Zuhause Persönliche Finanzen Teststandards für Ihre ethischen Hacks erstellen - Dummies

Teststandards für Ihre ethischen Hacks erstellen - Dummies

Inhaltsverzeichnis:

Video: Spicken in der Schule ? Spicker verstecken ? Spickertipps Teil 1 | Spicker für die Schule 2025

Video: Spicken in der Schule ? Spicker verstecken ? Spickertipps Teil 1 | Spicker für die Schule 2025
Anonim

Ein Missverständnis oder Fehler in Ihren Teststandards kann dazu führen, dass die Systeme während des Tests abstürzen. Ihre ethischen Hacking-Tests. Niemand will, dass das passiert. Um Missgeschicke zu vermeiden, entwickeln und dokumentieren Sie Teststandards. Diese Standards sollten Folgendes enthalten:

  • Wenn die Tests durchgeführt werden, zusammen mit der Gesamtzeitlinie

  • Welche Tests werden durchgeführt

  • Wie viele Kenntnisse über die Systeme, die Sie im Voraus erwerben

  • Wie die Tests durchgeführt werden und von welcher Quelle IP-Adressen

  • Was Sie tun, wenn eine schwerwiegende Schwachstelle entdeckt wird

Zeit für Ihre Tests

Dies gilt insbesondere für ethische Hacking-Tests.. Stellen Sie sicher, dass die von Ihnen durchgeführten Tests die Unterbrechung von Geschäftsprozessen, Informationssystemen und Personen minimieren. Sie möchten schädliche Situationen vermeiden, wie z. B. Fehlkommunikation des Zeitpunkts von Tests und DoS-Angriffe gegen eine E-Commerce-Website mit hohem Datenaufkommen mitten am Tag oder Durchführen von Passwort-Knack-Tests mitten in der Nacht.

Selbst Personen in verschiedenen Zeitzonen können Probleme verursachen. Jeder im Projekt muss sich auf einen detaillierten Zeitplan einigen, bevor Sie beginnen. Die Zustimmung der Teammitglieder bringt alle auf die gleiche Seite und setzt die richtigen Erwartungen.

Ihre Testzeitachse sollte spezifische kurzfristige Daten und Uhrzeiten für jeden Test, das Start- und Enddatum sowie alle spezifischen Meilensteine ​​dazwischen enthalten. Sie können Ihre Zeitachse in einem einfachen Tabellenkalkulations- oder Gantt-Diagramm erstellen und eingeben, oder Sie können die Zeitachse als Teil Ihres ursprünglichen Kundenvorschlags und -vertrags einfügen. Ihre Zeitachse kann auch Arbeitsstrukturpläne in einem größeren Projektplan sein.

Ausführen spezifischer Tests

Möglicherweise wurde Ihnen die Durchführung eines allgemeinen Penetrationstests vorgeworfen, oder Sie möchten bestimmte Tests durchführen, z. Zugriff auf eine Webanwendung. Oder Sie führen einen Social-Engineering-Test durch oder bewerten Windows im Netzwerk.

Wie auch immer Sie testen, Sie möchten vielleicht nicht die Besonderheiten des Tests offenlegen. Selbst wenn Ihr Manager oder Kunde keine detaillierten Aufzeichnungen über Ihre Tests benötigt, dokumentieren Sie, was Sie auf einem hohen Niveau tun. Wenn Sie Ihre Tests dokumentieren, können Sie potenzielle Missverständnisse vermeiden.

Möglicherweise kennen Sie die allgemeinen Tests, die Sie durchführen, aber wenn Sie automatisierte Tools verwenden, kann es unmöglich sein, jeden Test zu verstehen, den Sie vollständig durchführen. Dies gilt insbesondere dann, wenn die von Ihnen verwendete Software bei jeder Ausführung Echtzeit-Schwachstellen-Updates und Patches vom Anbieter erhält.Das Potenzial für häufige Aktualisierungen unterstreicht die Bedeutung des Lesens der Dokumentation und der Dateien, die mit den von Ihnen verwendeten Tools geliefert werden.

Blind versus Knowledge Assessments

Einige Kenntnisse über die Systeme, die Sie testen, sind vielleicht eine gute Idee, aber sie sind nicht erforderlich. Aber ein grundlegendes Verständnis der Systeme, die Sie hacken, kann Sie und andere schützen. Das Erlangen dieses Wissens sollte nicht schwierig sein, wenn Sie Ihre eigenen Inhouse-Systeme hacken.

Wenn Sie die Systeme eines Kunden hacken, müssen Sie möglicherweise ein wenig tiefer in die Funktionsweise der Systeme eingreifen, damit Sie mit ihnen vertraut sind. Das bedeutet nicht, dass blinde Bewertungen nicht wertvoll sind, aber die Art der Bewertung, die Sie durchführen, hängt von Ihren spezifischen Bedürfnissen ab.

Der beste Ansatz ist das Planen von unbegrenzten -Angriffen, wobei jeder beliebige Test möglich ist, möglicherweise sogar DoS-Tests.

Überlegen Sie, ob die Tests so durchgeführt werden sollten, dass sie von Netzwerkadministratoren und allen verwalteten Sicherheitsdienstanbietern nicht erkannt werden. Obwohl dies nicht erforderlich ist, sollte diese Vorgehensweise in Betracht gezogen werden, insbesondere für Tests im Bereich Social Engineering und physische Sicherheit.

Speicherort

Die Tests, die Sie ausführen, legen fest, wo Sie sie ausführen müssen. Ihr Ziel ist es, Ihre Systeme an Orten zu testen, die für böswillige Hacker oder Mitarbeiter zugänglich sind. Sie können nicht vorhersagen, ob Sie von jemandem innerhalb oder außerhalb Ihres Netzwerks angegriffen werden, also decken Sie alle Ihre Basen ab. Kombinieren Sie externe Tests und interne Tests.

Sie können einige Tests durchführen, z. B. das Kennzeichnen von Kennwörtern und die Beurteilung der Netzwerkinfrastruktur von Ihrem Büro aus. Bei externen Hacks, für die eine Netzwerkverbindung erforderlich ist, müssen Sie möglicherweise extern arbeiten oder einen externen Proxyserver verwenden. Die Schwachstellen-Scanner einiger Sicherheitsanbieter werden von der Cloud aus ausgeführt, was auch funktionieren würde.

Noch besser: Wenn Sie Ihrem Computer eine öffentliche IP-Adresse zuweisen können, schließen Sie sich einfach an das Netzwerk an der Außenseite der Firewall an, um aus der Hackerperspektive Ihre Systeme zu sehen. Interne Tests sind einfach, weil Sie nur physischen Zugriff auf das Gebäude und das Netzwerk benötigen. Möglicherweise können Sie bereits eine DSL-Leitung oder ein Kabelmodem für Besucher und ähnliche Benutzer verwenden.

Reagieren auf gefundene Schwachstellen

Bestimmen Sie im Voraus, ob Sie aufhören oder weitermachen, wenn Sie eine kritische Sicherheitslücke finden. Sie müssen nicht für immer hacken oder bis Sie alle Systeme abstürzen. Folge einfach dem Pfad, auf dem du bist, bis du ihn nicht mehr hacken kannst. Im Zweifelsfall ist es am besten, ein bestimmtes Ziel vor Augen zu haben und dann zu stoppen, wenn dieses Ziel erreicht wurde.

Wenn Sie ein großes Loch entdecken, wenden Sie sich so schnell wie möglich an die richtigen Personen, damit diese das Problem sofort beheben können. Die richtigen Leute können Softwareentwickler, Produkt- oder Projektmanager oder sogar CIOs sein. Wenn Sie einige Tage oder Wochen warten, kann jemand die Sicherheitsanfälligkeit ausnutzen und Schäden verursachen, die hätten verhindert werden können.

Dumme Annahmen

Du hast gehört, was du aus dir machst, wenn du Dinge annimmst. Trotzdem machen Sie Annahmen, wenn Sie ein System hacken.Hier einige Beispiele für diese Annahmen:

  • Computer, Netzwerke und Personen sind verfügbar, wenn Sie testen.

  • Sie haben alle geeigneten Testwerkzeuge.

  • Die von Ihnen verwendeten Testwerkzeuge minimieren die Wahrscheinlichkeit, dass die getesteten Systeme abstürzen.

  • Sie kennen die Wahrscheinlichkeit, dass vorhandene Schwachstellen nicht gefunden wurden oder dass Sie Ihre Testwerkzeuge falsch verwendet haben.

  • Sie kennen die Risiken Ihrer Tests.

Dokumentieren Sie alle Annahmen und lassen Sie sich von der Geschäftsleitung oder Ihrem Kunden als Teil Ihres gesamten Genehmigungsprozesses abmelden.

Teststandards für Ihre ethischen Hacks erstellen - Dummies

Die Wahl des Herausgebers

Wie man Dateien in C ++ kopiert - Dummies

Wie man Dateien in C ++ kopiert - Dummies

Ah, eine Datei kopieren - etwas so einfaches, es passiert alles Zeit. Kopiere diese Datei dorthin; Kopieren Sie diese Datei hier. Aber was genau passiert, wenn Sie eine Datei kopieren? Sie erstellen tatsächlich eine neue Datei und füllen diese mit dem gleichen Inhalt wie die Originaldatei. Und wie machst du das? Nun, ...

Anleitung zum Erstellen eines Verzeichnisses in C ++ - Dummies

Anleitung zum Erstellen eines Verzeichnisses in C ++ - Dummies

Wenn Sie ein Verzeichnis erstellen möchten, können Sie das MKdir Funktion. Wenn die Funktion das Verzeichnis für Sie erstellen kann, gibt sie eine 0 zurück. Andernfalls wird ein Wert ungleich Null zurückgegeben. (Wenn Sie es ausführen, erhalten Sie eine -1, aber Ihre beste Wette - immer - ist es, gegen 0 zu testen.) Hier ist einige ...

Wie man eine einfache mathematische Vorlage in C ++ - Dummies

Wie man eine einfache mathematische Vorlage in C ++ - Dummies

Mit einer mathematischen Vorlage erstellt, die man normalerweise benötigt Zugriff auf eine Vielzahl von Berechnungen, aber nur jeweils eine oder zwei dieser Berechnungen. Zum Beispiel, wenn jemand Ihre Hypothek berechnet, muss er die Amortisationsrechnung nicht kennen. Die Person kann jedoch die Amortisationsberechnung benötigen, wenn Sie mit ...

Die Wahl des Herausgebers

ASVAB: Lesen für die Studie - Dummies

ASVAB: Lesen für die Studie - Dummies

Lesen für die Zwecke des Studiums der ASVAB ist eine andere Art des Lesens. Leseverständnis erfordert nur, dass Sie Informationen lange genug im Kurzzeitgedächtnis speichern, um einige Sekunden später eine Frage zu beantworten. Zum Lesen für die Zwecke des Studiums müssen Sie wichtige Informationen in Ihr Langzeitgedächtnis einpflegen - ...

ASVAB Mathematik Wissenspraxis: Ungleichungen - Dummies

ASVAB Mathematik Wissenspraxis: Ungleichungen - Dummies

Als wäre Algebra nicht anspruchsvoll genug, einige Fragen zur Der Subtest Mathematik auf dem ASVAB wird auch eine Ungleichheit einwerfen - nur um sicherzustellen, dass Sie aufmerksam sind. Wie erkennst du eine Ungleichheit? Halten Sie Ausschau nach Fragen mit mehr als oder weniger als Symbolen oder nach Graphen, die eine Zahlenlinie mit einem ...

ASVAB Mathematische Wissenspraxis: Fraktionen - Dummies

ASVAB Mathematische Wissenspraxis: Fraktionen - Dummies

Der Subtest Mathematikwissen auf dem ASVAB wird Fragen beinhalten, die Sie fragen mit Teilen eines Ganzen oder Fraktionen arbeiten. Diese Fragen können das Multiplizieren, Dividieren, Addieren, Subtrahieren und Konvertieren von Brüchen beinhalten, ähnlich den folgenden Übungsfragen. Übungsfragen Welche Fraktionen sind nicht gleichwertig? Gegeben einfach den Ausdruck. Antworten und Erklärungen Das richtige ...

Die Wahl des Herausgebers

Hinzufügen von Flash-Audio- und Videodateien in Dreamweaver - Dummies

Hinzufügen von Flash-Audio- und Videodateien in Dreamweaver - Dummies

Adobe besitzt sowohl Flash als auch Dreamweaver Daher finden Sie großartige Unterstützung für Flash-Dateien in Dreamweaver. Das Dialogfeld "FLV einfügen" erleichtert das Festlegen von Parametern für Flash. Dreamweaver erkennt sogar automatisch die Größe von Flash-Videodateien. Sie können Flash auch zum Erstellen und Einfügen von Audiodateien verwenden, wobei nur der Player angezeigt wird.

Einstellen von Bildhelligkeit und -kontrast in Dreamweaver - Dummies

Einstellen von Bildhelligkeit und -kontrast in Dreamweaver - Dummies

Dreamweaver bietet Werkzeuge zum Erstellen von Bildern Einstellungen, einschließlich der Helligkeit und des Kontrastes. Durch die Anpassung der Bildhelligkeit können Sie die Gesamtlichtmenge in einem Bild ändern. Kontrast steuert den Unterschied zwischen hellen und dunklen Bereichen eines Bildes. Wenn Sie die Dreamweaver-Bearbeitungswerkzeuge verwenden, wird das Bild dauerhaft geändert, wenn die Seite ...

Hinzufügen von Bildern zu Ihrer Website in Dreamweaver - Dummies

Hinzufügen von Bildern zu Ihrer Website in Dreamweaver - Dummies

Wenn Sie Ihrer Website ein Bild hinzufügen, erscheint anfangs fast magisch, weil der Prozess mit Dreamweaver so einfach ist. Die Herausforderung bei Webgrafiken besteht darin, sie nicht zu Ihren Seiten hinzuzufügen, sondern gut aussehende Bilder zu erstellen, die schnell im Browser Ihres Viewers geladen werden. Sie benötigen ein anderes Programm wie Photoshop, Photoshop Elements oder Fireworks, um ...