Créer des normes de test pour vos hacks éthiques
Une mauvaise communication ou slip-up dans vos normes d'essai peuvent envoyer les systèmes écraser lors de vos tests de piratage éthique. Personne ne veut que cela se produise. Pour éviter les accidents, développer et normes d'essai de document. Ces normes devraient inclure
Sommaire
Lorsque les tests sont effectués, avec le calendrier global
Quels tests sont effectués
Combien de connaissance des systèmes vous acquérez à l'avance
Comment les tests sont effectués et à partir des adresses IP source ce
Qu'est-ce que vous faites quand une vulnérabilité majeure est découvert
Temps vos tests
Cela est particulièrement vrai lors de l'exécution des tests de piratage éthique. Assurez-vous que les tests que vous effectuez minimiser les perturbations pour les processus métier, les systèmes d'information, et des personnes. Vous voulez éviter les situations dangereuses telles que miscommunicating le calendrier de tests et de provoquer une attaque de type DoS contre un site e-commerce à fort trafic dans le milieu de la journée ou lors d'essais de craquage de mots de passe dans le milieu de la nuit.
Ayant Même les gens dans des fuseaux horaires différents peuvent créer des problèmes. Tout le monde sur le projet doit convenir d'un calendrier détaillé avant de commencer. Avoir l'accord des membres de l'équipe met tout le monde sur la même page et établit des attentes correctes.
Votre calendrier de test devrait inclure des dates spécifiques à court terme et les temps de chaque essai, les dates de début et de fin, et aucun des jalons spécifiques entre les deux. Vous pouvez développer et entrez votre timeline en un simple tableur ou diagramme de Gantt, ou vous pouvez inclure le calendrier dans le cadre de votre proposition initiale du client et le contrat. Votre calendrier peut également être des structures de répartition du travail dans un plan de projet plus vaste.
Exécuter des tests spécifiques
Vous pourriez avoir été chargé de l'exécution d'un général test de pénétration, ou vous pouvez effectuer des tests spécifiques, telles que le craquage de mots de passe ou d'essayer d'accéder à une application Web. Ou vous pourriez être effectuer un test de l'ingénierie sociale ou l'évaluation de Windows sur le réseau.
Cependant vous testez, vous voudrez peut-être de ne pas révéler les détails de l'essai. Même lorsque votre gestionnaire ou le client ne nécessite pas des registres détaillés de vos tests, de documenter ce que vous faites à un niveau élevé. Documenter votre test peut aider à éliminer toute mauvaise communication potentiel.
Vous savez peut-être les critères généraux que vous effectuez, mais si vous utilisez des outils automatisés, il peut être impossible de comprendre chaque test vous effectuez complètement. Cela est particulièrement vrai lorsque le logiciel vous utilisez reçoit à jour et correctifs de vulnérabilité en temps réel par le fournisseur à chaque fois que vous l'exécutez. Le potentiel de mises à jour fréquentes souligne l'importance de la lecture de la documentation et des dossiers qui viennent avec les outils que vous utilisez.
Aveugle versus évaluations des connaissances
Avoir une certaine connaissance des systèmes vous testez pourrait être une bonne idée, mais il est pas nécessaire. Mais, une compréhension de base des systèmes que vous pirater peut vous protéger et protéger autrui. L'obtention de cette connaissance ne doit pas être difficile si vous êtes de piratage de vos propres systèmes internes.
Si vous pirater les systèmes d'un client, vous pourriez avoir à creuser un peu plus profondément dans la façon dont les systèmes fonctionnent si vous êtes familier avec eux. Cela ne signifie pas que les évaluations ne sont pas aveugles précieux, mais le type d'évaluation que vous effectuez dépend de vos besoins spécifiques.
La meilleure approche consiste à projeter sur illimité attaques, dans lequel un test est possible, peut-être même y compris les tests DOS.
Examiner si les tests doivent être effectués afin qu'ils soient détectés par les administrateurs de réseau et des fournisseurs de services de sécurité gérés. Bien que non requis, cette pratique devrait être considérée, en particulier pour l'ingénierie sociale et des tests de sécurité physiques.
Emplacement
Les tests que vous effectuez dictent où vous devez les exécuter à partir. Votre but est de tester vos systèmes à partir d'emplacements accessibles par des pirates ou des employés malveillants. Vous ne pouvez pas prédire si vous serez attaqué par quelqu'un à l'intérieur ou à l'extérieur de votre réseau, donc couvrir tous vos bases. Combinez tests externes et des tests internes.
Vous pouvez effectuer des tests, tels que les évaluations de craquage de mots de passe et d'un réseau d'infrastructures, à partir de votre bureau. Pour hacks externes qui nécessitent une connectivité réseau, vous pourriez avoir à aller hors-site ou utiliser un serveur proxy externe. Les scanners de vulnérabilité Certains éditeurs de sécurité sont gérées à partir du nuage, de sorte que cela fonctionnera aussi bien.
Mieux encore, si vous pouvez attribuer une adresse IP publique à la disposition de votre ordinateur, il suffit de brancher au réseau à l'extérieur du pare-feu pour une vue le pirate de vos systèmes. Des tests internes sont faciles parce que vous avez seulement besoin de l'accès physique au bâtiment et le réseau. Vous pourriez être en mesure d'utiliser une ligne DSL ou modem câble déjà en place pour les visiteurs et utilisateurs similaires.
Répondre aux vulnérabilités que vous trouvez
Déterminer à l'avance si vous allez vous arrêter ou de continuer quand vous trouvez une faille de sécurité critique. Vous ne devez garder à jamais le piratage ou jusqu'à ce que vous vous écrasez tous les systèmes. Il suffit de suivre le chemin que vous êtes sur que vous ne pouvez pas pirater plus longtemps. En cas de doute, la meilleure chose à faire est d'avoir un objectif précis en tête, puis arrêter lorsque cet objectif a été atteint.
Si vous découvrez un grand trou, contacter les bonnes personnes dès que possible afin qu'ils puissent commencer à fixer le problème tout de suite. Les bonnes personnes peuvent être les développeurs de logiciels, les gestionnaires de produit ou un projet, ou même des DSI. Si vous attendez quelques jours ou quelques semaines, quelqu'un pourrait exploiter la vulnérabilité de dommages et la cause qui aurait pu être évitée.
Hypothèses stupides
Vous avez entendu parler de ce que vous faites de vous-même lorsque vous prenez les choses. Même ainsi, vous faites des hypothèses lorsque vous pirater un système. Voici quelques exemples de ces hypothèses:
Ordinateurs, réseaux, et les gens sont disponibles lorsque vous testez.
Vous disposez de tous les outils de test appropriées.
Les outils de test que vous utilisez vont minimiser les chances d'écraser les systèmes que vous testez.
Vous comprenez la probabilité que les vulnérabilités existantes sont introuvables ou que vous avez utilisé vos outils de test de manière incorrecte.
Vous connaissez les risques de vos tests.
Document de toutes les hypothèses et avoir une gestion ou votre client de signer pour eux dans le cadre de votre processus d'approbation globale.
-
Évaluer les vulnérabilités avec hacks éthiques -
Évitez les hacks sur les postes de travail sans fil vulnérables - Évitez hacks avec des outils de test linux
- Commandements de Ethical Hacker
- Comment communiquer les résultats des évaluations de sécurité
- Comment utiliser l'analyse de l'arbre d'attaque pour se préparer à un piratage éthique
Connaissez vos vulnérabilités de l'infrastructure de réseau pour éviter hacks Vulnérabilités de l'infrastructure de réseau sont le fondement de la plupart des questions et des hacks de sécurité techniques dans vos systèmes d'information. Ces vulnérabilités de niveau inférieur affectent pratiquement tout sur votre…
Exécuter des analyses authentifiées pour éviter hacks sur les systèmes Windows Un autre test que vous pouvez exécuter pour protéger vos systèmes Windows à partir de hacks est un “ authentifié ” scan - essentiellement à la recherche de vulnérabilités comme un utilisateur de confiance. Ces types de tests…
Dix erreurs mortelles à éviter lorsque vous pirater votre entreprise Plusieurs erreurs mortelles peuvent causer des ravages sur vos résultats de piratage éthique et même votre carrière. Ne pas être victime! Voici quelques pièges potentiels que vous devez être très conscients de.Ne pas obtenir l'approbation…
Dix raisons de piratage est le meilleur moyen d'assurer la sécurité de l'entreprise Ethical Hacking est pas juste pour le fun ou spectacle. Pour de nombreuses raisons d'affaires, le piratage éthique est le seul moyen efficace pour trouver les failles de sécurité qui comptent dans votre organisation.Les méchants pensent…
Règles de pare-feu de test pour empêcher hacks de réseau Dans le cadre de votre piratage éthique, vous pouvez tester vos règles de pare-feu pour vous assurer qu'ils fonctionnent comme ils sont censés le faire. Des brèches dans les pare-feu peuvent facilement compromettre vos efforts à la sécurité.…
5 façons de le tester des plans de reprise après sinistre Le test est une partie naturelle du cycle de vie pour de nombreux efforts de développement de la technologie: le logiciel, les processus et - oui - la planification de la reprise après sinistre. Les catastrophes ne se produisent pas très souvent,…
Sélection des outils pour votre travail de piratage Comme pour tout projet, si vous ne disposez pas des bons outils pour le piratage éthique, accomplissement de la tâche de manière efficace est difficile. Cela dit, juste parce que vous utilisez les bons outils ne signifie pas que vous allez…
Le processus de piratage éthique Comme pratiquement tout projet informatique ou la sécurité, le piratage éthique doit être planifiée à l'avance. Questions stratégiques et tactiques dans le processus de piratage éthique devraient être déterminées et convenues. Pour…
Linux: la mise en œuvre d'une méthodologie de test de sécurité Un élément clé d'un audit de sécurité informatique que vous souhaitez utiliser tout en travaillant dans Linux est un test de sécurité qui vérifie les mécanismes techniques utilisés pour sécuriser un hôte et le réseau. La méthodologie…
Types de tests de vulnérabilité Linux Le numéro un objet de tests de pénétration est d'identifier les vulnérabilités. Un test de pénétration est la meilleure façon de dire quels services sont vraiment en cours d'exécution sur un système Linux.Lors de la visualisation d'un tel…
Hacking for dummies En tant que professionnel de la sécurité de l'information, votre trousse à outils est l'élément le plus critique que vous pouvez posséder - autre que l'expérience pratique et le bon sens. Vos outils de piratage devrait être composé des…
L'évaluation des allégations avec des tests d'hypothèses Vous utilisez des tests d'hypothèses de contester si certains prétendent d'une population est vrai (par exemple, une demande que 90 pour cent des Américains possèdent un téléphone portable). Pour tester une hypothèse statistique, vous prenez…
Manipulation des tests d'hypothèses statistiques Vous utilisez des tests d'hypothèses de contester si certains prétendent d'une population est vrai (par exemple, une demande que 40 pour cent des Américains possèdent un téléphone portable). Pour tester une hypothèse statistique, vous prenez…
Des tests plus poussés pour votre site Web mobile Le plus grand défi pour la plupart des designers qui créent des sites pour le World Wide Web est d'avoir à le tester dans de nombreux navigateurs Web différents et sur différents systèmes d'exploitation et périphériques. Si vous êtes…