Etisk Hacking Process

May 11  by Eliza

Som praktisk talt alle IT eller sikkerhet prosjekt, trenger etisk hacking å være planlagt på forhånd. Strategiske og taktiske spørsmål i etisk hacking prosessen bør være bestemt og avtalt. For å sikre suksess for din innsats, tilbringe tid opp foran planlegge ting ut. Planlegging er viktig for et beløp av testing - fra et enkelt passord-cracking test til en all-out penetrasjon test på en web-applikasjon.

Formulere din plan

Godkjenning for etisk hacking er avgjørende. Gjør hva du gjør kjent og synlig - i hvert fall til beslutningstakere. Innhenting sponsing av prosjektet er det første skrittet. Dette kan være din manager, en utøvende, klienten din, eller deg selv hvis du er sjefen. Du trenger noen tilbake til deg og logge av på planen. Ellers kan det hende at testing bli avblåst uventet hvis noen hevder de aldri tillatt at du kan utføre testene.

Fullmakten kan være så enkelt som et internt notat eller e-post fra sjefen din hvis du utfører disse testene på dine egne systemer. Hvis du tester for en klient, har en signert kontrakt på plass, sier klientens støtte og autorisasjon. Få skriftlig godkjenning på dette sponsing så snart som mulig for å sikre at ingen av din tid eller innsats er bortkastet. Denne dokumentasjonen er din kommer ut av fengsel gratis kort hvis noen stiller spørsmål hva du gjør, eller enda verre, hvis myndighetene kommer ringer.

En slip kan krasje systemene - ikke nødvendigvis hva noen ønsker. Du trenger en detaljert plan, men det betyr ikke at du trenger volumer av testprosedyrer. En veldefinert omfang inkluderer følgende informasjon:

  • Spesifikke systemer som skal testes: Når du velger systemer for å teste, starte med de mest kritiske systemer og prosesser eller de du mistenker for å være de mest sårbare. For eksempel kan du teste datamaskinen passord, en Internett-vendt web-applikasjon, eller forsøke social engineering angrep før boring ned i alle systemer.
  • Risiko involvert: Det lønner seg å ha en beredskapsplan for din etisk hacking prosess i tilfelle noe går galt. Hva hvis du vurdere brannmuren eller web-applikasjon, og du tar det ned? Dette kan føre til at systemet er utilgjengelig, noe som kan redusere systemytelsen eller ansattes produktivitet. Enda verre, kan det føre til tap av dataintegritet, tap av data selv, og selv dårlig publisitet. Det vil ganske sikkert krysse av en person eller to, og gjøre at du ser dårlig.

Håndtere social engineering og DoS-angrep nøye. Bestemme hvordan de kan påvirke systemene du tester og hele organisasjonen.

  • Når testene vil bli utført og din generelle tidslinje: Bestemme når testene utføres er noe som du må tenke lenge og hardt om. Har du utføre tester i normal arbeidstid? Hva med sent på kvelden eller tidlig på morgenen, slik at produksjonssystemer er ikke berørt? Involvere andre for å sørge for at de godkjenner din timing.

Den beste tilnærmingen er et ubegrenset angrep, hvor ethvert type test er mulig når som helst på dagen. Skurkene er ikke bryte inn i systemene innenfor et begrenset omfang, så hvorfor skulle du? Noen unntak til denne tilnærmingen utfører DoS-angrep, social engineering og fysiske sikkerhetstester.

  • Hvor mye kunnskap om systemene du har før du starter testing: Du trenger ikke omfattende kunnskap om systemene du tester - bare en grunnleggende forståelse. Denne grunnleggende forståelse bidrar til å beskytte deg og de testede systemer.
  • Hvilke tiltak vil bli tatt når en større sårbarhet blir oppdaget: Ikke stopp etter at du finner ett sikkerhetshull. Dette kan føre til en falsk følelse av trygghet. Hold kommer til å se hva annet du kan oppdage. Du trenger ikke å holde hacking til slutten av tid eller før du krasjer alle dine systemer; bare følger den vei du går ned til du ikke kan hacke det lenger (pun intended). Hvis du ikke har funnet noen sårbarheter, har du ikke sett godt nok.
  • De spesifikke ytelser: Dette inkluderer sikkerhetsvurdering et høyere nivå rapport rapporter og beskriver de generelle sårbarheter som skal behandles, sammen med mottiltak som bør iverksettes.

Ett av målene kan være å utføre testene uten å bli oppdaget. For eksempel kan du være å utføre testene på eksterne systemer eller på et eksternt kontor, og du ikke vil at brukerne skal være klar over hva du gjør. Ellers kan brukerne ta på deg og være på sitt beste atferd - i stedet for deres normal atferd.

Gjennomføring av planen

God etisk hacking tar utholdenhet. Tid og tålmodighet er viktig. Vær forsiktig når du utfører dine etiske hacking tester. En hacker i ditt nettverk eller en tilsynelatende godartet ansatt ser over skulderen din kan se hva som skjer, og bruke denne informasjonen mot deg.

Det er ikke praktisk å sørge for at ingen hackere er på systemene dine før du begynner. Bare sørg for å holde alt så rolig og privat som mulig. Dette er spesielt viktig når du sender og lagring av testresultater. Hvis mulig, kryptere alle e-poster og filer som inneholder sensitiv informasjon test ved hjelp Pretty Good Privacy eller lignende teknologi. På et minimum, passordbeskytte dem.

Du er nå på et rekognoseringsoppdrag. Utnytte så mye informasjon som mulig om din organisasjon og systemer, som er det ondsinnede hackere gjør. Start med et bredt syn og begrense fokus:

1. Søk på Internett for organisasjonens navn, data- og nettverkssystemet ditt navn og IP-adresser.

Google er et flott sted å starte.

2. Begrens omfanget, rettet mot de spesifikke systemer du tester.

Enten du vurdere fysiske sikkerhetsstrukturer eller web-applikasjoner, kan en uformell vurdering skru opp mye informasjon om dine systemer.

3. Videre begrense fokus med et mer kritisk blikk. Utføre faktiske skanner og andre detaljerte tester for å avdekke sårbarheter på dine systemer.

4. Utfør angrepene og utnytte eventuelle sårbarheter du har funnet, hvis det er det du velger å gjøre.

Evaluere resultater

Vurdere resultatene dine for å se hva du avdekket, forutsatt at sikkerhetsproblemene ikke har blitt gjort klart før nå. Det er der kunnskap teller. Evaluere resultatene og samkjøre de spesifikke sårbarheter oppdaget er en ferdighet som blir bedre med erfaring. Du vil ende opp med å kjenne dine systemer mye bedre enn noen andre. Dette gjør evalueringsprosessen mye enklere fremover.

Send inn en formell rapport til ledelsen eller til klienten, som beskriver dine resultater og noen anbefalinger du ønsker å dele. Oppbevar disse partiene i loop for å vise at din innsats og sine penger er godt brukt.