İçindekiler:
Video: Some thoughts on Mobile App Security - is it FUD? 2024
Bilgisayar korsanları tarafından korunmanız gerekir; sistemlerine saldırmaya çalışan çocuklar gibi anlayışlı olmanız gerekir. Gerçek bir güvenlik değerlendirme uzmanı hacker'ın becerilerine, zihniyetine ve araçlarına sahiptir ancak aynı zamanda güvenilirdir. Bilgisayar korsanlarının nasıl çalıştığına dayanan saldırıları sistemlere karşı güvenlik testleri olarak gerçekleştirir.
Formel ve metodik penetrasyon testi, beyaz şapka korsanlığı ve güvenlik açığı testini kapsayan ahlaki hackleme - cezai hackerların kullandığı araç, hile ve teknikleri içerir ancak önemli bir fark vardır: Etik korsanlığı, hedefin izniyle gerçekleştirilir profesyonel bir ortamda. Etik hırsızlığının amacı, güvenlik açığı sistemlerin daha iyi korunması için kötü amaçlı bir saldırganın bakış açısından keşfetmektir. Etik hackleme, devam eden güvenlik iyileştirmelerine olanak tanıyan genel bir bilgi risk yönetimi programının bir parçasıdır. Ahlaki korsanlık, satıcıların ürünlerinin güvenliği ile ilgili iddialarının meşru olmasını sağlayabilir.
Eğer etik hırsızlık testleri yaparsanız ve kimlik bilgileriniz için bir başka sertifika eklemek istiyorsanız, EC-Council sponsorluğunda bir sertifika programı aracılığıyla Sertifikalı Etik Korsan (CEH) olmayı düşünebilirsiniz. Sertifikalı Bilişim Sistemleri Güvenlik Uzmanı (CISSP) gibi, CEH sertifikası da sektörde tanınmış ve saygın bir sertifika haline gelmiştir. Hatta Amerikan Ulusal Standartlar Enstitüsü (ANSI 17024) tarafından akredite edilmiştir.
Diğer seçenekler arasında SANS Global Bilgi Güvencesi Sertifikasyonu (GIAC) programı ve Güvenilir Güvenlik Sertifikalı Profesyonel (OSCP) programı bulunmaktadır - tamamen el altında olan bir güvenlik test sertifikası. Çoğu zaman, bu tür bir işi yapan insanların bunu başarması için elden gelen tecrübeleri yok.
Etik Korsanlığa Karşı Denetim
Pek çok kimse, güvenlik denetimi ile ahlak korsanlığı yaklaşımı yoluyla güvenlik denetimi ile güvenlik denetimini şaşırtıyor; ancak, hedefler içindeki, büyük farklılıkları var. Güvenlik denetimi, bir şirketin güvenlik politikalarını (veya uyumluluk gereksinimlerini) gerçekte gerçekleşmekte olanlarla karşılaştırmayı içerir. Güvenlik denetiminin amacı, güvenlik kontrollerinin varolduğunu - tipik olarak riske dayalı bir yaklaşım kullanarak - doğrulamaktır. Denetim, genellikle iş süreçlerini gözden geçirmeyi içerir ve çoğu durumda çok teknik olmayabilir. Güvenlik denetimleri genellikle denetim listelerine dayalıdır.
Tüm denetimler üst düzey değildir, ancak birçoğu (özellikle PCI DSS [Ödeme Kartı Endüstrisi Veri Güvenliği Standardı] uyumluluğu etrafında) oldukça basittir - çoğu zaman teknik bilgisayar, ağ, ve uygulama deneyimi ya da daha da kötüsü BT dışında tamamen çalışıyorlar!
Diğer taraftan, ahlaki korsanlık temelli güvenlik değerlendirmeleri, yararlanılabilecek zayıf noktalara odaklanmaktadır. Bu test yaklaşımı, güvenlik denetimlerinin olmamasını veya en iyi ihtimalle etkisiz olduğunu doğrular. Etik hırsızlığı hem teknik hem de teknik olmayan nitelikte olabilir ve resmi bir metodoloji kullansanız da resmi denetimden çok daha az yapılandırılmış olma eğilimindedir.
Kuruluşunuzdaki denetime (ISO 9001 ve 27001 sertifikaları gibi) gerek duyulduğunda etik hack tekniğini IT / güvenlik denetim programınıza entegre etmeyi düşünebilirsiniz. Birbirlerini gerçekten iyi tamamlıyorlar.
Politika ile ilgili düşünceler
Etik saldırılarını işinizin bilgi risk yönetimi programının önemli bir bölümünü oluşturmayı seçerseniz, belgelenmiş bir güvenlik test politikanız olması gerekir. Böyle bir politika, kimin test yapacağını, gerçekleştirilen genel test türünü ve testin ne sıklıkla yapıldığını özetlemektedir.
Kullanılan belirli güvenlik test araçlarını ve testi gerçekleştiren belirli kişileri özetleyen bir güvenlik standartları belgesi oluşturmayı da düşünebilirsiniz. Harici sistemler için çeyrek kez, iç sistemler için ise iki yılda bir yapılan testler gibi standart test tarihlerini listeleyebilirsiniz - işiniz için ne olursa olsun.
Uygunluk ve düzenleyici kaygılar
Kendi iç politikalarınız, yönetimin güvenlik testlerini nasıl gördüğünü belirleyebilir, ancak işinizi etkileyen eyalet, federal ve uluslararası kanunları ve düzenlemeleri de göz önünde bulundurmanız gerekir. Özellikle Dijital Binyıl Telif Hakkı Yasası (DMCA) meşru araştırmacıların dikenlerini titizlikle dağıtır.
Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA), Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi (HITECH) Yasası, Gramm-Leach-Bliley Yasası (GLBA) gibi Amerika Birleşik Devletleri'ndeki federal yasa ve düzenlemelerin birçoğu,, North American Electric Reliability Corporation (NERC) Kritik Altyapı Koruması (CIP) gereksinimleri ve PCI DSS - güçlü güvenlik denetimleri ve tutarlı güvenlik değerlendirmeleri gerektirir. Kanada Kişisel Bilgi Koruma ve Elektronik Belgeler Yasası (PIPEDA), Avrupa Birliği Veri Koruma Yönergesi ve Japonya Kişisel Bilgi Koruma Yasası (JPIPA) gibi ilgili uluslararası kanunlar farklı değildir.
Güvenlik testlerini bu uyumluluk gerekliliklerine dahil etmek, eyalet ve federal düzenlemeleri karşılamak ve genel bilgi güvenliği ve gizlilik programınızı güçlendirmek için harika bir yoldur.
