Hjem Personlig finansiering Etisk Hacking Process - Dummies

Etisk Hacking Process - Dummies

Indholdsfortegnelse:

Video: Den etiske forbruger 2024

Video: Den etiske forbruger 2024
Anonim

Som praktisk talt ethvert IT- eller sikkerhedsprojekt, skal etisk hacking planlægges på forhånd. Strategiske og taktiske problemer i den etiske hackingsproces bør fastlægges og aftales. For at sikre din indsats succes, skal du bruge tid på at planlægge ting ud. Planlægning er vigtig for enhver testmængde - fra en simpel password-cracking test til en all-out penetration test på en webapplikation.

Formulering af din plan

Godkendelse af etisk hacking er afgørende. Gør det, du gør kendt og synlig - i hvert fald til beslutningstagerne. At opnå sponsorering af projektet er det første skridt. Dette kan være din leder, en leder, din klient eller endda dig selv, hvis du er chef. Du har brug for nogen til at bakke dig op og afmelde dig på din plan. Ellers kan testen afbrydes uventet, hvis nogen hævder, at de aldrig har givet tilladelse til at udføre testene.

Bemyndigelsen kan være lige så enkel som et internt notat eller en e-mail fra din chef, hvis du udfører disse tests på dine egne systemer. Hvis du tester for en klient, skal du have en underskrevet kontrakt på plads med angivelse af kundens support og godkendelse. Få skriftlig godkendelse på dette sponsorat så hurtigt som muligt for at sikre, at ingen af ​​din tid eller indsats er spildt. Denne dokumentation er dit Få ud af Jail Free -kort, hvis nogen spørgsmålstegn dig, hvad du laver, eller værre, hvis myndighederne ringer.

En glide kan ødelægge dine systemer - ikke nødvendigvis hvad nogen vil have. Du har brug for en detaljeret plan, men det betyder ikke, at du har brug for mængder af testprocedurer. Et veldefineret anvendelsesområde omfatter følgende oplysninger:

  • Specifikke systemer, der skal testes: Når du vælger systemer til test, skal du starte med de mest kritiske systemer og processer eller dem, du formoder at være de mest sårbare. Du kan f.eks. Teste computerens adgangskoder, en internetudviklet webapplikation eller forsøge angreb på social engineering før du borer ned i alle dine systemer.
  • Der er involveret risici: Det betaler sig at have en beredskabsplan for din etiske hackingsproces, hvis noget går galt. Hvad hvis du vurderer din firewall eller webapplikation, og du tager det ned? Dette kan medføre systemtilgængelighed, hvilket kan reducere systemets ydeevne eller medarbejderproduktivitet. Endnu værre, det kan forårsage tab af dataintegritet, tab af data selv og endda dårlig reklame. Det vil helt sikkert tjekke en person eller to og få dig til at se dårligt ud.
    • Håndter social engineering og DoS-angreb omhyggeligt. Bestem, hvordan de kan påvirke de systemer, du tester, og hele din organisation.
  • Når testene udføres og din overordnede tidslinje: Bestemmelse af, hvornår testene udføres, er noget, du skal tænke længe og svært om. Udfører du test under normale åbningstider? Hvad med sent om aftenen eller tidligt om morgenen, så produktionssystemerne ikke påvirkes? Involver andre for at sikre, at de godkender din timing.
    • Den bedste tilgang er et ubegrænset angreb, hvor enhver form for test er mulig på ethvert tidspunkt af dagen. De onde gutter bryder ikke ind i dine systemer inden for et begrænset omfang, så hvorfor skal du? Nogle undtagelser fra denne tilgang er at udføre DoS-angreb, social engineering og fysiske sikkerhedstest.
  • Hvor meget viden om de systemer, du har før du begynder at teste: Du behøver ikke omfattende kendskab til de systemer, du tester - bare en grundlæggende forståelse. Denne grundlæggende forståelse hjælper med at beskytte dig og de testede systemer.
  • Hvilke foranstaltninger vil blive truffet, når der opdages en større sårbarhed: Stop ikke, når du har fundet et sikkerhedshul. Dette kan føre til en falsk følelse af sikkerhed. Fortsæt med at se, hvad du ellers kan opdage. Du behøver ikke at holde hacking til slutningen af ​​tiden eller indtil du styrter alle dine systemer; simpelthen forfølge den vej, du går ned, indtil du ikke kan hacke den længere (ordspillet er beregnet). Hvis du ikke har fundet nogen sårbarheder, har du ikke set hårdt nok.
  • De specifikke resultater: Dette omfatter sikkerhedsrapporteringsrapporter og en rapport på højere niveau, der beskriver de generelle sårbarheder, der skal behandles, sammen med modforanstaltninger, der skal implementeres.

Et af dine mål kan være at udføre testene uden at blive registreret. For eksempel kan du udføre dine tests på fjernsystemer eller på et fjernkontor, og du vil ikke have brugerne at være opmærksomme på, hvad du laver. Ellers kan brugerne få fat på dig og være på deres bedste opførsel - i stedet for deres normale opførsel.

Udførelse af planen

God etisk hacking kræver vedholdenhed. Tid og tålmodighed er vigtige. Pas på, når du udfører dine etiske hackingstests. En hacker i dit netværk eller en tilsyneladende godartet medarbejder, der kigger over din skulder, kan se, hvad der foregår og bruge disse oplysninger mod dig.

Det er ikke praktisk at sikre, at ingen hackere er på dine systemer, før du starter. Bare sørg for at holde alt så stille og privat som muligt. Dette er især kritisk, når du sender og lagrer dine testresultater. Hvis det er muligt, krypterer du alle e-mails og filer, der indeholder følsomme testoplysninger ved hjælp af Pretty Good Privacy eller lignende teknologi. I det mindste skal du beskytte dem med adgangskode.

Du er nu på en rekognosationsmission. Få så mange oplysninger som muligt om din organisation og systemer, hvilket er hvad ondsindede hackere gør. Start med en bred visning og indsnævre dit fokus:

1. Søg på internettet for din organisations navn, dit computer- og netværkssystemnavn og dine IP-adresser.

Google er et godt sted at starte.

2. Begræns dit anvendelsesområde, idet du målretter mod de specifikke systemer, du tester.

Uanset om du vurderer fysiske sikkerhedsstrukturer eller webapplikationer, kan en afslappet vurdering vise dig en masse information om dine systemer.

3. Yderligere indsnævre dit fokus med et mere kritisk øje. Udfør faktiske scanninger og andre detaljerede tests for at afdække sårbarheder på dine systemer.

4. Udfør angrebene og udnyt eventuelle sårbarheder, du har fundet, hvis det er det du vælger at gøre.

Evaluering af resultater

Vurder dine resultater for at se, hvad du afdækket, forudsat at sårbarhederne ikke er blevet gjort tydelige før nu. Det er her viden tæller. Evaluering af resultaterne og korrelering af de opdagede specifikke sårbarheder er en færdighed, der bliver bedre med erfaring. Du ender med at kende dine systemer meget bedre end nogen anden. Dette gør evalueringsprocessen meget enklere fremadrettet.

Indsend en formel rapport til øverste ledelse eller til din klient, der beskriver dine resultater og eventuelle anbefalinger, du ønsker at dele. Hold disse parter i løkken for at vise, at din indsats og deres penge er godt brugt.

Etisk Hacking Process - Dummies

Valg af editor

Valg af editor

Hvornår man bruger If-erklæringen til at programmere HTML med JavaScript-dummier

Hvornår man bruger If-erklæringen til at programmere HTML med JavaScript-dummier

Social Media

Kan virkelig ikke undslippe ved hjælp af if-sætningen med JavaScript. If-erklæringen bruges almindeligvis til at teste om der er sket noget eller ikke, om dataene er inden for rækkevidde eller ej, eller om brugeren ønsker at udføre en bestemt opgave. Sådan oprettes en simpel hvis erklæring i JavaScript En af de mest ...

Før du opretter din første webside - dummier

Før du opretter din første webside - dummier

Social Media

Oprettelse af HTML-dokumenter adskiller sig fra at skabe tekstbehandlingsdokumenter ved hjælp af en applikation som Microsoft Word. Forskellen kommer fra at bruge to applikationer med oprettelse af HTML-dokument: Din tekst eller HTML-editor, hvor du opretter websider Din webbrowser, hvor du ser resultaterne Selvom mange HTML-redaktører, som f.eks.

Kode Filer til HTML5 og CSS3 - dummies

Kode Filer til HTML5 og CSS3 - dummies

Social Media

HTML og CSS er de grundlæggende byggesten på websites. Adventen af ​​HTML5 og CSS3 repræsenterer et dynamisk og kraftfuldt evolutionært stadium i udviklingen af ​​webdesign. Maksimering af potentialet i HTML5 og CSS3 gør det muligt at anvende styling og formatering, præsentere lyd og video og skabe animation og interaktivitet på måder ...

Valg af editor

Information Der er en kommandoudgang på basis af en Vis Interface Command i Junos - dummies

Information Der er en kommandoudgang på basis af en Vis Interface Command i Junos - dummies

Personlig finansiering

. Lidt information. Udover de grundlæggende op- eller nedstatusoplysninger indeholder kommandoen Vis grænseflader disse velsmagende informative nuggets: CoS køer: Dette er det samlede antal CoS-køer konfigureret til det pågældende interfacekort. Hvis du har konfigureret otte køer, viser den en værdi ...

Sådan ses Junos Syslog Messages - dummies

Sådan ses Junos Syslog Messages - dummies

Personlig finansiering

I standard syslog-konfigurationen på Junos router, gemmes logfiler til en fil kaldet meddelelser, som ligger i standard logfil-mappen. På M-, MX- og T-seriens routere er standardlogfilmappen / var / log /. På J-seriens routere er det / cf / var / log /. Du kan se filen fra enheden med denne kommando: ...

Eneband Dokumenter til at hjælpe med at planlægge og implementere dit netværk - dummier

Eneband Dokumenter til at hjælpe med at planlægge og implementere dit netværk - dummier

Personlig finansiering

Når det er tid til at deployere dine Junos baserede enheder, kan du måske vide, hvilke ressourcer og værktøjer der er tilgængelige for at lette din migration. Heldigvis har du som kunde hos Juniper Networks adgang til forskellige dokumenter, der kan hjælpe dig med at planlægge og implementere dit nye netværk: Eksempler på netværkskonfiguration: Giv komplekse eksempler på flere platformskonfigurationer ...

Valg af editor

Office 2010 Alt-i-One til Dummies Cheat Sheet - dummies

Office 2010 Alt-i-One til Dummies Cheat Sheet - dummies

Social Media

Programmerne i Office 2010 suite - Word 2010, Excel 2010, PowerPoint 2010, Outlook 2010, Adgang 2010 og Publisher 2010 - har meget til fælles. Master kommandoerne i et Office 2010-program, og du er godt på vej til at mestre de andre programmer. Følgende er vigtige oplysninger, du kan tage til enhver ...

Office 365 For Dummies Cheat Sheet - dummies

Office 365 For Dummies Cheat Sheet - dummies

Social Media

Som med enhver virksomheds software omfatter mange forskellige dele og stykker den simple navnet på Office 365. At få et håndtag på alle de bevægelige stykker og jargon kan være en udfordrende opgave. Denne vejledning giver dig en hurtig reference til de produkter, teknologier, koncepter og akronymer, der udgør Office 365-landskabet.

Office 365 Grupper - dummies

Office 365 Grupper - dummies

Social Media

Du kan bruge Office 365 Grupper, eller blot Grupper, til hurtigt at binde sammen med kolleger til samarbejde uden administrationsansvar, der følger med et SharePoint-websted. Grupper er ikke en del af SharePoint Online. Det er faktisk en funktion i Exchange Online, men det bruger SharePoint Online-funktioner, såsom OneDrive for Business til lagring af gruppefiler ...

Valg af editor

Valg af editor

Populære kategorier

© Copyright da.blender3dtutorials.com, 2024 Oktober | Om webstedet | Kontakter | Fortrolighedspolitik.