Cuprins:
Video: Hackers: the internet's immune system | Keren Elazari 2024
Hacking-ul etic - care cuprinde testarea de penetrare formală și metodică, hacking-ul de pălării albe și testarea vulnerabilității - implică aceleași instrumente, trucuri și tehnici hackerii folosesc, dar cu o diferență majoră: hacking-ul etic este realizat cu permisiunea țintă într-un cadru profesional.
Intenția hacking-ului etic este de a descoperi vulnerabilitățile dintr-un punct de vedere al unui atacator rău intenționat în sistemele mai bine protejate. Hacking-ul etic face parte dintr-un program global de gestionare a riscului de informare, care permite îmbunătățiri continue ale securității. De asemenea, hacking-ul etic se poate asigura că pretențiile vânzătorilor cu privire la securitatea produselor lor sunt legitime.
Hacking etică versus audituri
Mulți oameni confundă hacking-ul etic cu auditul de securitate, dar există diferențe mari . Auditul de securitate implică compararea politicilor de securitate ale unei companii cu ceea ce are loc efectiv. Scopul auditului de securitate este de a valida faptul că există controale de securitate existente - de obicei, folosind o abordare bazată pe risc. Auditul implică adesea revizuirea proceselor de afaceri și, în multe cazuri, poate să nu fie foarte tehnic. Nu toate auditurile sunt la acest nivel înalt, dar majoritatea sunt destul de simpliste.
Dimpotrivă, hacking-ul etic se concentrează pe vulnerabilitățile care pot fi exploatate. Aceasta validează faptul că comenzile de securitate nu există sau există cel puin ineficient. Hacking-ul etic poate fi atât tehnic cât și non-tehnic, și deși utilizați o metodologie formală, acesta tinde să fie un pic mai puțin structurat decât auditul oficial.
Dacă auditul continuă să aibă loc în organizația dvs., puteți lua în considerare integrarea tehnicilor etice de hacking în programul dumneavoastră de audit IT. Se completează foarte bine unul pe altul.
Considerațiile de politică
Dacă alegeți să faceți hacking-ul etic o parte importantă a programului de gestionare a riscului afacerii dvs., într-adevăr trebuie să aveți o politică documentată de testare a securității. O astfel de politică evidențiază tipul de hacking etic care se face, sistemele (cum ar fi serverele, aplicațiile web, laptopurile etc.) sunt testate și cât de des se efectuează testarea.
De asemenea, vă recomandăm să creați un document de standarde de securitate care să descrie instrumentele specifice de testare a securității folosite și datele specifice pe care sistemele dvs. sunt testate în fiecare an. S-ar putea să listați datele standard de testare, cum ar fi o dată pe trimestru pentru sistemele externe și testele bianuale pentru sistemele interne - indiferent ce funcționează pentru afacerea dvs.
Conformitate și preocupări de reglementare
Politicile interne proprii ar putea dicta modul în care managementul văd testele de securitate, dar trebuie să țineți cont și de legile și reglementările statale, federale și globale care afectează afacerea dvs.
Multe dintre legile și reglementările federale din SUA - cum ar fi Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA), Legea privind sănătatea economică și clinică (HITECH), Gramm-Leach-Bliley Act (GLBA) Cerințele CIP ale Companiei de Cercetare în domeniul electricității din America de Nord (NERC) și Standardul de securitate a datelor privind cardul de plăți (PCI DSS) - necesită controale de securitate puternice și evaluări de securitate coerente.
Legile internaționale conexe, cum ar fi Legea canadiană privind protecția informațiilor personale și documentele electronice (PIPEDA), Directiva Uniunii Europene privind protecția datelor și Legea privind protecția informațiilor personale din Japonia (JPIPA) nu diferă. Incorporarea testelor dvs. de etică în domeniul hacking-ului în aceste cerințe de conformitate este o modalitate excelentă de a respecta reglementările de stat și federale și de a îmbunătăți programul de confidențialitate și de securitate.