keselamatan produk mereka adalah sah.
Jika anda melakukan ujian penggodam etika dan mahu menambah sijil lain kepada kelayakan anda, anda mungkin ingin mempertimbangkan untuk menjadi seorang Pengamal Etika Bersertifikat (CEH) melalui program persijilan yang ditaja oleh EC-Council. Seperti Profesional Keselamatan Sistem Maklumat Bersertifikat (CISSP), pensijilan CEH telah menjadi pensijilan yang terkenal dan dihormati dalam industri. Ia juga diakreditasi oleh Institut Piawaian Kebangsaan Amerika (ANSI 17024).
Pilihan lain termasuk program Pensijilan Jaminan Maklumat Global (GIAC) SANS dan program Bertauliah Profesional Keamanan (OSCP) - satu pensijilan ujian keselamatan yang lengkap. Sering kali, orang yang melakukan kerja jenis ini tidak mempunyai pengalaman tangan yang betul untuk melakukannya dengan baik.
Peretasan etika terhadap pengauditan
Ramai orang mengelirukan ujian keselamatan melalui pendekatan penggodaman etika dengan pengawal keselamatan, tetapi ada besar perbezaan, iaitu dalam objektif. Pengauditan keselamatan melibatkan perbandingan dasar keselamatan syarikat (atau keperluan pematuhan) kepada apa yang sebenarnya berlaku. Niat pengawal keselamatan adalah untuk mengesahkan bahawa kawalan keselamatan wujud - biasanya menggunakan pendekatan berasaskan risiko. Pengauditan sering melibatkan kajian semula proses perniagaan dan, dalam banyak kes, mungkin tidak terlalu teknikal. Audit keselamatan biasanya didasarkan pada senarai semak.
Tidak semua audit adalah tahap tinggi, tetapi kebanyakannya (terutamanya di sekitar pematuhan PCI DSS [Piawai Keselamatan Data Industri Piagam Pelanggan] agak sederhana - sering dilakukan oleh orang yang tidak mempunyai komputer teknikal, rangkaian, dan pengalaman aplikasi atau, lebih buruk, mereka bekerja di luar IT sama sekali!
Sebaliknya, penilaian keselamatan yang berasaskan penataran etika terhadap kelemahan yang boleh dieksploitasi. Pendekatan ujian ini mengesahkan bahawa kawalan keselamatan tidak wujud atau tidak berfungsi dengan baik. Penggodaman beretika boleh menjadi sangat teknikal dan tidak teknikal, dan walaupun anda menggunakan metodologi formal, ia cenderung sedikit berstruktur daripada pengauditan rasmi.
Di mana pengauditan diperlukan (seperti untuk pensijilan ISO 9001 dan 27001) dalam organisasi anda, anda mungkin mempertimbangkan mengintegrasikan teknik penggodam etika ke dalam program audit IT / keselamatan anda. Mereka melengkapi satu sama lain dengan baik.
Pertimbangan dasar
Jika anda memilih untuk membuat peretasan etika merupakan bahagian penting dalam program pengurusan risiko maklumat perniagaan anda, anda benar-benar perlu mempunyai dasar ujian keselamatan yang didokumenkan. Dasar tersebut menggariskan siapa yang melakukan ujian, jenis ujian umum yang dilakukan, dan berapa kali pengujian berlaku.
Anda juga mungkin mempertimbangkan untuk membuat dokumen piawai keselamatan yang menggariskan alat ujian keselamatan khusus yang digunakan dan orang tertentu melaksanakan ujian. Anda juga mungkin menyenaraikan tarikh ujian standard, seperti sekali setiap suku untuk sistem luaran dan ujian dua kali setahun untuk sistem dalaman - apa sahaja yang berfungsi untuk perniagaan anda.
Kebimbangan pematuhan dan pengawalseliaan
Dasar dalaman anda sendiri mungkin menentukan bagaimana pengurusan memantau ujian keselamatan, tetapi anda juga perlu mempertimbangkan undang-undang dan peraturan negeri, persekutuan dan antarabangsa yang mempengaruhi perniagaan anda. Khususnya, Akta Hak Cipta Millennium Digital (DMCA) menghantar pengguguran ke bawah duri para penyelidik yang sah.
Banyak undang-undang dan undang-undang persekutuan di Amerika Syarikat - seperti Undang-undang Kemaskini dan Akauntabiliti Insurans Kesihatan (HIPAA), Akta Teknologi Maklumat Kesihatan dan Kesihatan Klinikal (HITECH), Akta Gramm- Leach-Bliley (GLBA), Keperluan Perlindungan Keupayaan Elektrik Utara Amerika (NERC) Perlindungan Infrastruktur Kritikal (CIP), dan PCI DSS - memerlukan kawalan keselamatan yang kukuh dan penilaian keselamatan yang konsisten. Undang-undang antarabangsa berkaitan seperti Perlindungan Maklumat Peribadi Kanada dan Akta Dokumen Elektronik (PIPEDA), Arahan Perlindungan Data Kesatuan Eropah dan Akta Perlindungan Maklumat Peribadi Jepun (JPIPA) tidak berbeza.
Mengandungi ujian keselamatan anda ke dalam keperluan pematuhan ini adalah cara yang baik untuk memenuhi peraturan negeri dan persekutuan dan memperkuat keseluruhan keselamatan maklumat dan program privasi anda.
