組織が倫理的ハッキングから利益を得る方法

著者: Roger Morrison
作成日: 26 9月 2021
更新日: 1 J 2024
Anonim
部下から尊敬される上司が行っている、たった一つの方法
ビデオ: 部下から尊敬される上司が行っている、たった一つの方法

コンテンツ


ソース:Cammeraydave / Dreamstime.com

取り除く:

ハッキングは組織にとって非常に大きな脅威です。そのため、多くの場合、倫理的なハッカーがセキュリティギャップを見つけるための最適なソリューションです。

サイバーセキュリティの脅威の性質は進化し続けています。これらの脅威を管理するためにシステムが進化しない限り、彼らは座っているアヒルになります。従来のセキュリティ対策が必要ですが、システムを潜在的に脅かす可能性のある人々またはハッカーの視点を取得することが重要です。組織は、倫理的またはホワイトハットハッカーと呼ばれるハッカーのカテゴリーに、システムの脆弱性を特定し、それらを修正するための提案を提供することを許可しています。倫理的なハッカーは、システム所有者または利害関係者の明示的な同意を得て、システムに侵入して脆弱性を特定し、セキュリティ対策の改善に関する推奨事項を提供します。倫理的なハッキングは、セキュリティを全体的かつ包括的なものにします。

倫理的なハッカーが本当に必要ですか?

倫理的なハッカーのサービスを採用することは確かに必須ではありませんが、従来のセキュリティシステムは、規模と多様性が増大する敵に対する適切な保護を繰り返し提供することに失敗しました。スマートで接続されたデバイスの急増に伴い、システムは常に脅威にさらされています。実際、ハッキングは金銭的に有利な手段であると見なされていますが、もちろん組織は犠牲になります。 「Protect Your Macintosh」という本の著者であるBruce Schneierが書いたように、「ハードウェアは簡単に保護できます。部屋にロックしたり、机につないだり、予備品を購入したりします。 1か所以上で、数秒で惑星の途中まで運ばれ、あなたの知らない間に盗まれます。」あなたのIT部門は、大きな予算がない限り、ハッカーの猛攻撃に劣ることを証明でき、貴重な情報は気付かないうちに盗まれる可能性があります。したがって、ブラックハットハッカーの方法を知っている倫理的なハッカーを雇って、ITセキュリティ戦略に次元を追加することは理にかなっています。そうしないと、組織に知らないうちに抜け穴がシステムに開いたままになるリスクが生じる可能性があります。


ハッカーの手法に関する知識

ハッキングを防ぐには、ハッカーの考え方を理解することが重要です。システムセキュリティにおける従来の役割は、ハッカーの考え方を導入しなければならない場合にのみ、多くのことを実行できます。明らかに、ハッカーのやり方は独特であり、従来のシステムセキュリティの役割にとっては扱いにくいものです。これにより、悪意のあるハッカーがシステムにアクセスできる倫理的なハッカーを雇い、途中でセキュリティの抜け穴を発見する可能性があります。

浸透試験

ペンテストとも呼ばれる侵入テストは、攻撃者が標的とすることができるシステムの脆弱性を識別するために使用されます。浸透試験には多くの方法があります。組織は、要件に応じて異なる方法を使用する場合があります。

  • ターゲットテストには、組織の人々とハッカーが関与します。組織のスタッフは全員、実行されているハッキングについて知っています。
  • 外部テストは、WebサーバーやDNSなど、外部に公開されているすべてのシステムを貫通します。
  • 内部テストにより、アクセス権限を持つ内部ユーザーに公開されている脆弱性が明らかになります。
  • ブラインドテストは、ハッカーからの実際の攻撃をシミュレートします。

テスターに​​はターゲットに関する限られた情報が与えられるため、攻撃の前に偵察を行う必要があります。侵入テストは、倫理的なハッカーを雇うための最も強力なケースです。 (詳細については、侵入テストおよびセキュリティとリスクの微妙なバランスを参照してください。)

脆弱性の特定

攻撃に対して完全に耐性のあるシステムはありません。それでも、組織は多次元保護を提供する必要があります。倫理的なハッカーのパラダイムは重要な側面を追加します。良い例は、製造ドメインの大規模な組織のケーススタディです。組織は、システムセキュリティの観点からその制限を知っていましたが、単独では多くのことを行うことができませんでした。そこで、倫理的なハッカーを雇ってシステムのセキュリティを評価し、調査結果と推奨事項を提供しました。レポートには、Microsoft RPCやリモート管理などの最も脆弱なポート、インシデント対応システムなどのシステムセキュリティ改善の推奨事項、脆弱性管理プログラムの完全な展開、強化ガイドラインをより包括的なものにするコンポーネントが含まれています。


攻撃への準備

システムがどれほど強化されても、攻撃は避けられません。最終的に、攻撃者は1つまたは2つの脆弱性を見つけます。この記事では、システムが強化される範囲に関係なく、サイバー攻撃は避けられないと述べています。これは、組織がシステムセキュリティの強化をやめる必要があるという意味ではありません。実際、まったく逆です。サイバー攻撃は進化してきており、損害を防止または最小限に抑える唯一の方法は、適切な準備です。攻撃に対してシステムを準備する1つの方法は、倫理的なハッカーが脆弱性を事前に特定できるようにすることです。

これには多くの例があり、米国国土安全保障省(DHS)の例を議論することは適切です。 DHSは、膨大な量の機密データを保存および処理する非常に大規模で複雑なシステムを使用しています。データ侵害は深刻な脅威であり、国家安全保障を脅かすことに相当します。 DHSは、ブラックハットハッカーが行う前に倫理的ハッカーをシステムに侵入させることが、準備のレベルを上げる賢い方法であることに気付きました。そのため、特定の倫理的ハッカーがDHSシステムに侵入することを許可するハックDHS法が可決されました。この法律は、イニシアチブがどのように機能するかを詳細に説明しました。倫理的なハッカーのグループを雇って、DHSシステムに侵入し、もしあれば脆弱性を特定します。特定された新しい脆弱性については、倫理的なハッカーに金銭的な報酬が与えられます。倫理的なハッカーは、特定の制約とガイドラインの下で働く必要がありますが、行動のために法的措置の対象にはなりません。この法律はまた、プログラムに参加するすべての倫理的ハッカーに徹底的な経歴検査を義務付けました。 DHSと同様に、評判の高い組織は、長い間システムセキュリティの準備のレベルを上げるために倫理的なハッカーを雇ってきました。 (一般的なセキュリティの詳細については、ITセキュリティの7つの基本原則を参照してください。)

バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド

誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。

結論

倫理的ハッキングと従来のITセキュリティの両方が連携して、エンタープライズシステムを保護する必要があります。ただし、企業は倫理的ハッキングに向けた戦略を立てる必要があります。彼らはおそらく、倫理的なハッキングに向けたDHSポリシーから抜け出すことができます。倫理的ハッカーの役割と範囲を明確に定義する必要があります。ハッカーが仕事の範囲を超えたり、システムに損傷を与えたりしないように、企業がチェックとバランスを維持することが重要です。企業はまた、倫理的なハッカーに、契約で定義されている違反が発生した場合に法的措置が取られないという保証を与える必要があります。