Content
- Realment necessiteu pirates informàtics ètics?
- Coneixement dels mètodes dels pirates informàtics
- Prova Penetrativa
- Identificació de vulnerabilitats
- Preparació dels atacs
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- Conclusió
Font: Cammeraydave / Dreamstime.com
Emportar:
La pirateria és una enorme amenaça per a les organitzacions, és per això que els pirates informàtics ètics solen ser la millor solució per trobar buits de seguretat.
La naturalesa de les amenaces de ciberseguretat continua evolucionant. Si no evolucionen els sistemes per gestionar aquestes amenaces, seran ànecs asseguts. Si bé són necessàries les mesures de seguretat convencionals, és important obtenir la perspectiva de les persones que poden amenaçar els sistemes o els pirates informàtics. Les organitzacions han permès a una categoria de pirates informàtics, coneguts com a hackers ètics o de barret blanc, identificar les vulnerabilitats del sistema i proporcionar suggeriments sobre com solucionar-los. Els pirates informàtics ètics, amb el consentiment exprés dels propietaris del sistema o les parts interessades, penetren en els sistemes per identificar les vulnerabilitats i proporcionen recomanacions sobre la millora de les mesures de seguretat. La pirateria ètica fa que la seguretat sigui integral i integral.
Realment necessiteu pirates informàtics ètics?
És cert que no és obligatori emprar els serveis de pirates informàtics ètics, però els sistemes de seguretat convencionals han aconseguit repetidament proporcionar una protecció adequada contra un enemic que creix en grandària i varietat. Amb la proliferació de dispositius intel·ligents i connectats, els sistemes estan constantment amenaçats. De fet, la pirateria és vista com una via lucrativa econòmicament, per descomptat a costa d’organitzacions. Com va dir Bruce Schneier, autor del llibre "Protect Your Macintosh", "El maquinari és fàcil de protegir: tancar-lo a una habitació, encadenar-lo a un escriptori o comprar un recanvi. La informació suposa més d'un problema. Pot existir. en més d'un lloc; siguin transportats a mig camí del planeta en qüestió de segons; siguin robats sense el vostre coneixement. " Si no teniu un gran pressupost, el vostre departament informàtic pot resultar inferior a la vaga de pirates informàtics i es pot robar informació valuosa abans que fins i tot se n'adonin. Per tant, té sentit afegir una dimensió a la vostra estratègia de seguretat informàtica contractant hackers ètics que coneixen les maneres dels hackers de barret negre. En cas contrari, la vostra organització podria córrer el risc de mantenir, sense saber-ho, les espitlleres obertes al sistema.
Coneixement dels mètodes dels pirates informàtics
Per evitar la pirateria, és important comprendre com pensen els hackers. Els rols convencionals en la seguretat del sistema només poden fer-ho fins que s’hagi d’introduir la mentalitat del pirata informàtic. Evidentment, les maneres de pirates informàtics són úniques i difícils de manejar per a les funcions de seguretat del sistema convencionals. Això dóna lloc a la contractació d’un pirata informàtic ètic que pugui accedir al sistema com un pirata informàtic maliciós i, pel camí, descobrir les llacunes de seguretat.
Prova Penetrativa
També coneguda com a test de ploma, les proves penetratives s’utilitzen per identificar les vulnerabilitats del sistema que poden atacar un atacant. Hi ha molts mètodes de proves penetratives. L'organització pot utilitzar diferents mètodes segons els seus requisits.
- Les proves dirigides involucren a les organitzacions i al pirata informàtic. El personal de l'organització sap tot sobre la pirateria pirata.
- Les proves externes penetren a tots els sistemes exposats externament com ara servidors web i DNS.
- La prova interna revela vulnerabilitats obertes a usuaris interns amb privilegis d’accés.
- Les proves a cegues simulen atacs reals de pirates informàtics.
Els provadors reben informació limitada sobre l'objectiu, que requereix que realitzin reconeixement abans de l'atac. Les proves penetratives són el cas més fort per contractar pirates informàtics ètics. (Per obtenir més informació, vegeu Prova de penetració i l'equilibri delicat entre seguretat i risc.)
Identificació de vulnerabilitats
Cap sistema no és completament immune als atacs. Tot i així, les organitzacions han de proporcionar una protecció multidimensional. El paradigma dels pirates informàtics ètics afegeix una dimensió important. Un bon exemple és l’estudi de cas d’una gran organització en l’àmbit fabril. L’organització coneixia les seves limitacions quant a la seguretat del sistema, però no podia fer molt per si mateixa. Per tant, va contractar pirates informàtics ètics per avaluar la seva seguretat del sistema i proporcionar-ne les conclusions i recomanacions. L’informe comprenia els components següents: ports més vulnerables com ara Microsoft RPC i administració remota, recomanacions de millora de la seguretat del sistema com ara un sistema de resposta a incidents, desplegament complet d’un programa de gestió de vulnerabilitats i complimentar les directrius d’enduriment.
Preparació dels atacs
Els atacs són inevitables, per molt que sigui un sistema fortificat. Finalment, un atacant trobarà una vulnerabilitat o dos. Aquest article ja va afirmar que els ciberataques, independentment de l'extensió del sistema en què s'enforteixi, són inevitables. Això no significa que les organitzacions hagin de deixar de reforçar la seguretat del seu sistema, tot el contrari. Els ciberataques han evolucionat i l’única manera de prevenir o minimitzar els danys és la bona preparació. Una forma de preparar sistemes contra atacs és permetre que els hackers ètics identifiquin prèviament les vulnerabilitats.
Hi ha molts exemples d'això i és pertinent discutir l'exemple del Departament de Seguretat Nacional dels EUA (DHS). El DHS utilitza un sistema extremadament gran i complex, que tant emmagatzema i processa grans volums de dades confidencials. La violació de dades és una amenaça greu i suposa una amenaça per a la seguretat nacional. El DHS es va adonar que aconseguir que els hackers ètics entressin al seu sistema abans que els hackers de barret negre ho fessin era una manera intel·ligent d’elevar el nivell de preparació. Per tant, es va aprovar la Llei de DHS de Hack, que permetria als hackers ètics selectius entrar en el sistema DHS. L'acte va detallar com funcionaria la iniciativa. Es contractaria un grup de pirates d’ètica ètics per entrar al sistema DHS i identificar vulnerabilitats, si n’hi ha. Per a qualsevol nova vulnerabilitat identificada, els hackers ètics serien recompensats econòmicament. Els pirates informàtics ètics no podrien ser objecte d’accions legals a causa de les seves accions, tot i que haurien de treballar sota determinades restriccions i directrius. L'acte també va fer obligatori que tots els pirates informàtics ètics que participessin en el programa passessin per una revisió completa de fons. Igual que DHS, les organitzacions de renom han estat contractant hackers ètics per augmentar el nivell de preparació per a la seguretat del sistema durant molt de temps. (Per obtenir més informació sobre seguretat en general, vegeu Els 7 principis bàsics de la seguretat informàtica.)
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
Conclusió
Tant la pirateria ètica com la seguretat informàtica convencional han de treballar junts per protegir els sistemes empresarials. Tanmateix, les empreses han de desenvolupar la seva estratègia de pirateria ètica. Probablement poden treure un full de la política de DHS cap a la pirateria ètica. Cal definir clarament el paper i l’abast dels pirates informàtics ètics; és important que l’empresa mantingui els controls i els saldos perquè el pirata informàtic no superi l’àmbit de treball ni causi cap dany al sistema. L'empresa també ha de proporcionar als pirates informàtics ètics la garantia que no es podrien emprendre accions legals en cas de violació definida pel contracte.