Was ist Ethical Hacking?
Ethical Hacking - die formale und methodische Penetrationstests, weißer Hut Hacking umfasst, und Verletzlichkeit Testing- die gleichen Werkzeuge, Tricks beinhaltet, und Techniken, die kriminelle Hacker verwenden, aber mit einem wichtigen Unterschied: Ethical Hacking ist in einem professionellen mit der Ziel Erlaubnis durchgeführt Rahmen.
Die Absicht von Ethical Hacking ist Anfälligkeiten von einem böswilligen Angreifer Sicht besser sichere Systeme zu entdecken. Ethical Hacking ist Teil eines umfassenden Informationsrisiko-Management-Programm, das für die laufende Verbesserung der Sicherheit ermöglicht. Ethical Hacking kann auch dafür sorgen, dass Anbieter die Forderungen über die Sicherheit ihrer Produkte legitim sind.
Ethical Hacking gegen Audits
Viele Leute verwechseln Ethical Hacking mit Sicherheitsüberwachung, aber es gibt groß Unterschiede. Die Sicherheitsüberwachung beinhaltet eines Unternehmens Sicherheitsrichtlinien zu vergleichen, was tatsächlich stattfindet. Die Absicht der Sicherheitsüberwachung ist, dass die Sicherheitskontrollen existieren zu validieren - in der Regel einen risikobasierten Ansatz. Revision beinhaltet häufig Geschäftsprozesse zu überprüfen und, in vielen Fällen möglicherweise nicht sehr technisch sein. Nicht alle Prüfungen sind diese High-Level, aber die meisten sind recht simpel.
Im Gegensatz dazu konzentriert sich Ethical Hacking auf Schwachstellen, die ausgenutzt werden können. Es bestätigt, dass die Sicherheitskontrollen unterlassen Sie existieren oder sind bestenfalls wirkungslos. Ethical Hacking kann sowohl hoch technische und nicht-technische sein, und obwohl Sie eine formale Methodik tun verwenden, neigt es ein bisschen weniger strukturiert als formalisierte Prüfprozesse zu sein.
Wenn die Überwachung in Ihrer Organisation zu nehmen weiter, sollten Sie überlegen, Ethical Hacking-Techniken in Ihre IT-Audit-Programm zu integrieren. Sie ergänzen sich sehr gut.
Grundsatzüberlegungen
Wenn Sie ein wichtiger Teil Ethical Hacking Ihres Unternehmens Risikomanagement-Programm zu machen, müssen Sie wirklich eine dokumentierte Sicherheitstests Politik. Eine solche Politik skizziert die Art der Ethical Hacking, das getan wird, die Systeme (wie Server, Web-Anwendungen, Laptops usw.) getestet werden und wie oft die Prüfung durchgeführt wird.
Sie könnten auch erwägen eine Sicherheitsstandards Dokument, die die spezifischen Sicherheits Test-Tools skizziert, die verwendet werden und spezifische Daten Ihrer Systeme jedes Jahr getestet werden. Sie könnten Standard-Testdaten aufzulisten, wie zum Beispiel einmal pro Quartal für externe Systeme und zweimal jährlich Tests für interne Systeme - was auch immer für Ihr Unternehmen.
Compliance und regulatorischen Bedenken
Ihre eigenen internen Richtlinien werden möglicherweise diktieren, wie das Management Sicherheitstests betrachtet, aber Sie müssen auch die staatlichen und bundesstaatlichen und globalen Gesetze und Vorschriften zu berücksichtigen, die auf Ihr Geschäft auswirken.
Viele der Bundesgesetze und Verordnungen in den USA - wie der Health Insurance Portability and Accountability Act (HIPAA), Health Information Technology für Wirtschafts-und Klinische Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric Zuverlässigkeit Corporation (NERC) CIP-Anforderungen und Payment Card Industry Data Security Standard (PCI DSS) - erfordern starke Sicherheitskontrollen und einheitliche Sicherheitsbewertungen.
Entsprechende internationale Gesetze wie das kanadische Personal Information Protection and Electronic Documents Act (PIPEDA), der Europäischen Union Datenschutzrichtlinie, und Japans Personal Information Protection Act (JPIPA) sind nicht anders. Die Einbeziehung Ihrer Ethical Hacking-Tests in dieser Compliance-Anforderungen ist eine gute Möglichkeit, die behördlichen Vorschriften zu erfüllen und Rindfleisch Ihre allgemeine Datenschutz- und Sicherheitsprogramm.