Índice:
Vídeo: He-man fala sobre futebol, transferência de jogadores e empresários mal-intencionados 2024
Você precisa de proteção contra hackers shenanigans; você precisa se tornar mais experiente que os caras que tentam atacar seus sistemas. Um verdadeiro profissional de avaliação de segurança possui as habilidades, a mentalidade e as ferramentas de um hacker, mas também é confiável. Ele ou ela executa os hacks como testes de segurança contra sistemas baseados em como os hackers podem funcionar.
O hacking ético - que abrange testes de penetração formal e metódica, hacking de chapéu branco e testes de vulnerabilidade - envolve as mesmas ferramentas, truques e técnicas que os hackers criminosos usam, mas com uma diferença importante: a pirateia ética é realizada com a permissão do alvo em um ambiente profissional. A intenção do hacking ético é descobrir vulnerabilidades do ponto de vista de um invasor mal-intencionado para garantir sistemas de segurança melhores. A pirateagem ética faz parte de um programa geral de gerenciamento de riscos de informação que permite melhorias de segurança contínuas. A piratagem ética também pode garantir que as reivindicações dos fornecedores sobre a segurança de seus produtos sejam legítimas.
Se você executar testes de hacking éticos e deseja adicionar outra certificação às suas credenciais, convém considerar tornar-se um Hacker Ético Certificado (CEH) através de um programa de certificação patrocinado pelo Conselho da CE. Como o Certified Information Systems Security Professional (CISSP), a certificação CEH tornou-se uma certificação bem conhecida e respeitada no setor. É até credenciado pelo American National Standards Institute (ANSI 17024).
Outras opções incluem o programa SIA Global Information Assurance Certification (GIAC) e o programa Offtified Security Certified Professional (OSCP) - uma certificação de testes de segurança completamente completa. Muitas vezes, as pessoas que executam esse tipo de trabalho não têm a experiência prática adequada para fazê-lo bem.
Pirateia ética versus auditoria
Muitas pessoas confundem testes de segurança através da abordagem de hacking ético com auditoria de segurança, mas existem grandes diferenças, nomeadamente nos objetivos. A auditoria de segurança envolve comparando as políticas de segurança de uma empresa (ou os requisitos de conformidade) com o que realmente está ocorrendo. A intenção da auditoria de segurança é validar que os controles de segurança existem - geralmente usando uma abordagem baseada em risco. A auditoria freqüentemente envolve a revisão de processos de negócios e, em muitos casos, talvez não seja muito técnica. As auditorias de segurança geralmente são baseadas em listas de verificação.
Nem todas as auditorias são de alto nível, mas muitas (especialmente em relação à conformidade do PCI DSS [Padrão de Segurança de Dados do Cartão de Pagamento] são bastante simplistas - muitas vezes realizadas por pessoas que não possuem computador, rede, e experiência de aplicação ou, pior, eles trabalham fora da TI completamente!
Por outro lado, as avaliações de segurança baseadas em hackers éticos se concentram em vulnerabilidades que podem ser exploradas. Esta abordagem de teste valida que os controles de segurança não existem ou são ineficazes na melhor das hipóteses. O hacking ético pode ser altamente técnico e não técnico, e embora você use uma metodologia formal, ele tende a ser um pouco menos estruturado do que a auditoria formal.
Onde a auditoria é necessária (como para as certificações ISO 9001 e 27001) em sua organização, você pode considerar integrar técnicas de hacking éticas em seu programa de auditoria de TI / segurança. Eles se complementam muito bem.
Considerações de política
Se você optar por tornar o hacking ético uma parte importante do programa de gerenciamento de riscos de informações da sua empresa, você precisa realmente ter uma política documentada de testes de segurança. Essa política descreve quem está fazendo o teste, o tipo geral de teste que é realizado e a frequência com que o teste ocorre.
Você também pode considerar a criação de um documento de padrões de segurança que descreva as ferramentas de teste de segurança específicas que são usadas e as pessoas específicas que realizam o teste. Você também pode listar datas de teste padrão, como uma vez por trimestre para sistemas externos e testes semestrais para sistemas internos - tudo o que funciona para sua empresa.
Conformidade e preocupações regulamentares
Suas próprias políticas internas podem determinar como o gerenciamento vê testes de segurança, mas também precisa considerar as leis e regulamentos estaduais, federais e internacionais que afetam sua empresa. Em particular, o Digital Millennium Copyright Act (DMCA) envia calafrios nas espinhas de pesquisadores legítimos.
Muitas das leis e regulamentos federais nos Estados Unidos - como a Lei de Segurança e Saúde Clínica (HITECH), Lei Gramm-Leach-Bliley (GLBA), Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) Os requisitos de Proteção de infra-estrutura crítica (CIP) e PCI DSS da North American Electric Confiability Corporation (NERC) exigem controles de segurança fortes e avaliações de segurança consistentes. As leis internacionais relacionadas, como a Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), a Diretiva de Proteção de Dados da União Européia e a Lei de Proteção de Informações Pessoais do Japão (JPIPA) não são diferentes.
Incorporar seus testes de segurança nestes requisitos de conformidade é uma ótima maneira de cumprir os regulamentos estaduais e federais e reforçar seu programa geral de segurança e privacidade.
