Cómo los atacantes maliciosos engendrar hackers éticos

Video: CPSLV1 - Demostracion Hacking Colaborativo

Usted necesita protección contra hackers shenanigans- que tiene que ser tan inteligente como los chicos tratando de atacar sus sistemas. Un verdadero profesional de evaluación de seguridad posee las habilidades, mentalidad, y herramientas de un hacker pero también es digno de confianza. Él o ella realiza los cortes como las pruebas de seguridad contra los sistemas en función de cómo podrían funcionar los piratas informáticos.

Ethical Hacking - que abarca la prueba formal y metódica de penetración, la piratería sombrero blanco, y las pruebas de vulnerabilidad - implica las mismas herramientas, trucos y técnicas que utilizan los hackers, pero con una diferencia importante: Hacking ético se lleva a cabo con el permiso del objetivo en un profesional ajuste. La intención de hacking ético es descubrir vulnerabilidades desde el punto de vista de un atacante malintencionado a mejores sistemas de seguridad. hacking ético es parte de un programa de gestión de riesgos de la información general que permite mejoras de seguridad en curso. hacking ético también puede asegurar que las reclamaciones de los vendedores acerca de la seguridad de sus productos son legítimas.

Si lleva a cabo pruebas de hacking ético y desea añadir otra certificación a sus credenciales, es posible que desee considerar la posibilidad de convertirse en un Certified Ethical Hacker (CEH) a través de un programa de certificación patrocinado por EC-Council. Al igual que el Certified Information Systems Security Professional (CISSP), la certificación CEH se ha convertido en una certificación muy conocido y respetado en la industria. Incluso está acreditado por el American National Standards Institute (ANSI 17024).

Video: Mundo Hacker 2016 - Internet de las cosas (1ª Parte - Capitulo 1)

Otras opciones incluyen los SANS Certificación Global de Seguridad de la Información programa y el (GIAC) Ofensiva de Seguridad Certified Professional programa (OCSP) - totalmente una certificación de pruebas de seguridad con manos. Con demasiada frecuencia, las personas que realizan este tipo de trabajo no tienen la adecuada experiencia práctica para hacerlo bien.

hacking ético frente a la auditoría

Muchas personas confunden las pruebas de seguridad a través del enfoque de hacking ético con la auditoría de seguridad, pero hay grande diferencias, a saber, en los objetivos. La auditoría de seguridad implica la comparación de las políticas de seguridad de una empresa (o requisitos de cumplimiento) a lo que realmente está ocurriendo. La intención de la auditoría de seguridad es para validar que existen los controles de seguridad - típicamente usando un enfoque basado en el riesgo. Auditoría a menudo implica la revisión de los procesos de negocio y, en muchos casos, no podría ser muy técnico. Las auditorías de seguridad se basan generalmente en las listas de comprobación.

No todas las auditorías son de alto nivel, pero muchos (especialmente alrededor de PCI DSS [PCI DSS] cumplimiento) son bastante simple - a menudo realizado por personas que no tienen computadora, la red y la experiencia de aplicación técnica o, peor aún, que trabajan fuera de ella por completo!

Por el contrario, las evaluaciones de seguridad basados ​​alrededor enfoque hacking ético sobre las vulnerabilidades que pueden ser explotadas. Este enfoque de prueba valida que los controles de seguridad no haga existen o son ineficaces en el mejor. hacking ético puede ser a la vez muy técnico y no técnico, y aunque usted hace uso de una metodología formal, tiende a ser un poco menos estructurada que la auditoría formal.

Video: Valentin Muro: cómo la ética hacker nos ayuda a resolver problemas

Cuando se requiere auditoría (por ejemplo, para la norma ISO 9001 y 27001) en su empresa, es posible considerar la integración de técnicas de hacking ético en su programa de auditoría de TI / seguridad. Se complementan entre sí muy bien.

consideraciones de política

Si usted decide hacer hacking ético una parte importante del programa de gestión de riesgos de la información de su negocio, usted realmente necesita tener una política de pruebas de seguridad documentada. Dicha política describe quién está haciendo la prueba, el tipo general de la prueba que se realiza, y con qué frecuencia se efectuará el examen.

Video: etica hacker

También puede considerar la creación de un documento de estándares de seguridad que se describen las herramientas de pruebas de seguridad específicas que se utilizan y las personas específicas que realizan la prueba. También puede ser que la lista de fechas de los exámenes estándar, como una vez por trimestre para los sistemas externos y pruebas semestrales para los sistemas internos - lo que funcione para su negocio.

Cumplimiento y preocupaciones regulatorias

Sus propias políticas internas podrían dictar la forma de administración considera que las pruebas de seguridad, pero también hay que tener en cuenta las leyes y regulaciones estatales, federales e internacionales que afectan a su negocio. En particular, la Digital Millennium Copyright Act (DMCA) envía escalofríos por las espinas de los investigadores legítimos.

Muchas de las leyes y reglamentos federales de los Estados Unidos - como la Ley de Salud Clínica (HITECH) la Ley de Portabilidad del Seguro Médico (HIPAA), Tecnología de la Información de la Salud Económica y, Gramm-Leach-Bliley (GLBA), América del Norte Confiabilidad eléctrica Corporation (NERC) requisitos de protección de infraestructuras críticas (CIP), y PCI DSS - requieren fuertes controles de seguridad y evaluaciones de seguridad consistentes. leyes internacionales relacionadas, tales como la Ley de Protección de Información Personal de Japón (JPIPA) Personal Protección Canadiense de Información y Documentos Electrónicos (PIPEDA), la Directiva de Protección de Datos de la Unión Europea, y no son diferentes.

La incorporación de las pruebas de seguridad en estos requisitos de cumplimiento es una gran manera de satisfacer las regulaciones estatales y federales y reforzar su programa global de seguridad de la información y la privacidad.

Artículos Relacionados
Linux: 2 partes de auditorías de seguridad informática
Linux: auditorías de seguridad informática
Acerca de (isc) 2 y la certificación cissp
(Isc) 2 certificaciones además cissp
Certificaciones no técnicos / no-proveedor de seguridad
Evaluar la infraestructura de seguridad para evitar cortes
Mandamientos de hackers éticos
¿Cómo establecer objetivos para un plan de hacking ético
Cómo utilizar el análisis de árbol de ataque para prepararse para un truco ética
Selección de herramientas para el trabajo de la piratería
Diez errores mortales que deben evitarse al hackear su empresa
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
Diez maneras de obtener superior de gestión de buy-in de piratear su empresa
El proceso de hacking ético
Las cosas a considerar cuando se busca un proveedor de hacking ético
Consejos para las evaluaciones de seguridad exitoso
La comprensión de la necesidad de cortar sus propios sistemas
¿Cuál es hacking ético?
¿Por qué usted debe cortar sus propios sistemas
¿Qué sistemas en caso de que éticamente hackear?