Diez errores mortales que deben evitarse al hackear su empresa

Varios errores mortales pueden causar estragos en sus resultados de hacking ético e incluso su carrera. Don&rsquo-t son víctimas! Aquí hay algunos peligros potenciales que tiene que ser muy consciente de.

No obtener la aprobación previa

Obtener la aprobación documentada de antemano, como un correo electrónico, un memorando interno, o un contrato formal para sus esfuerzos de hacking ético - ya sea&rsquo-s de gestión o de su cliente - es una necesidad absoluta. Eso&rsquo-s su salir de la cárcel Freecard.

No permitir excepciones aquí - especialmente cuando&rsquo-re haciendo el trabajo para los clientes: Asegúrese de obtener una copia firmada de este documento para sus archivos y para su abogado.

Suponiendo que se pueden encontrar todas las vulnerabilidades durante sus pruebas

Por lo tanto existen muchas vulnerabilidades de seguridad - conocidos y desconocidos - que ganó&rsquo-t encontrar a todos ellos durante su prueba. Don&rsquo-t hace ninguna garantía de que usted&rsquo-ll encontrar todas las vulnerabilidades de seguridad en un sistema. Tú&rsquo-ll estar empezando algo que pueda&rsquo-t acabado.

Si lo hizo bien el estudio de probabilidad y estadística en la escuela secundaria o la universidad, puede considerar la elaboración de algunos intervalos de confianza para mostrar lo que realmente espera encontrar.

Se adhieren a los siguientes principios:

  • Ser realista.

  • Utilizar buenas herramientas.

  • Conozca a sus sistemas y la práctica de perfeccionar sus técnicas.

Suponiendo que se pueden eliminar todas las vulnerabilidades de seguridad

Cuando se trata de computadoras, 100 por ciento, la seguridad férrea no es alcanzable. Usted puede&rsquo-t posiblemente prevenir todas vulnerabilidades de seguridad, pero&rsquo-ll hacer bien si se descubre la fruta que cuelga bajo y llevar a cabo estas tareas:

  • Siga las prácticas sólidas.

  • Parche y endurecer sus sistemas.

  • Aplicar contramedidas razonables de seguridad (coste justificado).

Eso&rsquo-S también es importante recordar que usted&rsquo-LL tiene costos no planificados. Usted puede encontrar gran cantidad de problemas de seguridad y necesitará el presupuesto para tapar los agujeros. De lo contrario, es posible que haya superado el obstáculo de diligencia debida, pero ahora tienen un problema debido cuidado en sus manos. Es por esto que es necesario acercarse a seguridad de la información desde una perspectiva de riesgo y tienen todas las personas adecuadas a bordo.

Realización de pruebas de una sola vez

hacking ético es una instantánea de su estado general de la seguridad. Las nuevas amenazas y vulnerabilidades superficie continua, por lo que debe realizar estas pruebas de forma periódica y constantemente para asegurarse de que mantenerse al día con las últimas defensas de seguridad para sus sistemas. Desarrollar ambos planes a corto y largo plazo para llevar a cabo sus pruebas de seguridad en los próximos meses y años próximos.

Pensando que lo sabe todo

A pesar de que algunos en el campo de la que sería discrepar, nadie se trabaja con ordenadores o información de seguridad lo sabe todo. Mantenerse al día con todas las versiones de software, modelos de hardware y tecnologías emergentes, por no hablar de las amenazas y vulnerabilidades de seguridad asociadas, es imposible. Los verdaderos profesionales de seguridad informática conocen sus limitaciones - es decir, lo que don&rsquo-t saber. Sin embargo, saben dónde obtener respuestas.

Ejecución de pruebas sin mirar las cosas desde un hacker&punto de vista rsquo-s

Piense acerca de cómo un intruso malicioso o información privilegiada pícaro puede atacar su red y los equipos. Obtener una nueva perspectiva y tratar de pensar fuera de la caja proverbial.

Estudiar los comportamientos criminales y hackers y ataques de hackers común para que sepa lo que para detectar si existen. Hay blogs continua sobre este tema en Kevin Beaver&rsquo-s Blog Seguridad. revistas especializadas, tales como Hackin9 y 2600 son un buen recurso también.

No probar los sistemas adecuados

Centrarse en los sistemas y operaciones de mayor importancia. Puede cortar lejos todo el día en un escritorio independiente que ejecuta MS-DOS desde un disquete 5 1/4-pulgadas con ninguna tarjeta de red y sin disco duro, sino que lo hace ningún bien? Probablemente no. Pero nunca se sabe. Sus mayores riesgos podrían estar en el sistema aparentemente menos crítico. Concéntrese en lo&rsquo-s urgente e importante.

No usar las herramientas adecuadas

Sin las herramientas adecuadas para la tarea, conseguir cualquier cosa hecha sin conducir a sí mismo los frutos secos es imposible. Comprar herramientas comerciales cuando se puede - se&rsquo-re por lo general vale la pena cada centavo. Sin herramienta de seguridad se encarga de todo, sin embargo.

La construcción de su caja de herramientas y conocer a sus herramientas bien le ahorrará pegotes de esfuerzo, y usted&rsquo-LL impresionar a los demás con sus resultados.

Golpeando los sistemas de producción en el momento equivocado

Una de las mejores maneras de garrapata su gerente o pierden su cliente&rsquo s-confianza es ejecutar ataques de hackers contra los sistemas de producción cuando todo el mundo los está utilizando. Si intenta probar un sistema en el momento equivocado, es de esperar que los sistemas críticos pueden bajar en el peor momento.

Asegúrese de que conoce el mejor momento para realizar la prueba. Podría estar en el medio de la noche. Esto podría ser una razón para justificar el uso de herramientas de seguridad y otros servicios de apoyo que pueden ayudar a automatizar ciertas tareas de hacking ético.

La externalización de la prueba y no seguir participando

La externalización es grande, pero hay que seguir participando en todo el proceso. Don&rsquo-t mano las riendas de sus pruebas de seguridad a un individuo de terceros o un proveedor de servicios en la nube sin seguir y mantenerse en la cima de lo&rsquo-s que tienen lugar.

Ganaste&rsquo-t estar haciendo su gerente o clientes un favor a permanecer fuera de los proveedores de terceros&rsquo- pelo. Obtener en su cabello. (Pero no como un pedazo de goma de mascar -. Que sólo hace que todo sea más difícil) Pedir informes Análisis de vulnerabilidades, informes de evaluación formal de seguridad, y todo lo que&rsquo-re haciendo que demuestra que se toman en serio la seguridad.

Artículos Relacionados
Vulnerabilidades de seguridad basadas en servidor
Crear estándares de prueba para sus hacks éticos
Harden sistemas contra vulnerabilidades de seguridad
Cómo los atacantes maliciosos engendrar hackers éticos
¿Cómo establecer objetivos para un plan de hacking ético
Conocer sus vulnerabilidades de la infraestructura de red para evitar cortes
Selección de herramientas para el trabajo de la piratería
Sentar las bases para las pruebas de seguridad
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
Diez maneras de obtener superior de gestión de buy-in de piratear su empresa
El proceso de hacking ético
Los cortes se enfrentan los sistemas
Consejos para las evaluaciones de seguridad exitoso
Herramientas para prevenir la piratería de la red
La comprensión de la necesidad de cortar sus propios sistemas
Herramientas de pruebas de seguridad de aplicaciones web para identificar vulnerabilidades
¿Cuál es hacking ético?
¿Por qué usted debe cortar sus propios sistemas
¿Qué sistemas en caso de que éticamente hackear?
Evaluar las vulnerabilidades con hacks éticos