Video: CISSP Complete Test Prep & Cheat Sheet 2024
Af Kevin Beaver
Ikke alt hacking er dårligt. Sikkerhedsprøvningen i denne bog afslører sikkerhedssvagheder eller fejl i dine computeropsætninger. Dette Cheat Sheet giver dig hurtige referencer til værktøjer og tip, der advarer dig om almindeligt hackede mål - oplysninger, du har brug for for at gøre dine sikkerhedsprøvningsindsatser lettere.
Hacking Tools Du kan ikke leve uden
Som professionel informationssikkerhed er dit værktøjskasse den mest kritiske ting, du kan besidde mod hacking - bortset fra praktisk erfaring og sund fornuft. Dine hackingsværktøjer bør bestå af følgende (og sørg for at du aldrig er på job uden dem):
Netværksscanningsprogrammer, som Nmap og NetScanTools Pro
Skærmprogram til netværkssårbarhed, såsom LanGuard og Nexpose
Netværksanalysator software, som f.eks. Cain & Abel og CommView
Trådløs netværksanalysator og software som Aircrack-ng og CommView for WiFi
, som FileLocator Pro
Scanningsprogram til webprogrammerbarhed,som f.eks. Acunetix Web Vulnerability Scanner og AppSpider Databasesikkerhedsscanningsoftware, > som SQLPing3
Exploit software, som Metasploit
Common Security Weaknesses, som Criminal Hackers Target
Informationssikkerhedspersonale bør kende de fælles sikkerhedsmæssige svagheder, som kriminelle hackere og ondsindede brugere først kontrollerer, når de hakker i computersystemer. Sikkerhedsfejl, som følgende, skal være på din tjekliste, når du udfører dine sikkerhedstests: Tålmodige og overbevisende brugere
Usikret bygning og computerrumindgange
Kasserede dokumenter, der ikke er blevet makuleret og computer disker, der ikke er blevet ødelagtNetværksperimetre med ringe eller ingen firewallbeskyttelse
-
Dårlig, upassende eller manglende fil og dele adgangskontroller
-
Ikke-pakkede systemer, der kan udnyttes ved hjælp af gratis værktøjer som Metasploit
-
Web applikationer med svage godkendelsesmekanismer
-
Trådløse trådløse netværk, der gør det muligt for offentligheden at oprette forbindelse til virksomhedens netværksmiljø
-
Bærbare computere uden fuld diskkryptering
-
Mobil enheder med let at revne adgangskoder eller slet ingen adgangskoder
-
Svage eller ingen adgangskoder til databaser og operativsystemer
-
Firewalls, routere og switches med standard eller let gættede adgangskoder
-
Fælles Hacked Ports
-
Fælles porte, som f.eks. TCP port 80 (HTTP) kan være låst ned - men andre havne kan blive overset og være sårbare over for hackere.Sørg for at kontrollere disse almindeligt hackede TCP- og UDP-porte:
-
TCP-port 21 - FTP (File Transfer Protocol)
-
TCP-port 22 - SSH (Secure Shell)
TCP-port 23 - Telnet
TCP port 25 - SMTP (Simple Mail Transfer Protocol)
-
TCP og UDP port 53 - DNS (Domain Name System)
-
TCP port 443 - HTTP (Hypertext Transport Protocol) og HTTPS (HTTP over SSL) < TCP port 110 - POP3 (Post Office Protocol version 3)
-
TCP og UDP port 135 - Windows RPC
-
TCP og UDP porte 137-139 - Windows NetBIOS over TCP / IP
-
TCP port 1433 og UDP port 1434 - Microsoft SQL Server
-
Tips til succesfulde it-sikkerhedsvurderinger
-
Du har brug for succesfulde sikkerhedsvurderinger for at beskytte dine systemer mod hacking. Uanset om du udfører sikkerhedstests mod dine egne systemer eller for tredjemands, skal du være forsigtig og pragmatisk for at lykkes. Disse tips til sikkerhedsvurderinger hjælper dig med at lykkes i din rolle som en informationssikkerhedspersonale:
-
Indstil mål og udvikle en plan, før du kommer i gang.
-
Få tilladelse til at udføre dine tests.
-
Få adgang til de rigtige værktøjer til de opgaver, der er til rådighed.
Test på et tidspunkt, der passer bedst til virksomheden.
Hold nøglespillerne i løkken under testen.
-
Forstå, at det ikke er muligt at registrere
-
alle
-
sikkerhedsproblemer på hvert system.
-
Undersøg ondsindet hacker og uhyggelig insideradfærd og taktik. Jo mere du ved, hvordan de onde arbejder, desto bedre vil du være ved at teste dine systemer for sikkerhedsproblemer.
-
Se ikke over tekniske sikkerhedsproblemer; de udnyttes ofte først.
-
Sørg for, at alle dine test er overbord. Behandle andres fortrolige oplysninger mindst lige så godt som du ville behandle din egen. Giv sårbarhederne opmærksom på ledelsen og gennemføre passende modforanstaltninger så hurtigt som muligt.
-
Behandle ikke alle sårbarheder, der er opdaget på samme måde. Ikke alle svagheder er dårlige. Vurdere sammenhængen mellem de problemer, der er fundet, før du erklærer at himlen falder.
-
Vis ledelse og kunder, at sikkerhedstest er god forretning, og du er den rigtige professionelle til jobbet. Sikkerhedsvurderinger er en investering for at opfylde forretningsmål, finde ud af, hvad der virkelig betyder noget, og overholde de forskellige love og forskrifter -
-
ikke
-
om dumme hacker-spil.
