كيف يمكن لمنظمتك الاستفادة من القرصنة الأخلاقية

مؤلف: Roger Morrison
تاريخ الخلق: 26 شهر تسعة 2021
تاريخ التحديث: 20 يونيو 2024
Anonim
Introduction to Ethical Hacking - مقدمة في القرصنة الأخلاقية
فيديو: Introduction to Ethical Hacking - مقدمة في القرصنة الأخلاقية

المحتوى


المصدر: Cammeraydave / Dreamstime.com

يبعد:

يعد الاختراق تهديدًا كبيرًا للمنظمات ، ولهذا السبب غالبًا ما يكون المتسللون الأخلاقيون الحل الأمثل لإيجاد ثغرات أمنية.

تستمر طبيعة تهديدات الأمن السيبراني في التطور. ما لم تتطور الأنظمة لإدارة هذه التهديدات ، فسيجلسون في البط. في حين أن التدابير الأمنية التقليدية ضرورية ، من المهم الحصول على منظور الأشخاص الذين يحتمل أن يهددوا الأنظمة أو المتسللين. لقد سمحت المؤسسات لفئة من المتسللين ، المعروفة باسم المتسللين بالأخلاقيات أو القراصنة البيض ، بتحديد نقاط ضعف النظام وتقديم اقتراحات بشأن إصلاحها. يقوم المتسللون الأخلاقيون ، بموافقة صريحة من مالكي النظام أو أصحاب المصلحة ، باختراق الأنظمة لتحديد نقاط الضعف وتقديم توصيات بشأن تحسين التدابير الأمنية. القرصنة الأخلاقية تجعل الأمن كليًا وشاملًا.

هل حقا بحاجة المتسللين الأخلاقية؟

من المؤكد أنه ليس من الضروري استخدام خدمات المتسللين الأخلاقيين ، لكن أنظمة الأمن التقليدية فشلت مرارًا في توفير حماية كافية ضد عدو ينمو في الحجم والتنوع. مع انتشار الأجهزة الذكية والمتصلة ، تتعرض الأنظمة باستمرار للتهديد. في الواقع ، يُنظر إلى القرصنة على أنها وسيلة مربحة مالياً ، بالطبع على حساب المنظمات. كما قال Bruce Schneier ، مؤلف كتاب "Protect Your Macintosh" ، "من السهل حماية الأجهزة: قفلها في غرفة أو ربطها بمكتب أو شراء قطع غيار. المعلومات تشكل مشكلة أكبر. يمكن أن توجد في أكثر من مكان ؛ يتم نقلك في منتصف الطريق عبر الكوكب في ثوانٍ ؛ ويسرق من دون علمك. " يمكن أن يثبت قسم تكنولوجيا المعلومات لديك ، ما لم يكن لديك ميزانية كبيرة ، أنه أدنى من هجوم المتسللين ، ويمكن سرقة المعلومات القيمة قبل أن تدرك ذلك. لذلك ، فمن المنطقي أن تضيف بعدًا لاستراتيجية أمان تكنولوجيا المعلومات الخاصة بك عن طريق توظيف المتسللين الأخلاقيين الذين يعرفون طرق المتسللين القبعة السوداء. خلاف ذلك ، قد تواجه مؤسستك خطر الإبقاء على الثغرات مفتوحة في النظام.


معرفة طرق المتسللين

لمنع القرصنة ، من المهم أن نفهم كيف يفكر المتسللين. يمكن للأدوار التقليدية في أمان النظام أن تفعل الكثير فقط حتى يتم تقديم عقلية الهاكر. من الواضح أن طرق المتسللين فريدة وصعبة بالنسبة لأدوار أمان النظام التقليدية. هذا يحدد الحالة لاستئجار متسلل أخلاقي يمكنه الوصول إلى النظام مثل المتسلل الخبيث ، وفي الطريق ، يكتشف أي ثغرات أمنية.

اختبار الاختراق

المعروف أيضًا باسم اختبار القلم ، يتم استخدام اختبار الاختراق لتحديد نقاط ضعف النظام التي يمكن للمهاجم استهدافها. هناك العديد من طرق اختبار الاختراق. قد تستخدم المنظمة طرقًا مختلفة وفقًا لمتطلباتها.

  • اختبار المستهدفة يشمل المنظمات الناس والقراصنة. يعرف موظفو المنظمة عن القرصنة التي يتم تنفيذها.
  • يخترق الاختبار الخارجي جميع الأنظمة المكشوفة خارجيًا مثل خوادم الويب و DNS.
  • يكشف الاختبار الداخلي عن ثغرات أمنية مفتوحة للمستخدمين الداخليين الذين لديهم امتيازات وصول.
  • اختبار الأعمى يحاكي هجمات حقيقية من المتسللين.

يتم إعطاء معلومات محدودة عن المختبرين ، مما يتطلب منهم إجراء استطلاع قبل الهجوم. اختبار الاختراق هو أقوى حالة لتوظيف المتسللين الأخلاقيين. (لمعرفة المزيد ، راجع اختبار الاختراق والتوازن الدقيق بين الأمان والمخاطر.)


تحديد نقاط الضعف

لا يوجد نظام محصن ضد الهجمات. ومع ذلك ، تحتاج المنظمات إلى توفير حماية متعددة الأبعاد. يضيف نموذج القراصنة الأخلاقي بُعدًا مهمًا. ومن الأمثلة الجيدة على ذلك دراسة حالة لمؤسسة كبيرة في مجال التصنيع. عرفت المؤسسة حدودها من حيث أمان النظام ، لكنها لم تستطع فعل الكثير من تلقاء نفسها. لذلك ، استأجرت المتسللين الأخلاقية لتقييم أمن نظامها وتقديم النتائج والتوصيات. يتألف التقرير من المكونات التالية: المنافذ الأكثر ضعفًا مثل Microsoft RPC والإدارة عن بُعد ، وتوصيات تحسين أمان النظام مثل نظام الاستجابة للحوادث ، والنشر الكامل لبرنامج إدارة الثغرات الأمنية ، وجعل إرشادات التصلب أكثر شمولاً.

الاستعداد للهجمات

الهجمات لا مفر منها بغض النظر عن مدى تحصين النظام. في نهاية المطاف سوف يجد المهاجم ضعف أو اثنين. ذكرت هذه المقالة بالفعل أن الهجمات الإلكترونية ، بغض النظر عن مدى تحصين النظام ، أمر لا مفر منه. هذا لا يعني أن المنظمات يجب أن تتوقف عن تعزيز أمن نظامها - بل على العكس تماما ، في الواقع. كانت الهجمات الإلكترونية تتطور والسبيل الوحيد لمنع الضرر أو تقليله هو الاستعداد الجيد. تتمثل إحدى طرق إعداد الأنظمة ضد الهجمات في السماح للمتسللين الأخلاقيين بتحديد نقاط الضعف مسبقًا.

هناك العديد من الأمثلة على ذلك ومن المناسب مناقشة مثال وزارة الأمن الداخلي الأمريكية (DHS). يستخدم DHS نظامًا كبيرًا ومعقدًا للغاية يقوم بتخزين ومعالجة كميات هائلة من البيانات السرية. يعد خرق البيانات تهديدًا خطيرًا ، وهو بمثابة تهديد للأمن القومي. أدركت وزارة الأمن الوطني أن الحصول على المتسللين الأخلاقية لاقتحام نظامها قبل المتسللين القبعة السوداء كان وسيلة ذكية لرفع مستوى الاستعداد. لذلك ، صدر قانون هاك DHS ، والذي سيتيح اختيار المتسللين الأخلاقية لاقتحام نظام DHS. الفعل المنصوص عليه بالتفصيل كيف ستعمل المبادرة. سيتم تعيين مجموعة من المتسللين الأخلاقيين لاقتحام نظام DHS وتحديد نقاط الضعف ، إن وجدت. عن أي ضعف جديد تم تحديده ، سيتم مكافأة المتسللين الأخلاقيين ماليًا. لن يخضع المتسللون الأخلاقيون لأي إجراء قانوني بسبب أفعالهم ، على الرغم من أنه سيتعين عليهم العمل في ظل قيود وإرشادات معينة. كما جعل هذا القانون إلزاميًا لجميع المتسللين الأخلاقيين المشاركين في البرنامج من خلال مراجعة خلفية شاملة. مثل وزارة الأمن الوطني ، وقد تم توظيف المنظمات ذات السمعة الطيبة المتسللين الأخلاقية لرفع مستوى الاستعداد لأمن النظام لفترة طويلة. (لمزيد من المعلومات حول الأمان بشكل عام ، راجع المبادئ الأساسية السبعة لأمن تكنولوجيا المعلومات.)

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

خاتمة

كلا القرصنة الأخلاقية وأمن تكنولوجيا المعلومات التقليدية تحتاج إلى العمل معا لحماية أنظمة المؤسسة. ومع ذلك ، تحتاج الشركات إلى وضع استراتيجيتها تجاه القرصنة الأخلاقية. من المحتمل أن يأخذوا ورقة سياسة DHS تجاه القرصنة الأخلاقية. يجب تحديد دور ونطاق المتسللين الأخلاقيين بوضوح ؛ من المهم أن تحتفظ المؤسسة بالشيكات والأرصدة حتى لا يتجاوز المتسلل نطاق الوظيفة أو يتسبب في أي ضرر للنظام. تحتاج المؤسسة أيضًا إلى إعطاء المتسللين الأخلاقيين ضمانًا بعدم اتخاذ أي إجراء قانوني في حالة حدوث خرق كما هو محدد في عقدهم.