כיצד הארגון שלך יכול להרוויח מהאקינג אתי

מְחַבֵּר: Roger Morrison
תאריך הבריאה: 26 סֶפּטֶמבֶּר 2021
תאריך עדכון: 1 יולי 2024
Anonim
כיצד הארגון שלך יכול להרוויח מהאקינג אתי - טכנולוגיה
כיצד הארגון שלך יכול להרוויח מהאקינג אתי - טכנולוגיה

תוֹכֶן


מקור: Cammeraydave / Dreamstime.com

להסיר:

פריצה היא איום עצום על ארגונים, וזו הסיבה שהאקרים אתיים הם לרוב הפיתרון הטוב ביותר למציאת פערי אבטחה.

האופי של איומי אבטחת הרשת מתפתח כל הזמן. אלא אם כן מערכות יתפתחו לניהול האיומים הללו, הן ישבו ברווזים. אמנם אמצעי אבטחה קונבנציונליים נחוצים, אך חשוב להשיג את נקודת המבט של אנשים שיכולים לאיים על מערכות, או על האקרים. ארגונים אפשרו לקטגוריה של האקרים, המכונים האקרים כובעים אתיים או לבנים, לזהות פגיעויות במערכת ולספק הצעות לתיקוןן. האקרים אתיים, בהסכמתם המפורשת של בעלי המערכת או בעלי העניין, חודרים למערכות לזיהוי נקודות תורפה ומתן המלצות לשיפור אמצעי האבטחה. פריצה אתית הופכת את האבטחה להוליסטית ומקיפה.

האם אתה באמת זקוק להאקרים אתיים?

בהחלט אין חובה להפעיל את שירותיהם של האקרים אתיים, אך מערכות אבטחה קונבנציונאליות לא הצליחו שוב ושוב לספק הגנה נאותה מפני אויב שגדל בגודלו ובמגווןו. עם התפשטות המכשירים החכמים והמחוברים, מערכות כל הזמן בסכנה. למעשה, פריצה נתפסת כשדרה משתלמת מבחינה כלכלית, כמובן על חשבון ארגונים. כפי שניסח זאת ברוס שנייר, מחבר הספר "הגן על המקינטוש שלך", "חומרה נוחה להגנה: נעל אותה בחדר, שרשרף אותו לשולחן העבודה או קנה רזרב. מידע מהווה יותר בעיה. זה יכול להתקיים ביותר ממקום אחד; תובלו באמצע הדרך על פני כדור הארץ תוך שניות ותגנבו ללא ידיעתכם. " מחלקת ה- IT שלך, אלא אם כן יש לך תקציב גדול, יכולה להוכיח נחותה מהתקפת האקרים, וניתן לגנוב מידע חשוב לפני שתבין זאת. לכן, הגיוני להוסיף מימד לאסטרטגיית אבטחת ה- IT שלך על ידי שכירת האקרים אתיים שיודעים את דרכיהם של האקרים כובעים שחורים. אחרת, הארגון שלך עלול להסתכן בכך שלא ידוע על פתיחת פרצות במערכת.


הכרת שיטות האקרים

כדי למנוע פריצות, חשוב להבין כיצד ההאקרים חושבים. תפקידים קונבנציונליים באבטחת מערכות יכולים לעשות כל כך הרבה עד שיש להכניס את הלך הרוח של האקר. ברור שדרכי ההאקרים ייחודיות וקשות לתפקידי אבטחת מערכות קונבנציונליים. זה קובע את המקרה להשכרת האקר מוסרי שיכול לגשת למערכת כמו שהאקר זדוני עלול, ובדרך, לגלות פרצות אבטחה.

בדיקה חדירה

ידוע גם בשם בדיקת העט, בדיקות חדירה משמשות לזיהוי פגיעויות במערכת שאליהן התוקף יכול למקד. ישנן שיטות רבות לבדיקה חדירה. הארגון רשאי להשתמש בשיטות שונות בהתאם לדרישותיו.

  • בדיקות ממוקדות כוללות את אנשי הארגונים ואת ההאקר. צוות הארגון יודע על פריצות הביצוע.
  • בדיקות חיצוניות חודרות לכל המערכות שנחשפות חיצוניות כמו שרתי אינטרנט ו- DNS.
  • בדיקות פנימיות חושפות פגיעויות הפתוחות בפני משתמשים פנימיים עם הרשאות גישה.
  • בדיקות עיוורות מדמות התקפות של ממש מהאקרים.

לבוחנים מידע מוגבל על המטרה, המחייב אותם לבצע סיור לפני הפיגוע. בדיקות חדירה היא המקרה החזק ביותר להעסקת האקרים אתיים. (למידע נוסף ראה בדיקת חדירה והאיזון העדין בין אבטחה לסיכון.)


זיהוי פגיעויות

אף מערכת אינה חסינה לחלוטין מהתקפות. ועדיין, ארגונים צריכים לספק הגנה רב ממדית. הפרדיגמה של ההאקר המוסרי מוסיפה מימד חשוב. דוגמה טובה היא מקרה המקרה של ארגון גדול בתחום הייצור. הארגון ידע את מגבלותיו מבחינת אבטחת המערכת, אך לא יכול היה לעשות הרבה בעצמו. לכן, היא שכרה האקרים אתיים כדי להעריך את אבטחת המערכת שלה ולספק את ממצאיה והמלצותיה. הדוח כלל את המרכיבים הבאים: יציאות הפגיעות ביותר כמו RPC של מיקרוסופט ומנהל מרחוק, המלצות לשיפור אבטחת מערכות כגון מערכת תגובה לאירועים, פריסה מלאה של תוכנית לניהול פגיעות והפיכת הנחיות הקשחה מקיפות יותר.

מוכנות להתקפות

התקפות הן בלתי נמנעות ולא משנה עד כמה מערכת מבוצרת. בסופו של דבר תוקף יגלה פגיעות או שתיים. מאמר זה הצהיר כבר כי התקפות סייבר, ללא קשר למידת הביצור של המערכת, הן בלתי נמנעות. זה לא אומר שארגונים צריכים להפסיק לחזק את אבטחת המערכת שלהם - להפך, למעשה. התקפות סייבר התפתחו והדרך היחידה למנוע או למזער נזקים היא מוכנות טובה. אחת הדרכים להכין מערכות נגד התקפות היא לאפשר להאקרים אתיים לזהות את הפגיעויות לפני כן.

ישנן דוגמאות רבות לכך ורלוונטי לדון בדוגמה של המחלקה האמריקאית לביטחון פנים (DHS). ה- DHS משתמש במערכת גדולה ומורכבת במיוחד אשר מאחסנת ומעבדת כמויות עצומות של נתונים חסויים. הפרת נתונים היא איום רציני, כמוהו כאיום על הביטחון הלאומי. ה- DHS הבינו כי לגרום להאקרים אתיים לפרוץ למערכת שלה לפני שעשו האקרים עם כובע שחור הייתה דרך חכמה להעלות את רמת המוכנות. אז, חוק ה- DHS של Hack נחקק, אשר יאפשר להאקרים אתיים נבחרים לפרוץ למערכת DHS. המעשה פירט בפירוט כיצד יעבוד היוזמה. קבוצה של האקרים אתיים תתקבל לעבודה במערכת DHS ולזהות פגיעויות, אם בכלל. על כל פגיעות חדשה שאותרה, ההאקרים המוסריים יתוגמלו כספית. ההאקרים המוסריים לא יהיו נתונים לפעולה משפטית כלשהי בגלל מעשיהם, אם כי יצטרכו לעבוד תחת אילוצים והנחיות מסוימים. המעשה גם גרם לחובה לכל ההאקרים המוסריים המשתתפים בתוכנית לעבור בדיקת רקע יסודית. בדומה ל- DHS, ארגונים נחשבים שוכרים האקרים אתיים כדי להעלות את רמת מוכנות האבטחה במערכת מזה זמן רב. (למידע נוסף בנושא אבטחה באופן כללי, ראה 7 העקרונות הבסיסיים של אבטחת IT.)

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אתה לא יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

סיכום

גם פריצה אתית וגם אבטחת IT קונבנציונלית צריכים לעבוד יחד כדי להגן על מערכות ארגוניות. עם זאת, על עסקים לפתח את האסטרטגיה שלהם לפריצה אתית. הם בטח יכולים להוציא דף ממדיניות DHS בנושא פריצה אתית. יש להגדיר בבירור את תפקידם ואת ההיקף של האקרים אתיים; חשוב שהעסק ישמור על איזונים ויתרות כך שההאקר לא יחרוג מהיקף העבודה ולא יגרם נזק למערכת. הארגון צריך גם לתת להאקרים אתיים את הביטחון כי לא תינקט כל צעד משפטי במקרה של הפרה כפי שהוגדרה בחוזה שלהם.