Créer des normes de test pour vos hacks éthiques

Une mauvaise communication ou slip-up dans vos normes d'essai peuvent envoyer les systèmes écraser lors de vos tests de piratage éthique. Personne ne veut que cela se produise. Pour éviter les accidents, développer et normes d'essai de document. Ces normes devraient inclure

Sommaire

  • Lorsque les tests sont effectués, avec le calendrier global

  • Quels tests sont effectués

  • Combien de connaissance des systèmes vous acquérez à l'avance

  • Comment les tests sont effectués et à partir des adresses IP source ce

  • Qu'est-ce que vous faites quand une vulnérabilité majeure est découvert

Temps vos tests

Cela est particulièrement vrai lors de l'exécution des tests de piratage éthique. Assurez-vous que les tests que vous effectuez minimiser les perturbations pour les processus métier, les systèmes d'information, et des personnes. Vous voulez éviter les situations dangereuses telles que miscommunicating le calendrier de tests et de provoquer une attaque de type DoS contre un site e-commerce à fort trafic dans le milieu de la journée ou lors d'essais de craquage de mots de passe dans le milieu de la nuit.

Ayant Même les gens dans des fuseaux horaires différents peuvent créer des problèmes. Tout le monde sur le projet doit convenir d'un calendrier détaillé avant de commencer. Avoir l'accord des membres de l'équipe met tout le monde sur la même page et établit des attentes correctes.

Votre calendrier de test devrait inclure des dates spécifiques à court terme et les temps de chaque essai, les dates de début et de fin, et aucun des jalons spécifiques entre les deux. Vous pouvez développer et entrez votre timeline en un simple tableur ou diagramme de Gantt, ou vous pouvez inclure le calendrier dans le cadre de votre proposition initiale du client et le contrat. Votre calendrier peut également être des structures de répartition du travail dans un plan de projet plus vaste.

Exécuter des tests spécifiques

Vous pourriez avoir été chargé de l'exécution d'un général test de pénétration, ou vous pouvez effectuer des tests spécifiques, telles que le craquage de mots de passe ou d'essayer d'accéder à une application Web. Ou vous pourriez être effectuer un test de l'ingénierie sociale ou l'évaluation de Windows sur le réseau.

Cependant vous testez, vous voudrez peut-être de ne pas révéler les détails de l'essai. Même lorsque votre gestionnaire ou le client ne nécessite pas des registres détaillés de vos tests, de documenter ce que vous faites à un niveau élevé. Documenter votre test peut aider à éliminer toute mauvaise communication potentiel.

Vous savez peut-être les critères généraux que vous effectuez, mais si vous utilisez des outils automatisés, il peut être impossible de comprendre chaque test vous effectuez complètement. Cela est particulièrement vrai lorsque le logiciel vous utilisez reçoit à jour et correctifs de vulnérabilité en temps réel par le fournisseur à chaque fois que vous l'exécutez. Le potentiel de mises à jour fréquentes souligne l'importance de la lecture de la documentation et des dossiers qui viennent avec les outils que vous utilisez.

Aveugle versus évaluations des connaissances

Avoir une certaine connaissance des systèmes vous testez pourrait être une bonne idée, mais il est pas nécessaire. Mais, une compréhension de base des systèmes que vous pirater peut vous protéger et protéger autrui. L'obtention de cette connaissance ne doit pas être difficile si vous êtes de piratage de vos propres systèmes internes.

Si vous pirater les systèmes d'un client, vous pourriez avoir à creuser un peu plus profondément dans la façon dont les systèmes fonctionnent si vous êtes familier avec eux. Cela ne signifie pas que les évaluations ne sont pas aveugles précieux, mais le type d'évaluation que vous effectuez dépend de vos besoins spécifiques.

La meilleure approche consiste à projeter sur illimité attaques, dans lequel un test est possible, peut-être même y compris les tests DOS.

Examiner si les tests doivent être effectués afin qu'ils soient détectés par les administrateurs de réseau et des fournisseurs de services de sécurité gérés. Bien que non requis, cette pratique devrait être considérée, en particulier pour l'ingénierie sociale et des tests de sécurité physiques.

Emplacement

Les tests que vous effectuez dictent où vous devez les exécuter à partir. Votre but est de tester vos systèmes à partir d'emplacements accessibles par des pirates ou des employés malveillants. Vous ne pouvez pas prédire si vous serez attaqué par quelqu'un à l'intérieur ou à l'extérieur de votre réseau, donc couvrir tous vos bases. Combinez tests externes et des tests internes.

Vous pouvez effectuer des tests, tels que les évaluations de craquage de mots de passe et d'un réseau d'infrastructures, à partir de votre bureau. Pour hacks externes qui nécessitent une connectivité réseau, vous pourriez avoir à aller hors-site ou utiliser un serveur proxy externe. Les scanners de vulnérabilité Certains éditeurs de sécurité sont gérées à partir du nuage, de sorte que cela fonctionnera aussi bien.


Mieux encore, si vous pouvez attribuer une adresse IP publique à la disposition de votre ordinateur, il suffit de brancher au réseau à l'extérieur du pare-feu pour une vue le pirate de vos systèmes. Des tests internes sont faciles parce que vous avez seulement besoin de l'accès physique au bâtiment et le réseau. Vous pourriez être en mesure d'utiliser une ligne DSL ou modem câble déjà en place pour les visiteurs et utilisateurs similaires.

Répondre aux vulnérabilités que vous trouvez

Déterminer à l'avance si vous allez vous arrêter ou de continuer quand vous trouvez une faille de sécurité critique. Vous ne devez garder à jamais le piratage ou jusqu'à ce que vous vous écrasez tous les systèmes. Il suffit de suivre le chemin que vous êtes sur que vous ne pouvez pas pirater plus longtemps. En cas de doute, la meilleure chose à faire est d'avoir un objectif précis en tête, puis arrêter lorsque cet objectif a été atteint.

Si vous découvrez un grand trou, contacter les bonnes personnes dès que possible afin qu'ils puissent commencer à fixer le problème tout de suite. Les bonnes personnes peuvent être les développeurs de logiciels, les gestionnaires de produit ou un projet, ou même des DSI. Si vous attendez quelques jours ou quelques semaines, quelqu'un pourrait exploiter la vulnérabilité de dommages et la cause qui aurait pu être évitée.

Hypothèses stupides

Vous avez entendu parler de ce que vous faites de vous-même lorsque vous prenez les choses. Même ainsi, vous faites des hypothèses lorsque vous pirater un système. Voici quelques exemples de ces hypothèses:

  • Ordinateurs, réseaux, et les gens sont disponibles lorsque vous testez.

  • Vous disposez de tous les outils de test appropriées.

  • Les outils de test que vous utilisez vont minimiser les chances d'écraser les systèmes que vous testez.

  • Vous comprenez la probabilité que les vulnérabilités existantes sont introuvables ou que vous avez utilisé vos outils de test de manière incorrecte.

  • Vous connaissez les risques de vos tests.

Document de toutes les hypothèses et avoir une gestion ou votre client de signer pour eux dans le cadre de votre processus d'approbation globale.


» » » » Créer des normes de test pour vos hacks éthiques