Contenuto
- Hai davvero bisogno di hacker etici?
- Conoscenza dei metodi degli hacker
- Test penetrativi
- Identificazione delle vulnerabilità
- Preparazione agli attacchi
- Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
- Conclusione
Fonte: Cammeraydave / Dreamstime.com
Porta via:
L'hacking è un'enorme minaccia per le organizzazioni, motivo per cui gli hacker etici sono spesso la soluzione migliore per trovare lacune nella sicurezza.
La natura delle minacce alla sicurezza informatica continua a evolversi. A meno che i sistemi non si evolvano per gestire queste minacce, rimarranno anatre. Sebbene siano necessarie misure di sicurezza convenzionali, è importante ottenere la prospettiva delle persone che possono potenzialmente minacciare i sistemi o gli hacker. Le organizzazioni hanno consentito a una categoria di hacker, noti come hacker etici o white hat, di identificare le vulnerabilità del sistema e fornire suggerimenti su come risolverle. Gli hacker etici, con il consenso esplicito dei proprietari del sistema o delle parti interessate, penetrano nei sistemi per identificare le vulnerabilità e fornire raccomandazioni sul miglioramento delle misure di sicurezza. L'hacking etico rende la sicurezza olistica e completa.
Hai davvero bisogno di hacker etici?
Non è certamente obbligatorio impiegare i servizi di hacker etici, ma i sistemi di sicurezza convenzionali hanno ripetutamente fallito nel fornire una protezione adeguata contro un nemico che cresce in dimensioni e varietà. Con la proliferazione di dispositivi intelligenti e connessi, i sistemi sono costantemente minacciati. In effetti, l'hacking è visto come una strada redditizia finanziariamente, ovviamente a spese delle organizzazioni. Come diceva Bruce Schneier, autore del libro "Proteggi il tuo Macintosh", "L'hardware è facile da proteggere: bloccalo in una stanza, incatenalo a una scrivania o acquista un pezzo di ricambio. Le informazioni rappresentano un problema. Esistono in più di un posto; essere trasportato a metà del pianeta in pochi secondi; e essere rubato a tua insaputa. " Il tuo dipartimento IT, a meno che tu non abbia un budget elevato, può rivelarsi inferiore all'assalto degli hacker e informazioni preziose possono essere rubate prima ancora che te ne accorga. Pertanto, ha senso aggiungere una dimensione alla tua strategia di sicurezza IT assumendo hacker etici che conoscono i modi degli hacker black hat. Altrimenti, la tua organizzazione potrebbe correre il rischio di tenere inconsapevolmente delle lacune nel sistema.
Conoscenza dei metodi degli hacker
Per prevenire l'hacking, è importante capire come pensano gli hacker. I ruoli convenzionali nella sicurezza del sistema possono fare così tanto fino a quando non viene introdotta la mentalità dell'hacker. Ovviamente, i modi degli hacker sono unici e difficili da gestire per i ruoli di sicurezza del sistema convenzionale. Questo pone le basi per l'assunzione di un hacker etico che può accedere al sistema come potrebbe fare un hacker malintenzionato e, sulla strada, scoprire eventuali falle nella sicurezza.
Test penetrativi
Conosciuto anche come test con penna, il test penetrativo viene utilizzato per identificare le vulnerabilità del sistema che un utente malintenzionato può prendere di mira. Esistono molti metodi di test penetrativi. L'organizzazione può utilizzare metodi diversi a seconda delle sue esigenze.
- I test mirati coinvolgono le organizzazioni, le persone e l'hacker. Tutto il personale dell'organizzazione è a conoscenza dell'hacking in corso.
- I test esterni penetrano in tutti i sistemi esposti esternamente come server Web e DNS.
- I test interni scoprono le vulnerabilità aperte agli utenti interni con privilegi di accesso.
- I test ciechi simulano attacchi reali da parte degli hacker.
Ai tester vengono fornite informazioni limitate sul bersaglio, che richiede loro di eseguire la ricognizione prima dell'attacco. I test penetrativi sono il caso più efficace per l'assunzione di hacker etici. (Per saperne di più, vedi Test di penetrazione e delicato equilibrio tra sicurezza e rischio.)
Identificazione delle vulnerabilità
Nessun sistema è completamente immune agli attacchi. Tuttavia, le organizzazioni devono fornire protezione multidimensionale. Il paradigma dell'hacker etico aggiunge una dimensione importante. Un buon esempio è il caso studio di una grande organizzazione nel settore manifatturiero. L'organizzazione conosceva i suoi limiti in termini di sicurezza del sistema, ma non poteva fare molto da sola. Quindi, ha assunto hacker etici per valutare la sicurezza del suo sistema e fornire risultati e raccomandazioni. Il rapporto comprendeva i seguenti componenti: porte più vulnerabili come Microsoft RPC e amministrazione remota, raccomandazioni per il miglioramento della sicurezza del sistema come un sistema di risposta agli incidenti, implementazione completa di un programma di gestione delle vulnerabilità e rendere più complete le linee guida per la protezione.
Preparazione agli attacchi
Gli attacchi sono inevitabili, non importa quanto sia fortificato un sistema. Alla fine un attaccante troverà una vulnerabilità o due. Questo articolo ha già dichiarato che gli attacchi informatici, indipendentemente dalla misura in cui un sistema è fortificato, sono inevitabili. Ciò non significa che le organizzazioni dovrebbero smettere di rafforzare la sicurezza del proprio sistema, anzi, al contrario. Gli attacchi informatici si sono evoluti e l'unico modo per prevenire o ridurre al minimo i danni è una buona preparazione. Un modo per preparare i sistemi contro gli attacchi è consentire agli hacker etici di identificare in anticipo le vulnerabilità.
Ci sono molti esempi di ciò ed è pertinente discutere l'esempio del Dipartimento della sicurezza nazionale degli Stati Uniti (DHS). Il DHS utilizza un sistema estremamente ampio e complesso che memorizza ed elabora enormi volumi di dati riservati. La violazione dei dati è una grave minaccia e equivale a minacciare la sicurezza nazionale. Il DHS ha capito che convincere gli hacker etici a entrare nel suo sistema prima che lo facessero gli hacker era un modo intelligente per aumentare il livello di preparazione. Quindi, è stato approvato l'Hack DHS Act, che consentirebbe a determinati hacker etici di entrare nel sistema DHS. L'atto stabiliva in dettaglio come avrebbe funzionato l'iniziativa. Un gruppo di hacker etici verrebbe assunto per entrare nel sistema DHS e identificare eventuali vulnerabilità. Per ogni nuova vulnerabilità identificata, gli hacker etici sarebbero ricompensati finanziariamente. Gli hacker etici non sarebbero soggetti ad azioni legali a causa delle loro azioni, anche se dovrebbero lavorare con determinati vincoli e linee guida. L'atto ha anche reso obbligatorio per tutti gli hacker etici che partecipano al programma passare un controllo approfondito del background. Come il DHS, le organizzazioni di fama hanno assunto hacker etici per aumentare il livello di preparazione alla sicurezza del sistema da molto tempo. (Per ulteriori informazioni sulla sicurezza in generale, consultare I 7 principi di base della sicurezza IT.)
Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.
Conclusione
Sia l'hacking etico che la sicurezza IT convenzionale devono lavorare insieme per proteggere i sistemi aziendali. Tuttavia, le aziende devono elaborare la propria strategia verso l'hacking etico. Probabilmente possono prendere una foglia dalla politica DHS verso l'hacking etico. Il ruolo e la portata degli hacker etici devono essere chiaramente definiti; è importante che l'impresa mantenga controlli ed equilibri in modo che l'hacker non superi l'ambito del lavoro o causi danni al sistema. L'impresa deve anche fornire agli hacker etici la garanzia che nessuna azione legale sarebbe intrapresa in caso di violazione come definito dal loro contratto.