Isi kandungan:
Video: video animasi etika pada hacker 2024
Peretasan etika - yang merangkumi ujian penembusan formal dan teratur, penggodaman topi putih, dan ujian kerentanan - melibatkan alat, teknik dan teknik yang sama penggodam menggunakan, tetapi dengan satu perbezaan utama: Peretasan etika dilakukan dengan kebenaran sasaran dalam tetapan profesional.
Tujuan penggodaman etika adalah untuk mengetahui kelemahan dari sudut pandangan penyerang yang berniat jahat untuk sistem yang lebih selamat. Peretasan etika adalah sebahagian daripada program pengurusan risiko maklumat keseluruhan yang membolehkan penambahbaikan keselamatan berterusan. Peretasan etika juga boleh memastikan bahawa tuntutan vendor tentang keselamatan produk mereka adalah sah.
Peretasan etika berbanding audit
Ramai orang mengelirukan peretasan etika dengan pengawal keselamatan, tetapi ada perbezaan besar . Pengauditan keselamatan melibatkan membandingkan dasar keselamatan syarikat dengan apa yang sebenarnya berlaku. Niat pengawal keselamatan adalah untuk mengesahkan bahawa kawalan keselamatan wujud - biasanya menggunakan pendekatan berasaskan risiko. Pengauditan sering melibatkan kajian semula proses perniagaan dan, dalam banyak kes, mungkin tidak terlalu teknikal. Tidak semua audit adalah tahap tinggi ini, tetapi majoriti agak mudah.
Sebaliknya, peretasan etika menumpukan pada kelemahan yang boleh dieksploitasi. Ia mengesahkan bahawa kawalan keselamatan tidak wujud atau tidak berfungsi dengan baik. Penggodaman beretika boleh menjadi sangat teknikal dan tidak teknikal, dan walaupun anda menggunakan metodologi formal, ia cenderung sedikit berstruktur daripada pengauditan rasmi.
Jika pengauditan terus berlaku dalam organisasi anda, anda mungkin mempertimbangkan mengintegrasikan teknik penggodam etika ke dalam program audit TI anda. Mereka melengkapi satu sama lain dengan baik.
Pertimbangan dasar
Jika anda memilih untuk membuat penggodaman etika merupakan bahagian penting dalam program pengurusan risiko perniagaan anda, anda benar-benar perlu mempunyai dasar ujian keselamatan yang didokumenkan. Dasar sedemikian menggariskan jenis penggodaman etika yang dilakukan, sistem mana (seperti pelayan, aplikasi web, komputer riba, dan sebagainya) diuji, dan berapa kali ujian dijalankan.
Anda juga mungkin mempertimbangkan untuk membuat dokumen standard keselamatan yang menggariskan alat ujian keselamatan tertentu yang digunakan dan tarikh tertentu sistem anda diuji setiap tahun. Anda mungkin menyenaraikan tarikh ujian standard, seperti sekali seperempat untuk sistem luaran dan ujian dua kali setahun untuk sistem dalaman - apa sahaja yang berfungsi untuk perniagaan anda.
Kebimbangan pematuhan dan pengawalseliaan
Dasar dalaman anda sendiri mungkin menentukan bagaimana pengurusan memantau ujian keselamatan, tetapi anda juga perlu mempertimbangkan undang-undang dan peraturan negeri, persekutuan dan global yang mempengaruhi perniagaan anda.
Kebanyakan undang-undang dan undang-undang persekutuan di Amerika Syarikat - seperti Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan (HIPAA), Akta Teknologi Maklumat Kesihatan untuk Kesihatan Ekonomi dan Klinikal (HITECH), Akta Gramm-Leach-Bliley (GLBA) Keperluan CIP Corporation North American Electric Reliability (NERC), dan Standard Keamanan Data Industri Kad Pembayaran (PCI DSS) - memerlukan kawalan keselamatan yang kuat dan penilaian keselamatan yang konsisten.
Undang-undang antarabangsa yang berkaitan seperti Akta Perlindungan Maklumat dan Dokumen Elektronik Kanada (PIPEDA), Arahan Perlindungan Data Kesatuan Eropah dan Akta Perlindungan Maklumat Peribadi Jepun (JPIPA) tidak berbeza. Menggabungkan ujian penggodam etika anda ke dalam keperluan pematuhan ini adalah cara terbaik untuk memenuhi peraturan negeri dan persekutuan dan memperkuat keseluruhan program privasi dan keselamatan anda.
