Inhaltsverzeichnis:
Video: Ethisches Hacken #1 - WLan hacken - WPA/WPA2 über Handshake - Bruteforce 2024
zu entdecken. Ethisches Hacking - das formelle und methodische Penetrationstests, White-Hat-Hacking und Schwachstellentests umfasst - beinhaltet die gleichen Tools, Tricks und Hacker verwenden, aber mit einem großen Unterschied: Ethisches Hacken wird mit der Erlaubnis des Ziels in einem professionellen Umfeld durchgeführt.
Die Absicht des ethischen Hackens besteht darin, Schwachstellen aus der Sicht eines böswilligen Angreifers zu entdecken, um Systeme besser zu schützen. Ethisches Hacking ist Teil eines umfassenden Information Risk Management-Programms, das kontinuierliche Sicherheitsverbesserungen ermöglicht. Ethisches Hacken kann auch sicherstellen, dass die Behauptungen der Anbieter über die Sicherheit ihrer Produkte legitim sind.
Ethisches Hacken versus Audits
Viele Leute verwechseln ethisches Hacken mit Sicherheitsaudits, aber es gibt große Unterschiede. Bei der Sicherheitsüberprüfung werden die Sicherheitsrichtlinien eines Unternehmens mit dem verglichen, was tatsächlich stattfindet. Die Absicht der Sicherheitsüberprüfung besteht darin, zu bestätigen, dass Sicherheitskontrollen vorhanden sind - üblicherweise unter Verwendung eines risikobasierten Ansatzes. Auditing beinhaltet häufig die Überprüfung von Geschäftsprozessen und ist in vielen Fällen nicht sehr technisch. Nicht alle Prüfungen sind so hoch, aber die Mehrheit ist ziemlich simpel.
Umgekehrt konzentriert sich ethisches Hacken auf Schwachstellen, die ausgenutzt werden können. Es wird überprüft, ob die Sicherheitskontrollen nicht existieren oder bestenfalls ineffektiv sind. Ethisches Hacken kann sowohl hochtechnisch als auch nichttechnisch sein, und obwohl Sie eine formale Methodik verwenden, ist es tendenziell weniger strukturiert als formales Auditing.
Wenn die Überwachung weiterhin in Ihrer Organisation stattfindet, sollten Sie möglicherweise ethische Hacking-Techniken in Ihr IT-Prüfprogramm integrieren. Sie ergänzen sich sehr gut.
Richtlinienüberlegungen
Wenn Sie ethisches Hacking zu einem wichtigen Bestandteil des Risikomanagementprogramms Ihres Unternehmens machen möchten, benötigen Sie eine dokumentierte Sicherheitsrichtlinie. Eine solche Richtlinie beschreibt die Art des ethischen Hackens, das durchgeführt wird, welche Systeme (wie Server, Webanwendungen, Laptops usw.) getestet werden und wie oft die Tests durchgeführt werden.
Sie können auch erwägen, ein Dokument mit Sicherheitsstandards zu erstellen, in dem die spezifischen Sicherheits-Testtools beschrieben sind, die verwendet werden, sowie bestimmte Daten, die Ihre Systeme jedes Jahr testen. Sie können Standardtestdaten aufführen, beispielsweise einmal pro Quartal für externe Systeme und zwei Mal für interne Tests - was auch immer für Ihr Unternehmen funktioniert.
Compliance- und regulatorische Belange
Ihre eigenen internen Richtlinien können bestimmen, wie das Management Sicherheitstests durchführt, aber Sie müssen auch die staatlichen, föderalen und globalen Gesetze und Vorschriften berücksichtigen, die Ihr Unternehmen betreffen.
Viele der Bundesgesetze und -verordnungen in den USA - wie etwa das Krankenversicherungs-Übertragbarkeits- und Rechenschaftsgesetz (HIPAA), das Gesundheitsinformationssystem für wirtschaftliche und klinische Gesundheit (HITECH), das Gramm-Leach-Bliley-Gesetz (GLBA), Die CER-Anforderungen der North American Electric Reliability Corporation (NERC) und der Datensicherheitsstandard der Kreditkartenindustrie (PCI DSS) erfordern strenge Sicherheitskontrollen und konsistente Sicherheitsbewertungen.
Ähnliche internationale Gesetze wie das kanadische Gesetz zum Schutz personenbezogener Daten und elektronische Dokumente (PIPEDA), die Datenschutzrichtlinie der Europäischen Union und das Japanische Gesetz zum Schutz personenbezogener Daten (JPIPA) unterscheiden sich nicht davon. Die Einbindung Ihrer ethischen Hacking-Tests in diese Compliance-Anforderungen ist eine großartige Möglichkeit, die staatlichen und bundesstaatlichen Vorschriften einzuhalten und Ihr gesamtes Datenschutz- und Sicherheitsprogramm zu verbessern.
