Contente
- Você realmente precisa de hackers éticos?
- Conhecimento dos métodos dos hackers
- Teste Penetrativo
- Identificando vulnerabilidades
- Preparação para ataques
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
- Conclusão
Fonte: Cammeraydave / Dreamstime.com
Leve embora:
O hacking é uma enorme ameaça para as organizações, e é por isso que os hackers éticos geralmente são a melhor solução para encontrar falhas de segurança.
A natureza das ameaças à segurança cibernética continua evoluindo. A menos que os sistemas evoluam para gerenciar essas ameaças, eles serão patos. Embora sejam necessárias medidas de segurança convencionais, é importante obter a perspectiva de pessoas que podem potencialmente ameaçar sistemas ou hackers. As organizações têm permitido que uma categoria de hackers, conhecidos como hackers éticos ou de chapéu branco, identifique vulnerabilidades do sistema e forneça sugestões para corrigi-las. Os hackers éticos, com o consentimento expresso dos proprietários ou partes interessadas do sistema, penetram nos sistemas para identificar vulnerabilidades e fornecer recomendações sobre como melhorar as medidas de segurança. O hacking ético torna a segurança holística e abrangente.
Você realmente precisa de hackers éticos?
Certamente não é obrigatório empregar os serviços de hackers éticos, mas os sistemas de segurança convencionais falharam repetidamente em fornecer proteção adequada contra um inimigo que cresce em tamanho e variedade. Com a proliferação de dispositivos inteligentes e conectados, os sistemas estão constantemente ameaçados. De fato, o hacking é visto como uma via lucrativa financeiramente, é claro à custa das organizações. Como Bruce Schneier, autor do livro "Proteja o seu Macintosh", disse: "O hardware é fácil de proteger: tranque-o em uma sala, amarre-o a uma mesa ou compre um sobressalente. As informações são mais um problema. Pode existir. em mais de um lugar; seja transportado no meio do planeta em segundos; e seja roubado sem o seu conhecimento ". Seu departamento de TI, a menos que você tenha um grande orçamento, pode ser inferior ao ataque de hackers, e informações valiosas podem ser roubadas antes que você perceba. Portanto, faz sentido adicionar uma dimensão à sua estratégia de segurança de TI, contratando hackers éticos que conhecem as maneiras dos hackers de chapéu preto. Caso contrário, sua organização pode correr o risco de, sem saber, manter brechas abertas no sistema.
Conhecimento dos métodos dos hackers
Para evitar hackers, é importante entender como os hackers pensam. As funções convencionais na segurança do sistema só podem fazer muito até que a mentalidade do hacker precise ser introduzida. Obviamente, as maneiras dos hackers são únicas e difíceis de serem tratadas pelas funções de segurança do sistema convencional. Isso define o caso da contratação de um hacker ético que pode acessar o sistema como um hacker mal-intencionado e, no caminho, descobrir brechas na segurança.
Teste Penetrativo
Também conhecido como teste de caneta, o teste penetrante é usado para identificar vulnerabilidades do sistema que um invasor pode atingir. Existem muitos métodos de teste penetrante. A organização pode usar métodos diferentes, dependendo de seus requisitos.
- O teste direcionado envolve as pessoas da organização e o hacker. Todos os funcionários da organização sabem sobre o hacking que está sendo executado.
- O teste externo penetra todos os sistemas expostos externamente, como servidores da Web e DNS.
- O teste interno descobre vulnerabilidades abertas a usuários internos com privilégios de acesso.
- O teste cego simula ataques reais de hackers.
Os testadores recebem informações limitadas sobre o alvo, o que exige que eles realizem reconhecimento antes do ataque. O teste penetrante é o caso mais forte para a contratação de hackers éticos. (Para saber mais, consulte Teste de penetração e o delicado equilíbrio entre segurança e risco.)
Identificando vulnerabilidades
Nenhum sistema é completamente imune a ataques. Ainda assim, as organizações precisam fornecer proteção multidimensional. O paradigma do hacker ético adiciona uma dimensão importante. Um bom exemplo é o estudo de caso de uma grande organização no domínio da fabricação. A organização conhecia suas limitações em termos de segurança do sistema, mas não podia fazer muito sozinha. Por isso, contratou hackers éticos para avaliar a segurança do sistema e fornecer suas descobertas e recomendações. O relatório incluía os seguintes componentes: portas mais vulneráveis, como Microsoft RPC e administração remota, recomendações de melhoria de segurança do sistema, como um sistema de resposta a incidentes, implantação completa de um programa de gerenciamento de vulnerabilidades e tornar as diretrizes de proteção mais abrangentes.
Preparação para ataques
Os ataques são inevitáveis, não importa quão fortificado seja um sistema. Eventualmente, um invasor encontrará uma ou duas vulnerabilidades. Este artigo já declarou que os ataques cibernéticos, independentemente da extensão do sistema, são inevitáveis. Isso não significa que as organizações devam parar de reforçar a segurança do sistema - pelo contrário, de fato. Os ciberataques estão evoluindo e a única maneira de prevenir ou minimizar os danos é a boa preparação. Uma maneira de preparar sistemas contra ataques é permitir que hackers éticos identifiquem as vulnerabilidades de antemão.
Existem muitos exemplos disso e é pertinente discutir o exemplo do Departamento de Segurança Interna dos EUA (DHS). O DHS usa um sistema extremamente grande e complexo que armazena e processa grandes volumes de dados confidenciais. A violação de dados é uma ameaça séria e equivale a ameaçar a segurança nacional. O DHS percebeu que fazer com que hackers éticos invadissem seu sistema antes dos hackers do black hat era uma maneira inteligente de aumentar o nível de preparação. Portanto, a Lei Hack DHS foi aprovada, o que permitiria que hackers éticos selecionados invadissem o sistema DHS. O ato expôs em detalhes como a iniciativa funcionaria. Um grupo de hackers éticos seria contratado para invadir o sistema DHS e identificar vulnerabilidades, se houver. Para qualquer nova vulnerabilidade identificada, os hackers éticos seriam recompensados financeiramente. Os hackers éticos não estariam sujeitos a nenhuma ação legal por causa de suas ações, embora precisassem trabalhar sob certas restrições e diretrizes. A lei também tornou obrigatório que todos os hackers éticos que participassem do programa passassem por uma verificação completa dos antecedentes. Como o DHS, organizações de renome contratam hackers éticos para aumentar o nível de preparação da segurança do sistema há muito tempo. (Para mais informações sobre segurança em geral, consulte Os 7 princípios básicos de segurança de TI.)
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
Conclusão
O hacking ético e a segurança de TI convencional precisam trabalhar juntos para proteger os sistemas corporativos. No entanto, as empresas precisam elaborar sua estratégia para o hacking ético. Eles provavelmente podem tirar uma folga da política do DHS em relação a hackers éticos. O papel e o escopo dos hackers éticos precisam ser claramente definidos; é importante que a empresa mantenha verificações e equilíbrios para que o hacker não exceda o escopo do trabalho ou cause danos ao sistema. A empresa também precisa dar aos hackers éticos a garantia de que nenhuma ação legal seria tomada no caso de uma violação, conforme definido em seu contrato.