NộI Dung
- Bạn có thực sự cần tin tặc đạo đức?
- Kiến thức về các phương pháp tin tặc
- Kiểm tra thâm nhập
- Xác định lỗ hổng
- Chuẩn bị cho cuộc tấn công
- Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
- Phần kết luận
Nguồn: Cammeraydave / Dreamstime.com
Lấy đi:
Hacking là một mối đe dọa lớn đối với các tổ chức, đó là lý do tại sao tin tặc đạo đức thường là giải pháp tốt nhất để tìm ra lỗ hổng bảo mật.
Bản chất của các mối đe dọa an ninh mạng tiếp tục phát triển. Trừ khi các hệ thống phát triển để quản lý các mối đe dọa này, chúng sẽ ngồi trên vịt. Mặc dù các biện pháp bảo mật thông thường là cần thiết, nhưng điều quan trọng là phải có được viễn cảnh của những người có khả năng đe dọa các hệ thống hoặc tin tặc. Các tổ chức đã và đang cho phép một loại tin tặc, được gọi là tin tặc có đạo đức hoặc mũ trắng, để xác định các lỗ hổng hệ thống và đưa ra đề xuất về việc sửa chúng. Các tin tặc đạo đức, với sự đồng ý rõ ràng của chủ sở hữu hệ thống hoặc các bên liên quan, xâm nhập hệ thống để xác định các lỗ hổng và đưa ra các khuyến nghị về cải thiện các biện pháp bảo mật. Hack đạo đức làm cho an ninh toàn diện và toàn diện.
Bạn có thực sự cần tin tặc đạo đức?
Chắc chắn không bắt buộc phải sử dụng dịch vụ của tin tặc đạo đức, nhưng các hệ thống bảo mật thông thường đã nhiều lần không cung cấp sự bảo vệ đầy đủ trước kẻ thù phát triển về quy mô và đa dạng. Với sự phổ biến của các thiết bị thông minh và được kết nối, các hệ thống liên tục bị đe dọa. Trong thực tế, hack được xem như một con đường sinh lợi về mặt tài chính, tất nhiên là bằng chi phí của các tổ chức. Như Bruce Schneier, tác giả của cuốn sách "Bảo vệ máy Macintosh của bạn" đã nói, "Phần cứng rất dễ bảo vệ: khóa nó trong phòng, xích nó vào bàn hoặc mua một phụ tùng. Thông tin đặt ra nhiều vấn đề hơn. ở nhiều nơi, được vận chuyển nửa vòng trái đất trong vài giây và bị đánh cắp mà bạn không biết. " Bộ phận CNTT của bạn, trừ khi bạn có ngân sách lớn, có thể chứng minh thấp hơn sự tấn công của tin tặc và thông tin có giá trị có thể bị đánh cắp trước khi bạn kịp nhận ra. Do đó, thật hợp lý khi thêm một chiều cho chiến lược bảo mật CNTT của bạn bằng cách thuê các tin tặc đạo đức, những người biết cách thức của tin tặc mũ đen. Nếu không, tổ chức của bạn có thể gặp rủi ro vô tình giữ các lỗ hổng mở trong hệ thống.
Kiến thức về các phương pháp tin tặc
Để ngăn chặn hack, điều quan trọng là phải hiểu các hacker nghĩ như thế nào. Vai trò thông thường trong bảo mật hệ thống chỉ có thể làm được rất nhiều cho đến khi tư duy hacker hacker phải được giới thiệu. Rõ ràng, các cách thức của tin tặc là duy nhất và khó khăn cho các vai trò bảo mật hệ thống thông thường để xử lý. Điều này đặt ra trường hợp thuê một hacker đạo đức có thể truy cập hệ thống như một hacker độc hại có thể, và trên đường đi, phát hiện ra bất kỳ lỗ hổng bảo mật nào.
Kiểm tra thâm nhập
Còn được gọi là kiểm tra bút, kiểm tra thâm nhập được sử dụng để xác định các lỗ hổng hệ thống mà kẻ tấn công có thể nhắm mục tiêu. Có nhiều phương pháp kiểm tra thâm nhập. Tổ chức có thể sử dụng các phương pháp khác nhau tùy thuộc vào yêu cầu của nó.
- Kiểm tra mục tiêu liên quan đến các tổ chức người và tin tặc. Các nhân viên tổ chức đều biết về việc hack đang được thực hiện.
- Kiểm tra bên ngoài thâm nhập vào tất cả các hệ thống tiếp xúc bên ngoài như máy chủ web và DNS.
- Kiểm tra nội bộ phát hiện lỗ hổng mở cho người dùng nội bộ với quyền truy cập.
- Thử nghiệm mù mô phỏng các cuộc tấn công thực sự từ tin tặc.
Những người thử nghiệm được cung cấp thông tin hạn chế về mục tiêu, điều này đòi hỏi họ phải thực hiện trinh sát trước khi tấn công. Kiểm tra thâm nhập là trường hợp mạnh nhất để thuê các tin tặc đạo đức. (Để tìm hiểu thêm, hãy xem Kiểm tra thâm nhập và Cân bằng tinh tế giữa Bảo mật và Rủi ro.)
Xác định lỗ hổng
Không có hệ thống nào hoàn toàn miễn nhiễm với các cuộc tấn công. Tuy nhiên, các tổ chức cần phải cung cấp bảo vệ đa chiều. Các mô hình tin tặc hacker đạo đức thêm một chiều quan trọng. Một ví dụ điển hình là nghiên cứu trường hợp của một tổ chức lớn trong lĩnh vực sản xuất. Tổ chức biết các hạn chế của nó về bảo mật hệ thống, nhưng không thể tự mình làm được gì nhiều. Vì vậy, nó đã thuê các tin tặc đạo đức để đánh giá bảo mật hệ thống của nó và cung cấp các phát hiện và khuyến nghị của nó. Báo cáo bao gồm các thành phần sau: hầu hết các cổng dễ bị tổn thương như Microsoft RPC và quản trị từ xa, các khuyến nghị cải tiến bảo mật hệ thống như hệ thống ứng phó sự cố, triển khai đầy đủ chương trình quản lý lỗ hổng và làm cho các hướng dẫn cứng rắn trở nên toàn diện hơn.
Chuẩn bị cho cuộc tấn công
Tấn công là không thể tránh khỏi cho dù hệ thống được củng cố như thế nào. Cuối cùng, kẻ tấn công sẽ tìm thấy một hoặc hai lỗ hổng. Bài viết này đã tuyên bố rằng các cuộc tấn công mạng, bất kể mức độ mà một hệ thống được củng cố, là không thể tránh khỏi. Điều đó không có nghĩa là các tổ chức nên ngừng củng cố bảo mật hệ thống của họ - thực tế hoàn toàn ngược lại. Các cuộc tấn công mạng đã được phát triển và cách duy nhất để ngăn chặn hoặc giảm thiểu thiệt hại là sự chuẩn bị tốt. Một cách để chuẩn bị các hệ thống chống lại các cuộc tấn công là cho phép tin tặc đạo đức xác định các lỗ hổng trước đó.
Có rất nhiều ví dụ về điều này và rất thích hợp để thảo luận về ví dụ của Bộ An ninh Nội địa Hoa Kỳ (DHS). DHS sử dụng một hệ thống cực kỳ lớn và phức tạp, vừa lưu trữ và xử lý khối lượng dữ liệu bí mật khổng lồ. Vi phạm dữ liệu là một mối đe dọa nghiêm trọng và tương đương với việc đe dọa an ninh quốc gia. DHS nhận ra rằng việc các tin tặc đạo đức xâm nhập vào hệ thống của mình trước khi tin tặc mũ đen làm là một cách thông minh để nâng cao mức độ chuẩn bị. Vì vậy, Đạo luật Hack DHS đã được thông qua, cho phép các tin tặc có đạo đức được chọn xâm nhập vào hệ thống của DHS. Các hành động đặt ra chi tiết như thế nào sáng kiến sẽ làm việc. Một nhóm tin tặc đạo đức sẽ được thuê để đột nhập vào hệ thống của DHS và xác định các lỗ hổng, nếu có. Đối với bất kỳ lỗ hổng mới nào được xác định, các tin tặc đạo đức sẽ được khen thưởng về mặt tài chính. Các tin tặc đạo đức sẽ không phải chịu bất kỳ hành động pháp lý nào vì hành động của chúng, mặc dù chúng sẽ phải làm việc dưới những ràng buộc và hướng dẫn nhất định. Đạo luật này cũng bắt buộc tất cả các tin tặc đạo đức tham gia chương trình phải trải qua kiểm tra lý lịch kỹ lưỡng. Giống như DHS, các tổ chức có uy tín đã thuê các tin tặc đạo đức để nâng cao mức độ sẵn sàng bảo mật hệ thống trong một thời gian dài. (Để biết thêm về bảo mật nói chung, hãy xem 7 Nguyên tắc cơ bản của Bảo mật CNTT.)
Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.
Phần kết luận
Cả hack đạo đức và bảo mật CNTT thông thường cần phải hợp tác để bảo vệ các hệ thống doanh nghiệp. Tuy nhiên, các doanh nghiệp cần xây dựng chiến lược của họ đối với việc hack đạo đức. Họ có thể có thể rút một lá khỏi chính sách của DHS đối với việc hack đạo đức. Vai trò và phạm vi của tin tặc đạo đức cần phải được xác định rõ ràng; điều quan trọng là doanh nghiệp phải duy trì kiểm tra và cân bằng để tin tặc không vượt quá phạm vi công việc hoặc gây ra bất kỳ thiệt hại nào cho hệ thống. Doanh nghiệp cũng cần phải cung cấp cho các tin tặc đạo đức sự đảm bảo rằng sẽ không có hành động pháp lý nào được thực hiện trong trường hợp vi phạm theo quy định của hợp đồng của họ.