Zehn tödliche Fehler zu vermeiden, wenn Sie Ihr Geschäft Hack
Mehrere tödliche Fehler können verheerend auf Ihre Ethical Hacking Ergebnisse anrichten und Ihre Karriere selbst. Nicht zum Opfer fallen! Hier sind einige der möglichen Gefahren, die Sie brauchen, um sehr wohl bewusst.
Menu
- Nicht immer der vorherigen zustimmung
- Unter der annahme, dass sie alle sicherheitslücken während ihres tests finden
- Unter der annahme, dass sie alle sicherheitslücken zu beseitigen
- Durchführen von tests nur einmal
- Zu denken, dass sie es wissen alle
- Laufen die tests ohne die dinge aus einer hacker-sicht suchen
- Nicht prüfung die richtigen systeme
- Nicht mit den richtigen tools
- Stampfen produktionssysteme zur falschen zeit
- Outsourcing-tests und nicht zu bleiben beteiligt
Nicht immer der vorherigen Zustimmung
Erste dokumentierte Genehmigung im Voraus, wie eine E-Mail, einem internen Memo oder einem formellen Vertrag für Ihre Ethical Hacking Bemühungen - ob es aus der Verwaltung oder von Ihrem Client ist - ist ein absolutes Muss. Es ist dein Get aus dem Gefängnis Freecard.
Lassen Sie keine Ausnahmen hier - vor allem, wenn Sie arbeiten für die Kunden tun: Stellen Sie sicher, dass Sie eine signierte Kopie dieses Dokuments für Ihre Dateien zu erhalten und für Ihren Anwalt.
Unter der Annahme, dass Sie alle Sicherheitslücken während Ihres Tests finden
So viele Sicherheitslücken existieren - bekannte und unbekannte -, dass man sie nicht alle während des Tests zu finden. finden Sie keine Garantien, dass Sie alle die Sicherheitslücken in einem System. Sie werden etwas beginnen, das Sie nicht beenden können.
Wenn Sie gut Wahrscheinlichkeit und Statistik in der Schule oder Hochschule haben zu studieren, können Sie prüfen, einige Konfidenzintervall die Zusammenstellung zu zeigen, was Sie wirklich erwarten, zu finden.
Halten Sie sich an die folgenden Grundsätze:
Sei realistisch.
Verwenden Sie gute Werkzeuge.
Holen Sie sich Ihre Systeme kennen zu lernen und üben Sie Ihre Techniken verfeinern.
Unter der Annahme, dass Sie alle Sicherheitslücken zu beseitigen
Wenn es um Computer geht, zu 100 Prozent, ist gepanzert Sicherheit nicht erreichbar. Sie können möglicherweise nicht verhindern alle Sicherheitslücken, aber Sie werden gut tun, wenn Sie die niedrig hängenden Früchte aufzudecken und diese Aufgaben zu erfüllen:
Folgen Sie solide Praktiken.
Patch- und verhärten Ihre Systeme.
Bewerben angemessen (kosten gerechtfertigt) Sicherheitsmaßnahmen getroffen.
Es ist auch wichtig, sich daran zu erinnern, dass Sie ungeplante Kosten haben werden. Sie können viele Sicherheitsprobleme zu finden und das Budget benötigen, um die Löcher zu stopfen. Ansonsten haben Sie möglicherweise über die Due-Diligence-Hürde bekommen, aber haben jetzt eine Sorgfalts Problem auf Ihre Hände. Aus diesem Grund müssen Sie die Informationssicherheit aus Risikosicht zu nähern und alle haben die richtigen Leute an Bord.
Durchführen von Tests nur einmal
Ethical Hacking ist eine Momentaufnahme Ihrer gesamten Zustand der Sicherheit. Neue Bedrohungen und Schwachstellen der Oberfläche ständig, so dass Sie diese Tests regelmäßig und stellen Sie sicher, dass Sie mit den neuesten Sicherheits-Verteidigung für Ihre Systeme halten konsequent durchführen müssen. Entwickeln Sie sowohl kurz- als auch langfristige Pläne für die Durchführung der Sicherheitstests in den nächsten Monaten und nächsten Jahren aus.
Zu denken, dass Sie es wissen alle
Auch wenn einige auf dem Gebiet der IT würde ich anderer Meinung, niemand mit dem Computer oder der Informationssicherheit arbeiten kennt sie alle. Schritt halten mit allen Software-Versionen, Hardware-Modelle und neue Technologien, nicht die damit verbundenen Sicherheitsrisiken und Schwachstellen zu nennen, ist nicht möglich. Echte IT-Sicherheitsexperten kennen ihre Grenzen - das heißt, was sie nicht kennt. Aber sie wissen, wo Antworten zu erhalten.
Laufen die Tests ohne die Dinge aus einer Hacker-Sicht suchen
Denken Sie darüber nach, wie eine bösartige Außenseiter oder Rogue Insider Ihr Netzwerk und Ihre Computer angreifen kann. Holen Sie sich eine neue Perspektive und versuchen, außerhalb des sprichwörtlich Tellerrand hinaus zu denken.
Studieren kriminellen und Hacker Verhaltensweisen und gemeinsame Hack-Attacken, so dass Sie wissen, was zu testen. Es gibt ständige Bloggen zu diesem Thema an Kevin Beaver Security Blog. Fachzeitschriften wie Hackin9 und 2600 gute Ressourcen sind als gut.
Nicht Prüfung die richtigen Systeme
Konzentrieren Sie sich auf die Systeme und Operationen, die am wichtigsten sind. Sie können den ganzen Tag auf einem Standalone-Desktop-MS-DOS von einem 5 1/4-Zoll-Diskette ohne Netzwerkkarte und ohne Festplatte hacken, aber das etwas Gutes tut? Wahrscheinlich nicht. Aber man weiß ja nie. Ihre größten Risiken könnten auf dem scheinbar am wenigsten kritischen System sein. Konzentrieren Sie sich auf, was dringend und wichtig.
Nicht mit den richtigen Tools
Ohne die richtigen Werkzeuge für die Aufgabe, immer etwas getan, ohne sich selbst Nüsse fahren ist unmöglich. Kaufen Sie kommerzielle Tools, wenn Sie können - sie sind in der Regel jeden Cent wert. Keine Sicherheits-Tool funktioniert das alles, obwohl.
Bauen Sie Ihre Toolbox und sich an Ihre Werkzeuge kennen und werden Sie Gobs Mühe sparen, und Sie werden andere mit Ihren Ergebnissen beeindrucken.
Stampfen Produktionssysteme zur falschen Zeit
Eine der besten Möglichkeiten, um Ihre Manager abhaken oder verlieren das Vertrauen Ihrer Kunden ist Hack-Angriffe gegen Produktionssysteme zu laufen, wenn jeder sie benutzt. Wenn Sie versuchen, ein System zur falschen Zeit zu testen, erwarten, dass kritische Systeme zum ungünstigsten Moment nach unten gehen kann.
Stellen Sie sicher, dass Sie die beste Zeit kennen Ihre Tests auszuführen. Es könnte in der Mitte der Nacht. Dies könnte Grund sein, unter Verwendung von Sicherheits-Tools und anderen unterstützenden Werkzeuge zu rechtfertigen, die bestimmte ethische Hacking Aufgaben automatisieren können.
Outsourcing-Tests und nicht zu bleiben beteiligt
Outsourcing ist groß, aber Sie müssen während des gesamten Prozesses beteiligt bleiben. übergeben Sie nicht die Zügel Ihres Sicherheitstests an einem Dritteinzelperson oder eine Cloud-Services-Anbieter, ohne Begleitung und Aufenthalt auf dessen, was ist unter.
Sie werden nicht Ihren Vorgesetzten oder Kunden einen Gefallen tun, indem die Haare aus der Drittanbieter zu bleiben. Bekommen im ihre Haare. (Aber nicht wie ein Stück Kaugummi -., Das alles macht nur schwieriger) Fragen Sie nach Berichten Suche nach Schwachstellen, Berichte formalen Sicherheitsbewertung, und alles, was sie tun, dass zeigt, dass sie die Sicherheit ernst nehmen.