Huis Persoonlijke financiën Maak testnormen voor uw ethische hacks - dummies

Maak testnormen voor uw ethische hacks - dummies

Inhoudsopgave:

Video: Ontvoering Test?! Normen & Waarden! #KingAlert 2024

Video: Ontvoering Test?! Normen & Waarden! #KingAlert 2024
Anonim

Eén miscommunicatie of misstap in uw testnormen kan de systemen tijdens het testen doen crashen tijdens je ethische hacktests. Niemand wil dat dat gebeurt. Om ongelukken te voorkomen, ontwikkelt en documenteert u testnormen. Deze standaarden moeten

  • bevatten Wanneer de tests worden uitgevoerd, samen met de algemene tijdlijn

  • Welke tests worden uitgevoerd

  • Hoeveel kennis van de systemen die u van te voren verkrijgt

  • Hoe de tests worden uitgevoerd en van welke bron IP-adressen

  • Wat u doet wanneer een grote kwetsbaarheid wordt ontdekt

Tijd voor uw tests

Dit geldt vooral voor ethische hacktests. Zorg ervoor dat de tests die u uitvoert de verstoring van bedrijfsprocessen, informatiesystemen en mensen tot een minimum beperkt. U wilt schadelijke situaties vermijden, zoals het verkeerd communiceren van de timing van tests en het veroorzaken van een DoS-aanval tegen een e-commercesite met veel verkeer midden op de dag of het uitvoeren van wachtwoordkraaktoetsen midden in de nacht.

Zelfs mensen in verschillende tijdzones kunnen problemen veroorzaken. Iedereen in het project moet het eens zijn over een gedetailleerde tijdlijn voordat je begint. Als de teamleden akkoord gaan, komt iedereen op dezelfde pagina en worden de juiste verwachtingen geformuleerd.

Uw testtijdlijn moet specifieke kortetermijndatums en -tijden van elke test, de begin- en einddatum en eventuele tussentijdse mijlpalen bevatten. U kunt uw tijdlijn ontwikkelen en invoeren in een eenvoudig spreadsheet- of Gantt-diagram, of u kunt de tijdlijn opnemen als onderdeel van uw oorspronkelijke klantvoorstel en contract. Uw tijdlijn kan ook werkafbraak zijn in een groter projectplan.

Voer specifieke tests uit

Mogelijk bent u belast met het uitvoeren van een algemene penetratietest, of wilt u mogelijk specifieke tests uitvoeren, zoals kraken van wachtwoorden of proberen te winnen toegang tot een webapplicatie. Of misschien voert u een social engineering-test uit of beoordeelt u Windows op het netwerk.

Hoe u ook test, u wilt misschien niet de details van de test bekendmaken. Zelfs als uw manager of klant geen gedetailleerde verslagen van uw tests nodig heeft, documenteer u wat u op een hoog niveau doet. Het documenteren van uw testen kan helpen mogelijke miscommunicatie te elimineren.

U kent mogelijk de algemene tests die u uitvoert, maar als u geautomatiseerde hulpprogramma's gebruikt, is het wellicht onmogelijk om elke test die u uitvoert volledig te begrijpen. Dit is met name het geval wanneer de software die u gebruikt real-time updates voor de kwetsbaarheid en patches van de leverancier ontvangt telkens wanneer u deze uitvoert.Het potentieel voor frequente updates onderstreept het belang van het lezen van de documentatie en bestanden die bij de tools die u gebruikt.

Blinde versus kennisbeoordelingen

Kennis hebben van de systemen die u test, is misschien een goed idee, maar het is niet verplicht. Maar een basiskennis van de systemen die u hackt, kan u en anderen beschermen. Het verkrijgen van deze kennis moet niet moeilijk zijn als je je eigen interne systemen hackt.

Als u de systemen van een klant hackt, moet u misschien wat dieper graven in de werking van de systemen, zodat u er bekend mee bent. Dit betekent niet dat blinde beoordelingen niet waardevol zijn, maar het soort beoordeling dat u uitvoert, hangt af van uw specifieke behoeften.

De beste aanpak is om onbeperkte -aanvallen te plannen, waarbij elke test mogelijk is, mogelijk zelfs inclusief DoS-tests.

Overweeg of de tests moeten worden uitgevoerd zodat ze niet worden gedetecteerd door netwerkbeheerders en providers van beheerde beveiligingsservices. Hoewel dit niet vereist is, moet deze praktijk worden overwogen, met name voor social engineering en fysieke beveiligingstests.

Locatie

De tests die u uitvoert, dicteren waar u ze moet uitvoeren. Uw doel is om uw systemen te testen op locaties die toegankelijk zijn door kwaadwillende hackers of werknemers. Je kunt niet voorspellen of je wordt aangevallen door iemand binnen of buiten je netwerk, dus bedek al je bases. Combineer externe tests en interne tests.

U kunt vanuit uw kantoor enkele tests uitvoeren, zoals het kraken van wachtwoorden en beoordelingen van netwerkinfrastructuur. Voor externe hacks waarvoor netwerkconnectiviteit is vereist, moet u mogelijk off-site gaan of een externe proxyserver gebruiken. Sommige kwetsbaarheidscanners van beveiligingsleveranciers worden vanuit de cloud uitgevoerd, dus dat zou ook werken.

Beter nog, als u een beschikbaar openbaar IP-adres aan uw computer kunt toewijzen, sluit u eenvoudig aan op het netwerk aan de buitenkant van de firewall voor een hacker-in-oog-oogpunt van uw systemen. Interne tests zijn eenvoudig omdat u alleen fysieke toegang tot het gebouw en het netwerk nodig hebt. Mogelijk kunt u een DSL-lijn of kabelmodem gebruiken die al aanwezig is voor bezoekers en vergelijkbare gebruikers.

Reageren op kwetsbaarheden die u vindt

Bepaal vooraf of u zult stoppen of doorgaan als u een kritisch beveiligingslek vindt. Je hoeft niet voor altijd te blijven hacken of totdat je alle systemen hebt gecrasht. Volg gewoon het pad waarop je bent totdat je het gewoon niet meer kunt hacken. Bij twijfel is het het beste om een ​​specifiek doel voor ogen te houden en vervolgens te stoppen wanneer dat doel is bereikt.

Als u een groot gat ontdekt, neemt u zo snel mogelijk contact op met de juiste mensen zodat ze meteen het probleem kunnen oplossen. De juiste mensen kunnen softwareontwikkelaars, product- of projectmanagers of zelfs CIO's zijn. Als je een paar dagen of weken wacht, kan iemand misbruik maken van de kwetsbaarheid en schade veroorzaken die voorkomen had kunnen worden.

Domme veronderstellingen

Je hebt gehoord over wat je van jezelf maakt als je dingen aanneemt. Toch maak je aannames wanneer je een systeem hackt.Hier zijn enkele voorbeelden van die veronderstellingen:

  • Computers, netwerken en mensen zijn beschikbaar tijdens het testen.

  • Je hebt alle juiste testtools.

  • De testtools die u gebruikt, minimaliseren de kans dat uw systemen worden gecrasht.

  • U begrijpt de waarschijnlijkheid dat bestaande kwetsbaarheden niet zijn gevonden of dat u uw testtools verkeerd hebt gebruikt.

  • U kent de risico's van uw tests.

Documenteer alle aannames en zorg ervoor dat het management of uw klant ze ondertekent als onderdeel van uw algemene goedkeuringsproces.

Maak testnormen voor uw ethische hacks - dummies

Bewerkers keuze

Bewerkers keuze

Geometrie-opties voor rechthoekige vormen selecteren in Photoshop CS6 - dummy's

Geometrie-opties voor rechthoekige vormen selecteren in Photoshop CS6 - dummy's

Sociale Media

In Photoshop CS6, u kunt verschillende geometrie-opties voor Rechthoekige vormen selecteren met behulp van het tandwielpictogram op de werkbalk Opties. Hier zijn de geometrie-opties voor de rechthoek en afgeronde rechthoekige vormen. Onbeperkt: wanneer u deze optie selecteert (de standaardinstelling), bepaalt Photoshop de grootte en verhoudingen van de rechthoek terwijl u sleept. Vierkant: selecteer deze knop om ...

Hoe u Tools in Photoshop CS6 selecteert - dummies

Hoe u Tools in Photoshop CS6 selecteert - dummies

Sociale Media

Om een ​​hulpmiddel in Photoshop CS6 te selecteren, klikt u er gewoon in het deelvenster Gereedschappen. Een kleine zwarte driehoek in de rechterbenedenhoek van een gereedschapslots geeft aan dat er meer hulpprogramma's zijn verborgen achter dat gereedschap in een vervolgmenu. Klik en houd de gewenste tool ingedrukt om toegang te krijgen tot het vervolgmenu. U hebt ook toegang tot ...

Hoe rechte lijnen te selecteren met de veelhoekige lasso in Photoshop CS6 - dummies

Hoe rechte lijnen te selecteren met de veelhoekige lasso in Photoshop CS6 - dummies

Sociale Media

Terwijl de gewone Lasso-tool in Photoshop CS6 geweldig is voor het selecteren van golvende, ronde elementen, de veelhoekige lasso-tool schittert als het gaat om de meer gereglementeerde, rechtzijdige onderwerpen, zoals skylines van de stad, gebouwen en trappen. In tegenstelling tot het gewone gereedschap Lasso, heeft het gereedschap Polygonale lasso rubberen bandachtige eigenschappen, en in plaats van te slepen, klikt u op ...

Bewerkers keuze

Digitale fotografie en ISO - dummies

Digitale fotografie en ISO - dummies

Persoonlijke financiën

ISO (internationale organisatie voor standaardisatie) is een instelling op uw digitale camera die de gevoeligheid regelt van je camerasensor. Als je fotografeert op een zonnige dag, heb je veel licht. Daarom kunt u de combinatie van een relatief korte sluitertijd met een relatief klein diafragma gebruiken om de afbeelding goed te belichten. ...

Digitale fototermen - dummies

Digitale fototermen - dummies

Persoonlijke financiën

Ga op je gemak met je digitale camera door enkele digitale fotografie-lingo's en tips te leren die je kunnen helpen met verlichting , portretten en scherptediepte, zodat u uit bent en fantastische digitale foto's maakt. ISO: de gevoeligheid van de camera voor licht. Door de ISO-waarde te verhogen, kunt u foto's maken bij weinig licht zonder gebruik te maken van ...

Digitale fotobeheertaken - dummies

Digitale fotobeheertaken - dummies

Persoonlijke financiën

Maak u bekend met de volgende taken voor digitale fotobeheer of investeer in een bepaald stuk software om doe ze voor jou. Bedenk hoe deze taken in uw workflow voor digitale fotografie passen: markeren biedt u de mogelijkheid enkele foto's te markeren als bewaarder, sommige als afgekeurd en de rest alleen te laten. Eerst markeren, omdat het sneller gaat ...

Bewerkers keuze

Kantoor 2011 voor Mac: gegevens valideren op Excel-formulieren - dummies

Kantoor 2011 voor Mac: gegevens valideren op Excel-formulieren - dummies

Sociale Media

Het is altijd goed wanneer u kunt mensen helpen een formulier in te vullen dat u in Excel 2011 voor Mac hebt gemaakt. Eén manier is om het moeilijker te maken voor hen om fouten te maken bij het invullen van het formulier. Door gegevensvalidatie bijvoorbeeld in Excel 2011 voor Mac te gebruiken, kunt u ervoor zorgen dat ...

Kantoor 2011 voor Mac: Datums en tijden in Excel opmaken - dummies

Kantoor 2011 voor Mac: Datums en tijden in Excel opmaken - dummies

Sociale Media

Excel 2011 voor Mac heeft fantastische mogelijkheden voor datum- en tijdberekening. Wanneer u Excel-werkbladen gebruikt, moet u slechts twee geheimen kennen: elke dag wordt weergegeven door een geheel getal, een serienummer genoemd, en delen van dagen worden vertegenwoordigd door decimale breuken. Vandaag vinden met Excel-formules Op sommige dagen word je wakker en niet ...

Tips en trucs voor Excel 2008 voor Mac - dummies

Tips en trucs voor Excel 2008 voor Mac - dummies

Sociale Media

Hoe blijf je de baas over spreadsheets in Excel 2008 voor Mac? Gebruik deze snelle stappen voor uw meest voorkomende activiteiten. Een werkblad hernoemen Dubbelklik op een bladentabblad om de naam te wijzigen. Cellen bewerken Dubbelklik op een cel om de celformule of celinhoud op het werkblad te bewerken. File timesaver Sla uw bestanden op als Excel ...

Bewerkers keuze

Bewerkers keuze

Populaire categorieën

© Copyright nl.blender3dtutorials.com, 2024 Oktober | Over site | Contacten | Privacybeleid.