Le processus de piratage éthique

Comme pratiquement tout projet informatique ou la sécurité, le piratage éthique doit être planifiée à l'avance. Questions stratégiques et tactiques dans le processus de piratage éthique devraient être déterminées et convenues. Pour assurer le succès de vos efforts, de passer du temps les choses de planification avant sur. La planification est importante pour toute quantité de tests - à partir d'un essai de fissuration de mot de passe simple à un test tous azimuts pénétration sur une application Web.

Sommaire

Formuler votre plan

Approbation de piratage éthique est essentielle. Assurez-ce que vous faites connue et visible - au moins pour les décideurs. Obtention parrainage du projet est la première étape. Ce pourrait être votre gestionnaire, un dirigeant, votre client, ou vous-même si vous êtes le patron. Vous avez besoin de quelqu'un pour vous soutenir et de signer sur votre plan. Sinon, votre test peut être appelé de manière inattendue si quelqu'un prétend qu'ils ne vous autorisés à effectuer les tests.

L'autorisation peut être aussi simple que d'une note interne ou par e-mail à partir de votre patron si vous effectuez ces essais sur vos propres systèmes. Si vous testez pour un client, avoir un contrat signé en place, indiquant le soutien et l'autorisation du client. Obtenez l'approbation écrite de ce parrainage dès que possible afin d'assurer qu'aucun de votre temps ou d'effort est gaspillé. Cette documentation est votre Sortir de prison gratuit carte si quelqu'un en doute ce que vous faites, ou pire, si les autorités viennent d'appeler.

Un glissement peut planter vos systèmes - pas nécessairement ce que quelqu'un veut. Vous avez besoin d'un plan détaillé, mais cela ne signifie pas que vous devez volumes de procédures d'essai. Une portée bien définie comprend les informations suivantes:

  • Des systèmes spécifiques à tester: Lors de la sélection des systèmes à tester, commencer avec les systèmes et les processus les plus critiques ou ceux que vous soupçonnez d'être les plus vulnérables. Par exemple, vous pouvez tester les mots de passe de l'ordinateur, une application Web exposé à Internet, ou tenter attaques d'ingénierie sociale avant de percer vers le bas dans tous vos systèmes.
  • Risques encourus: Il paie pour avoir un plan d'urgence pour votre processus de piratage éthique en cas où quelque chose se passe mal. Que faire si vous êtes l'évaluation de votre pare-feu ou une application Web et vous prendre vers le bas? Cela peut provoquer l'indisponibilité du système, ce qui peut réduire les performances du système ou de la productivité des employés. Pire encore, il pourrait causer la perte de l'intégrité des données, la perte de données elle-même, et même la mauvaise publicité. Il va très certainement cocher une personne ou deux et vous faire mal paraître.
    Manipulez l'ingénierie sociale et les attaques DoS attentivement. Déterminer comment ils peuvent affecter les systèmes que vous testez et l'ensemble de votre organisation.
  • Lorsque les tests seront effectués et votre calendrier global: Déterminer quand les tests sont effectués est quelque chose que vous devez penser à long et dur sur. Avez-vous d'effectuer des tests pendant les heures normales de bureau? Que diriez-vous tard le soir ou tôt le matin afin que les systèmes de production ne sont pas touchés? Impliquer les autres à faire en sorte qu'ils approuvent votre timing.
    La meilleure approche est une attaque illimitée, dans lequel tout type de test est possible à tout moment de la journée. Les méchants ne sont pas effraction dans vos systèmes au sein d'une portée limitée, alors pourquoi devriez-vous? Certaines exceptions à cette approche sont performants attaques DoS, l'ingénierie sociale, et des tests de sécurité physiques.
  • Comment beaucoup de connaissances des systèmes que vous avez devant vous de commencer les tests: Vous ne devez pas une connaissance approfondie des systèmes que vous testez - juste une compréhension de base. Cette compréhension de base vous aide et les systèmes testés protéger.
  • Quelles mesures seront prises au moment d'une vulnérabilité majeure est découvert: Ne vous arrêtez pas après avoir trouvé un trou de sécurité. Cela peut conduire à un faux sentiment de sécurité. Continuez à voir ce que vous pouvez découvrir. Vous ne disposez pas de garder le piratage jusqu'à la fin des temps ou jusqu'à ce que vous vous écrasez tous vos SYSTÈMES simplement poursuivre dans la voie que vous allez jusqu'à ce que vous ne pouvez pas pirater plus longtemps (jeu de mots). Si vous avez pas trouvé de vulnérabilités, vous avez pas regardé assez dur.
  • Les résultats spécifiques: Cela comprend les rapports d'évaluation de la sécurité et un rapport de niveau supérieur décrivant les vulnérabilités générales doivent être abordées, ainsi que les contre-mesures qui devraient être mises en œuvre.

Un de vos objectifs est peut-être de réaliser les tests sans être détecté. Par exemple, vous pouvez être effectuez vos tests sur des systèmes distants ou sur un bureau distant, et vous ne voulez pas que les utilisateurs soient au courant de ce que vous faites. Sinon, les utilisateurs peuvent prendre sur vous et être sur leur meilleur comportement - à la place de leur comportement normal.

Exécution du plan

Bon piratage éthique prend la persistance. Temps et la patience sont importants. Soyez prudent lorsque vous effectuez vos tests de piratage éthique. Un pirate dans votre réseau ou un employé apparemment bénigne regardant par-dessus votre épaule peut regarder ce qui se passe et utiliser cette information contre vous.

Il est pas pratique de faire en sorte que les pirates sont pas sur vos systèmes avant de commencer. Assurez-vous de garder tout aussi calme et privé que possible. Cela est particulièrement important lors de la transmission et le stockage de vos résultats de test. Si possible, crypter des e-mails et les fichiers contenant des informations de test sensible en utilisant Pretty Good Privacy ou une technologie similaire. Au minimum, les passe-protéger.

Vous êtes maintenant sur une mission de reconnaissance. Exploiter autant d'informations que possible sur votre organisation et systèmes, qui est ce que font les pirates informatiques. Commencez avec une vue large et affiner votre cible:

1. Recherche sur Internet pour le nom de votre organisation, votre système de réseau informatique et les noms et les adresses IP.

Google est un excellent endroit pour commencer.


2. Précisez votre portée, en ciblant les systèmes spécifiques que vous testez.

Que vous soyez à l'évaluation physique des structures de sécurité ou des applications Web, une évaluation occasionnel peut tourner un grand nombre d'informations à propos de vos systèmes.

3. affiner davantage votre attention avec un œil plus critique. Effectuer des analyses réelles et d'autres tests détaillés pour découvrir les vulnérabilités sur vos systèmes.

4. Effectuez les attaques et exploiter les vulnérabilités que vous avez trouvé, si ce est ce que vous choisissez de le faire.

L'évaluation des résultats

Évaluer vos résultats pour voir ce que vous découvert, en supposant que les vulnérabilités ont pas été fait évidente avant aujourd'hui. Ceci est où la connaissance compte. Évaluer les résultats et en corrélant les vulnérabilités spécifiques découverts est une compétence qui va mieux avec l'expérience. Vous finirez par connaître vos systèmes beaucoup mieux que quiconque. Cela rend le processus d'évaluation beaucoup plus simple aller de l'avant.

Soumettre un rapport officiel à la haute direction ou à votre client, décrivant vos résultats et les recommandations que vous souhaitez partager. Gardez ces partis dans la boucle pour montrer que vos efforts et leur argent est bien dépensé.