Dix erreurs mortelles à éviter lorsque vous pirater votre entreprise

Plusieurs erreurs mortelles peuvent causer des ravages sur vos résultats de piratage éthique et même votre carrière. Ne pas être victime! Voici quelques pièges potentiels que vous devez être très conscients de.

Sommaire

Ne pas obtenir l'approbation préalable

Obtenir l'approbation documentée à l'avance, comme un e-mail, une note interne, ou d'un contrat formel pour vos efforts de piratage éthique - que ce soit de la direction ou de votre client - est un must absolu. Il est de votre sortir de prison gratuit carte.

Prévoir des exceptions ici - surtout quand vous faites un travail pour les clients: Assurez-vous que vous obtenez une copie signée de ce document pour vos fichiers et votre avocat.

En supposant que vous pouvez trouver toutes les vulnérabilités lors de vos tests

Donc, beaucoup de failles de sécurité existent - connus et inconnus - que vous ne serez pas tous les trouver pendant votre essai. Ne faites pas de garanties que vous trouverez tous les failles de sécurité dans un système. Vous allez commencer quelque chose que vous ne pouvez pas terminer.

Si vous avez bien étudier probabilités et des statistiques à l'école secondaire ou au collège, vous pouvez envisager de mettre sur pied certains intervalles de confiance pour montrer ce que vous attendez vraiment à trouver.

Collez les principes suivants:

  • Être réaliste.

  • Utilisez de bons outils.

  • Apprenez à connaître vos systèmes et la pratique de perfectionner vos techniques.

En supposant que vous pouvez éliminer toutes les failles de sécurité

Quand il vient aux ordinateurs, 100 pour cent, la sécurité à toute épreuve ne sont pas réalisables. Vous ne pouvez pas empêcher éventuellement tous les failles de sécurité, mais vous ferez bien si vous découvrez le fruit à portée de main et d'accomplir les tâches suivantes:

  • Suivez pratiques solides.

  • Patch et durcir vos systèmes.

  • Appliquer des mesures contre de sécurité raisonnables (coût soit justifié).

Il est également important de se rappeler que vous aurez coûts imprévus. Vous pouvez trouver beaucoup de problèmes de sécurité et devrez le budget pour boucher les trous. Sinon, vous avez peut-être surmonté l'obstacle de la diligence raisonnable, mais ont maintenant un problème de vigilance sur vos mains. Ceci est la raison pour laquelle vous devez approcher sécurité de l'information à partir d'un point de vue des risques et avoir toutes les bonnes personnes à bord.

Effectuer des tests qu'une seule fois

Ethical Hacking est un instantané de votre état général de la sécurité. Nouvelles menaces et vulnérabilités surface sans cesse, de sorte que vous devez effectuer ces tests périodiquement et régulièrement pour vous assurer que vous restez avec les dernières défenses de sécurité pour vos systèmes. Développer des plans à court et à long terme pour la réalisation de vos tests de sécurité au cours des prochains mois et des prochaines années.

Penser que vous savez tout

Même si certains dans le domaine de l'informatique serait beg to differ, personne ne travaille avec des ordinateurs ou sécurité de l'information sait tout. Garder le contact avec toutes les versions de logiciels, modèles de matériel, et les technologies émergentes, pour ne pas mentionner les menaces et les vulnérabilités de sécurité associées, est impossible. Les vrais professionnels de la sécurité de l'information connaissent leurs limites - qui est, ce qu'ils ne pas connaître. Cependant, ils ne savent où obtenir des réponses.

Exécution de vos tests sans regarder les choses du point de vue d'un pirate


Pensez à la façon dont un intrus malveillant ou initié voyous peuvent attaquer votre réseau et des ordinateurs. Obtenez une perspective nouvelle et essayer de penser en dehors de la boîte proverbiale.

Étudier les comportements criminels et les attaques pirates et de hack fait que vous savez ce que pour tester. Il est blogging continue sur ce sujet sur le blog de Kevin Beaver sécurité. Revues spécialisées telles que Hackin9 et 2600 sont de bonnes ressources ainsi.

Ne pas tester les systèmes de droit

Concentrez-vous sur les systèmes et les opérations qui importent le plus. Vous pouvez pirater absent toute la journée à un bureau autonome fonctionnant sous MS-DOS à partir d'une disquette 5 1/4 pouces avec aucune carte de réseau et pas de disque dur, mais ne que faire du bien? Probablement pas. Mais vous ne savez jamais. Vos plus grands risques pourraient être sur le système semble moins critique. Concentrez-vous sur ce qui est urgent et important.

Ne pas utiliser les bons outils

Sans les bons outils pour la tâche, faire quoi que ce sans vous conduire noix est impossible. Acheter des outils commerciaux quand vous pouvez - ils sont généralement vaut chaque centime. Aucun outil de sécurité fait tout, cependant.

Construire votre boîte à outils et d'apprendre à bien connaître vos outils vous permettra d'économiser des masses de l'effort, et vous impressionner les autres avec vos résultats.

Marteler les systèmes de production, au mauvais moment

Une des meilleures façons de cocher votre gestionnaire ou de perdre la confiance de votre client est de lancer des attaques contre pirater les systèmes de production quand tout le monde les utilise. Si vous essayez de tester un système au mauvais moment, attendre à ce que les systèmes critiques peuvent descendre au pire moment absolue.

Assurez-vous que vous savez le meilleur moment pour effectuer votre test. Il pourrait être dans le milieu de la nuit. Cela pourrait être une raison pour justifier l'utilisation des outils de sécurité et d'autres services de soutien qui peuvent aider à automatiser certaines tâches de piratage éthique.

Externalisation des tests et non rester impliquée

L'externalisation est grande, mais vous devez rester impliqué dans tout le processus. Ne pas remettre les rênes de votre test de sécurité à une personne tierce ou un fournisseur de services de cloud computing, sans suivi et de rester au-dessus de ce qui se passe.

Vous ne serez pas en train de faire votre gestionnaire ou clients une faveur en restant sur les cheveux des vendeurs de tiers. Obtenir dans les cheveux. (Mais pas comme un morceau de gomme à mâcher -. Qui rend tout simplement plus difficile) demander des rapports de vulnérabilité de balayage, des rapports d'évaluation de la sécurité formelle, et tout ce qu'ils font qui démontre qu'ils prennent la sécurité au sérieux.


» » » » Dix erreurs mortelles à éviter lorsque vous pirater votre entreprise