Zuhause Persönliche Finanzen Einstellen der Stufe für Sicherheitstests - Dummies

Einstellen der Stufe für Sicherheitstests - Dummies

Video: Rasendünger verteilen: Wie ein Streuwagen beim Rasendüngen hilft | GARDENA Streuwagen 2025

Video: Rasendünger verteilen: Wie ein Streuwagen beim Rasendüngen hilft | GARDENA Streuwagen 2025
Anonim

In der Vergangenheit beinhalteten viele Sicherheitsbewertungsverfahren im ethischen Hacken manuelle Prozesse. Bestimmte Schwachstellen-Scanner können nun verschiedene Aufgaben automatisieren, vom Testen über die Berichterstattung bis zur Validierung der Fehlerbehebung (der Prozess zur Feststellung, ob eine Sicherheitsanfälligkeit behoben wurde). Einige Schwachstellen-Scanner können Ihnen sogar helfen, Korrekturmaßnahmen zu ergreifen. Mit diesen Tools können Sie sich auf die Durchführung der Tests und weniger auf die spezifischen Schritte konzentrieren.

Wenn Sie jedoch eine allgemeine Methodologie anwenden und verstehen, was hinter den Kulissen vor sich geht, können Sie die Dinge finden, die wirklich wichtig sind.

Denken Sie logisch - wie ein Programmierer, ein Radiologe oder ein Hausinspektor -, um alle Systemkomponenten zu analysieren und mit ihnen zu interagieren, um zu sehen, wie sie funktionieren. Sie sammeln Informationen, oft in vielen kleinen Stücken, und bauen die Teile des Puzzles zusammen. Sie beginnen bei Punkt A mit mehreren Zielen, führen Ihre Tests durch (wiederholen Sie viele Schritte auf dem Weg) und bewegen sich näher, bis Sie Sicherheitslücken in Punkt B entdecken.

Der für diesen Test verwendete Prozess ist im Grunde derselbe wie der, den ein böswilliger Angreifer verwenden würde. Die primären Unterschiede liegen in den Zielen und wie Sie sie erreichen. Heutige Angriffe können aus jedem Winkel gegen jedes System erfolgen, nicht nur aus dem Umkreis Ihres Netzwerks und aus dem Internet, wie Sie vielleicht in der Vergangenheit gelernt haben.

Testen Sie alle möglichen Einstiegspunkte, einschließlich Partner-, Anbieter- und Kundennetzwerke sowie Heimanwender, drahtlose Netzwerke und mobile Geräte. Jeder Mensch, jedes Computersystem oder jede physische Komponente, die Ihre Computersysteme schützt - sowohl innerhalb als auch außerhalb Ihrer Gebäude - ist ein faires Angriffsspiel und muss schließlich getestet werden.

Wenn Sie mit den Tests beginnen, sollten Sie ein Protokoll der von Ihnen durchgeführten Tests, der von Ihnen verwendeten Tools, der von Ihnen getesteten Systeme und Ihrer Ergebnisse führen. Mithilfe dieser Informationen können Sie Folgendes tun:

  • Verfolgen Sie, was in früheren Tests funktioniert hat und warum.

  • Helfen Sie zu beweisen, was Sie getan haben.

  • Korrelieren Sie Ihre Tests mit Firewalls und Intrusion Prevention-Systemen (IPS) und anderen Protokolldateien, wenn Probleme oder Fragen auftreten.

  • Dokumentieren Sie Ihre Ergebnisse.

Zusätzlich zu den allgemeinen Hinweisen ist es sehr hilfreich, wann immer möglich Screenshots Ihrer Ergebnisse (mit Snagit, Camtasia oder einem ähnlichen Tool) zu machen. Diese Aufnahmen sind später nützlich, wenn Sie einen Beweis für das Geschehen zeigen müssen, und sie sind auch nützlich, wenn Sie Ihren Abschlussbericht erstellen.Abhängig von den von Ihnen verwendeten Tools sind diese Screenshots möglicherweise auch der einzige Hinweis auf Schwachstellen oder Exploits, wenn es darum geht, Ihren endgültigen Bericht zu schreiben.

Ihre Hauptaufgabe besteht darin, die Sicherheitslücken zu finden und die Informationsbeschaffung und Systemkompromittierungen zu simulieren, die von jemandem mit böswilliger Absicht ausgeführt werden. Diese Aufgabe kann ein teilweiser Angriff auf einen Computer sein oder ein umfassender Angriff auf das gesamte Netzwerk sein.

Im Allgemeinen suchen Sie nach Schwachstellen, die böswillige Benutzer und externe Angreifer ausnutzen könnten. Sie sollten sowohl externe als auch interne Systeme (einschließlich Prozessen und Prozeduren, die Computer, Netzwerke, Personen und physische Infrastrukturen betreffen) bewerten. Suchen Sie nach Schwachstellen. Überprüfen Sie, wie alle Ihre Systeme miteinander verbunden sind und wie private Systeme und Informationen vor nicht vertrauenswürdigen Elementen geschützt sind (oder nicht).

Diese Schritte enthalten keine spezifischen Informationen zu den Methoden, die Sie für Social Engineering verwenden, und zur Bewertung der physischen Sicherheit, aber die Techniken sind grundsätzlich dieselben.

Wenn Sie eine Sicherheitsbewertung für einen Kunden durchführen, können Sie die Bewertungsroute blind wählen, dh Sie beginnen grundsätzlich nur mit dem Firmennamen und ohne weitere Informationen. Dieser blinde Bewertungsansatz ermöglicht es Ihnen, von Grund auf zu beginnen und Ihnen ein besseres Gefühl für die Informationen und Systeme zu geben, auf die böswillige Angreifer öffentlich zugreifen können.

Unabhängig davon, ob Sie blind (z. B. verdeckt) oder offen bewerten, bedenken Sie, dass die blinde Testmethode länger dauern kann und Sie möglicherweise eine höhere Wahrscheinlichkeit haben, einige Sicherheitslücken zu übersehen. Es ist nicht meine bevorzugte Testmethode, aber einige Leute können darauf bestehen.

Als Sicherheitsexperte müssen Sie sich keine Sorgen machen, Ihre Spuren zu verbergen oder IPSs oder verwandte Sicherheitskontrollen zu umgehen, da alles, was Sie tun, legitim ist. Aber vielleicht möchten Sie Systeme heimlich testen. In diesem Buch bespreche ich Techniken, die Hacker verwenden, um ihre Handlungen zu verbergen und einige Gegenmaßnahmen für Verschleierungstechniken zu skizzieren.

Einstellen der Stufe für Sicherheitstests - Dummies

Die Wahl des Herausgebers

Wie man Dateien in C ++ kopiert - Dummies

Wie man Dateien in C ++ kopiert - Dummies

Ah, eine Datei kopieren - etwas so einfaches, es passiert alles Zeit. Kopiere diese Datei dorthin; Kopieren Sie diese Datei hier. Aber was genau passiert, wenn Sie eine Datei kopieren? Sie erstellen tatsächlich eine neue Datei und füllen diese mit dem gleichen Inhalt wie die Originaldatei. Und wie machst du das? Nun, ...

Anleitung zum Erstellen eines Verzeichnisses in C ++ - Dummies

Anleitung zum Erstellen eines Verzeichnisses in C ++ - Dummies

Wenn Sie ein Verzeichnis erstellen möchten, können Sie das MKdir Funktion. Wenn die Funktion das Verzeichnis für Sie erstellen kann, gibt sie eine 0 zurück. Andernfalls wird ein Wert ungleich Null zurückgegeben. (Wenn Sie es ausführen, erhalten Sie eine -1, aber Ihre beste Wette - immer - ist es, gegen 0 zu testen.) Hier ist einige ...

Wie man eine einfache mathematische Vorlage in C ++ - Dummies

Wie man eine einfache mathematische Vorlage in C ++ - Dummies

Mit einer mathematischen Vorlage erstellt, die man normalerweise benötigt Zugriff auf eine Vielzahl von Berechnungen, aber nur jeweils eine oder zwei dieser Berechnungen. Zum Beispiel, wenn jemand Ihre Hypothek berechnet, muss er die Amortisationsrechnung nicht kennen. Die Person kann jedoch die Amortisationsberechnung benötigen, wenn Sie mit ...

Die Wahl des Herausgebers

ASVAB: Lesen für die Studie - Dummies

ASVAB: Lesen für die Studie - Dummies

Lesen für die Zwecke des Studiums der ASVAB ist eine andere Art des Lesens. Leseverständnis erfordert nur, dass Sie Informationen lange genug im Kurzzeitgedächtnis speichern, um einige Sekunden später eine Frage zu beantworten. Zum Lesen für die Zwecke des Studiums müssen Sie wichtige Informationen in Ihr Langzeitgedächtnis einpflegen - ...

ASVAB Mathematik Wissenspraxis: Ungleichungen - Dummies

ASVAB Mathematik Wissenspraxis: Ungleichungen - Dummies

Als wäre Algebra nicht anspruchsvoll genug, einige Fragen zur Der Subtest Mathematik auf dem ASVAB wird auch eine Ungleichheit einwerfen - nur um sicherzustellen, dass Sie aufmerksam sind. Wie erkennst du eine Ungleichheit? Halten Sie Ausschau nach Fragen mit mehr als oder weniger als Symbolen oder nach Graphen, die eine Zahlenlinie mit einem ...

ASVAB Mathematische Wissenspraxis: Fraktionen - Dummies

ASVAB Mathematische Wissenspraxis: Fraktionen - Dummies

Der Subtest Mathematikwissen auf dem ASVAB wird Fragen beinhalten, die Sie fragen mit Teilen eines Ganzen oder Fraktionen arbeiten. Diese Fragen können das Multiplizieren, Dividieren, Addieren, Subtrahieren und Konvertieren von Brüchen beinhalten, ähnlich den folgenden Übungsfragen. Übungsfragen Welche Fraktionen sind nicht gleichwertig? Gegeben einfach den Ausdruck. Antworten und Erklärungen Das richtige ...

Die Wahl des Herausgebers

Hinzufügen von Flash-Audio- und Videodateien in Dreamweaver - Dummies

Hinzufügen von Flash-Audio- und Videodateien in Dreamweaver - Dummies

Adobe besitzt sowohl Flash als auch Dreamweaver Daher finden Sie großartige Unterstützung für Flash-Dateien in Dreamweaver. Das Dialogfeld "FLV einfügen" erleichtert das Festlegen von Parametern für Flash. Dreamweaver erkennt sogar automatisch die Größe von Flash-Videodateien. Sie können Flash auch zum Erstellen und Einfügen von Audiodateien verwenden, wobei nur der Player angezeigt wird.

Einstellen von Bildhelligkeit und -kontrast in Dreamweaver - Dummies

Einstellen von Bildhelligkeit und -kontrast in Dreamweaver - Dummies

Dreamweaver bietet Werkzeuge zum Erstellen von Bildern Einstellungen, einschließlich der Helligkeit und des Kontrastes. Durch die Anpassung der Bildhelligkeit können Sie die Gesamtlichtmenge in einem Bild ändern. Kontrast steuert den Unterschied zwischen hellen und dunklen Bereichen eines Bildes. Wenn Sie die Dreamweaver-Bearbeitungswerkzeuge verwenden, wird das Bild dauerhaft geändert, wenn die Seite ...

Hinzufügen von Bildern zu Ihrer Website in Dreamweaver - Dummies

Hinzufügen von Bildern zu Ihrer Website in Dreamweaver - Dummies

Wenn Sie Ihrer Website ein Bild hinzufügen, erscheint anfangs fast magisch, weil der Prozess mit Dreamweaver so einfach ist. Die Herausforderung bei Webgrafiken besteht darin, sie nicht zu Ihren Seiten hinzuzufügen, sondern gut aussehende Bilder zu erstellen, die schnell im Browser Ihres Viewers geladen werden. Sie benötigen ein anderes Programm wie Photoshop, Photoshop Elements oder Fireworks, um ...