Inhaltsverzeichnis:
Video: Die Wahrheit: Ende der Illusion - Hörbuch (Stefan Molyneux) - Das Buch das DEIN LEBEN verändert 2024
Sie brauchen Schutz vor Hacker-Angriffen; Sie müssen so versiert sein wie die Jungs, die versuchen, Ihre Systeme anzugreifen. Ein echter Security Assessment Professional verfügt über die Fähigkeiten, Denkweisen und Tools eines Hackers, ist aber auch vertrauenswürdig. Er oder sie führt die Hacks als Sicherheitstests gegen Systeme durch, die darauf basieren, wie Hacker arbeiten könnten.
Ethisches Hacking - das formale und methodische Penetrationstests, White Hat-Hacking und Schwachstellentests umfasst - beinhaltet die gleichen Tools, Tricks und Techniken wie kriminelle Hacker, jedoch mit einem wesentlichen Unterschied: Ethisches Hacken wird mit der Erlaubnis des Ziels durchgeführt in einem professionellen Umfeld. Die Absicht des ethischen Hackens besteht darin, Schwachstellen vom Standpunkt eines böswilligen Angreifers aus zu entdecken, um Systeme besser zu schützen. Ethisches Hacking ist Teil eines umfassenden Information Risk Management-Programms, das kontinuierliche Sicherheitsverbesserungen ermöglicht. Ethisches Hacken kann auch sicherstellen, dass die Behauptungen der Anbieter über die Sicherheit ihrer Produkte legitim sind.
Wenn Sie Ethik-Hacking-Tests durchführen und Ihren Anmeldeinformationen eine weitere Zertifizierung hinzufügen möchten, sollten Sie erwägen, ein Certified Ethical Hacker (CEH) durch ein vom EC-Council gefördertes Zertifizierungsprogramm zu werden. Wie der Certified Information Systems Security Professional (CISSP) ist die CEH-Zertifizierung zu einer bekannten und anerkannten Zertifizierung in der Branche geworden. Es ist sogar vom American National Standards Institute (ANSI 17024) akkreditiert.
Weitere Optionen sind das Global Information Assurance Certification (GIAC) -Programm von SANS und das OSCP-Programm (Offensive Security Certified Professional) - eine vollständig praxisnahe Zertifizierung von Sicherheitstests. Allzu oft haben Menschen, die diese Art von Arbeit verrichten, nicht die richtige praktische Erfahrung, um es gut zu machen.
Ethisches Hacken versus Auditing
Viele Leute verwechseln Sicherheitstests über den ethischen Hacking-Ansatz mit Sicherheitsaudits, aber es gibt große Unterschiede, nämlich in den Zielen. Bei der Sicherheitsüberprüfung werden die Sicherheitsrichtlinien (oder Compliance-Anforderungen) eines Unternehmens mit dem verglichen, was tatsächlich stattfindet. Die Absicht der Sicherheitsüberprüfung besteht darin, zu bestätigen, dass Sicherheitskontrollen vorhanden sind - üblicherweise unter Verwendung eines risikobasierten Ansatzes. Auditing beinhaltet häufig die Überprüfung von Geschäftsprozessen und ist in vielen Fällen nicht sehr technisch. Sicherheitsaudits basieren normalerweise auf Checklisten.
Nicht alle Audits sind auf hoher Ebene, aber viele (insbesondere im Zusammenhang mit PCI DSS) sind recht simpel - häufig von Leuten durchgeführt, die keinen technischen Computer, Netzwerk, und Anwendungserfahrung oder, schlimmer, arbeiten sie außerhalb der IT insgesamt!
Umgekehrt konzentrieren sich Sicherheitsbewertungen, die auf ethischem Hacken basieren, auf Schwachstellen, die ausgenutzt werden können. Dieser Testansatz bestätigt, dass Sicherheitskontrollen nicht existieren oder bestenfalls ineffektiv sind. Ethisches Hacken kann sowohl hochtechnisch als auch nichttechnisch sein, und obwohl Sie eine formale Methodik verwenden, ist es tendenziell weniger strukturiert als formales Auditing.
Wenn Auditing erforderlich ist (z. B. für die ISO 9001- und 27001-Zertifizierungen) in Ihrem Unternehmen, sollten Sie möglicherweise ethische Hacking-Techniken in Ihr IT- / Sicherheits-Audit-Programm integrieren. Sie ergänzen sich sehr gut.
Richtlinienüberlegungen
Wenn Sie sich dafür entscheiden, ethisches Hacken zu einem wichtigen Bestandteil des Informationsrisikomanagementprogramms Ihres Unternehmens zu machen, benötigen Sie wirklich eine dokumentierte Sicherheitstestrichtlinie. Eine solche Richtlinie gibt einen Überblick darüber, wer die Tests durchführt, welche Art von Tests durchgeführt wird und wie oft die Tests stattfinden.
Sie können auch ein Dokument mit Sicherheitsstandards erstellen, in dem die spezifischen Sicherheits-Test-Tools beschrieben sind, die verwendet werden, sowie bestimmte Personen, die die Tests durchführen. Sie können auch Standardtestdaten aufführen, beispielsweise einmal pro Quartal für externe Systeme und alle zwei Jahre für interne Systeme - was auch immer für Ihr Unternehmen funktioniert.
Compliance- und regulatorische Belange
Ihre eigenen internen Richtlinien können bestimmen, wie das Management Sicherheitstests durchführt, aber Sie müssen auch die staatlichen, bundesstaatlichen und internationalen Gesetze und Vorschriften berücksichtigen, die Ihr Unternehmen betreffen. Insbesondere das Digital Millennium Copyright Act (DMCA) schreckt die Stacheln legitimer Forscher herunter.
Viele der Bundesgesetze und -verordnungen in den Vereinigten Staaten - wie das Krankenversicherungs-Portabilitäts- und Rechenschaftsgesetz (HIPAA), das Gesundheitsinformationstechnologiegesetz für wirtschaftliche und klinische Gesundheit (HITECH), das Gramm-Leach-Bliley-Gesetz (GLBA), Anforderungen der Critical Infrastructure Protection (CIP) der nordamerikanischen Electric Reliability Corporation (NERC) und PCI DSS - erfordern strenge Sicherheitskontrollen und konsistente Sicherheitsbewertungen. Auch verwandte internationale Gesetze wie das kanadische Gesetz zum Schutz personenbezogener Daten und elektronische Dokumente (PIPEDA), die Datenschutzrichtlinie der Europäischen Union und das Japanische Gesetz zum Schutz personenbezogener Daten (JPIPA) unterscheiden sich nicht davon.
Die Integration Ihrer Sicherheitstests in diese Compliance-Anforderungen ist eine großartige Möglichkeit, die staatlichen und bundesstaatlichen Vorschriften einzuhalten und Ihr umfassendes Informationssicherheits- und Datenschutzprogramm zu verbessern.
