Indholdsfortegnelse:
Video: What is ethical hacking? 2024
Etisk hacking - som omfatter formel og metodisk penetrationstestning, hvidhatteknitning og sårbarhedsprøvning - involverer de samme værktøjer, tricks og teknikker, som kriminelle hackere bruger, men med en stor forskel: Etisk hacking udføres med målets tilladelse i en professionel indstilling.
Formålet med etisk hacking er at opdage sårbarheder fra en ondsindet angriberens synspunkt for at sikre bedre systemer. Etisk hacking er en del af et overordnet informationsrisikostyringsprogram, der giver mulighed for løbende sikkerhedsforbedringer. Etisk hacking kan også sikre, at leverandørernes krav om deres produkters sikkerhed er legitime.
Etisk hacking versus audits
Mange mennesker forvirrer etisk hacking med sikkerhedsrevision, men der er store forskelle. Sikkerhedsrevision indebærer at sammenligne en virksomheds sikkerhedspolitikker med det, der rent faktisk finder sted. Formålet med sikkerhedsrevision er at validere, at sikkerhedskontrol eksisterer - typisk ved hjælp af en risikobaseret tilgang. Revision omfatter ofte gennemgang af forretningsprocesser og kan i mange tilfælde ikke være meget teknisk. Ikke alle revisioner er dette højt niveau, men flertallet er ret simplistisk.
Omvendt fokuserer etisk hacking på sårbarheder, der kan udnyttes. Det bekræfter, at sikkerhedskontrollerne ikke eksisterer eller er ineffektive i bedste fald. Etisk hacking kan både være højt teknisk og ikke-teknologisk, og selv om du bruger en formel metode, har den tendens til at være lidt mindre struktureret end formel revision.
Hvis der fortsat sker revision i din organisation, kan du overveje at integrere etiske hackingsteknikker i dit it-revisionsprogram. De supplerer hinanden rigtig godt.
Politiske overvejelser
Hvis du vælger at gøre etisk hacking en vigtig del af din virksomheds risikostyringsprogram, skal du virkelig have en dokumenteret sikkerhedstestpolitik. En sådan politik beskriver den type etisk hacking, der er gjort, hvilke systemer (som servere, webapplikationer, bærbare computere osv.) Testes, og hvor ofte testen udføres.
Du kan også overveje at oprette et sikkerhedsstandarddokument, der beskriver de specifikke sikkerhedsprøvningsværktøjer, der bruges, og specifikke datoer, som dine systemer testes hvert år. Du kan angive standard test datoer, som en gang pr. Kvartal for eksterne systemer og halvårlige tests for interne systemer - uanset hvad der virker for din virksomhed.
Overholdelse og lovgivningsmæssige bekymringer
Dine egne interne politikker kan diktere, hvordan ledelsen ser sikkerhedsprøvning, men du skal også overveje de statslige, føderale og globale love og forskrifter, der påvirker din virksomhed.
Mange af de føderale love og forskrifter i USA - såsom HIPAA, Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), CIP-krav fra Nordamerikanske Electric Reliability Corporation (NERC) og Betalingskort Industri Datasikkerhedsstandard (PCI DSS) - kræver stærke sikkerhedskontroller og konsekvente sikkerhedsevalueringer.
Relaterede internationale love, såsom den canadiske lovgivning om personlig information om beskyttelse af personlige oplysninger (PIPEDA), EU's databeskyttelsesdirektiv og Japans personoplysningerbeskyttelseslov (JPIPA), er ikke forskellige. Inddragelse af dine etiske hackingstest i disse overholdelseskrav er en fantastisk måde at opfylde de statslige og føderale regler på og øge dit overordnede privatlivs- og sikkerhedsprogram.
