Inhoudsopgave:
Video: How To Become a Hacker - EPIC HOW TO 2024
Zoals praktisch elk IT- of beveiligingsproject moet ethisch hacken vooraf worden gepland. Strategische en tactische kwesties in het ethische hackproces moeten worden bepaald en goedgekeurd. Om zeker te zijn van het succes van je inspanningen, moet je de tijd nemen om dingen uit te plannen. Planning is belangrijk voor elke hoeveelheid testen - van een eenvoudige wachtwoordkraaktest tot een allesomvattende penetratietest op een webtoepassing.
Je plan opstellen
Goedkeuring voor ethisch hacken is essentieel. Maak wat u doet bekend en zichtbaar - tenminste voor de beleidsmakers. Het verkrijgen van sponsoring van het project is de eerste stap. Dit kan uw manager, een leidinggevende, uw klant of uzelf zijn als u de baas bent. Je hebt iemand nodig om een back-up van te maken en je plan te ondertekenen. Anders kan uw test onverwacht worden afgeblazen als iemand beweert dat hij u nooit heeft gemachtigd om de tests uit te voeren.
De autorisatie kan zo simpel zijn als een interne memo of e-mail van uw baas als u deze tests uitvoert op uw eigen systemen. Als u voor een klant test, zorg dan voor een ondertekend contract met de ondersteuning en autorisatie van de klant. Ontvang zo snel mogelijk geschreven goedkeuring over deze sponsoring om ervoor te zorgen dat geen enkele van uw tijd of moeite wordt verspild. Deze documentatie is uw Get Out of Jail Free -kaart als iemand zich afvraagt wat u doet, of erger, als de autoriteiten bellen.
Eén slip kan uw systemen doen crashen - niet per se wat iemand wil. U hebt een gedetailleerd plan nodig, maar dat betekent niet dat u veel testprocedures nodig hebt. Een duidelijk omlijnd bereik bevat de volgende informatie:
- Specifieke systemen die moeten worden getest: Begin bij het selecteren van te testen systemen met de meest kritieke systemen en processen of degene waarvan u denkt dat deze het kwetsbaarst zijn. U kunt bijvoorbeeld computerwachtwoorden, een webapplicatie op het internet testen of social engineering-aanvallen uitvoeren voordat u naar al uw systemen boort.
- Risico's verbonden: Het loont om een noodplan te hebben voor uw ethische hackingproces voor het geval er iets misgaat. Wat als u uw firewall of webtoepassing beoordeelt en verwijdert? Dit kan leiden tot onbeschikbaarheid van het systeem, waardoor de systeemprestaties of de productiviteit van medewerkers kunnen verminderen. Erger nog, het kan leiden tot verlies van gegevensintegriteit, verlies van gegevens zelf en zelfs slechte publiciteit. Het zal zeker een persoon of twee afvinken en je er slecht uit laten zien. Wees voorzichtig met social engineering en DoS-aanvallen. Bepaal hoe deze van invloed kunnen zijn op de systemen die u test en uw hele organisatie.
- Wanneer de tests worden uitgevoerd en uw algemene tijdlijn: Bepalen wanneer de tests worden uitgevoerd, is iets waar u lang over moet nadenken. Voer je tests uit tijdens normale kantooruren? Hoe zit het met laat in de nacht of vroeg in de ochtend, zodat de productiesystemen niet worden beïnvloed? Betrek anderen erbij om ervoor te zorgen dat ze uw timing goedkeuren. De beste aanpak is een onbeperkte aanval, waarbij elk type test op elk moment van de dag mogelijk is. De slechteriken breken niet binnen uw systeem in, dus waarom zou u dat doen? Enkele uitzonderingen op deze aanpak zijn het uitvoeren van DoS-aanvallen, social engineering en fysieke beveiligingstests.
- Hoeveel kennis van de systemen u heeft voordat u begint met testen: U hebt geen uitgebreide kennis nodig van de systemen die u test, alleen een basiskennis. Dit basisbegrip helpt u en de geteste systemen te beschermen.
- Welke actie zal worden ondernomen wanneer een grote kwetsbaarheid wordt ontdekt: Stop niet nadat u één beveiligingslek hebt gevonden. Dit kan leiden tot een vals gevoel van veiligheid. Blijf gaan kijken wat je nog meer kunt ontdekken. Je hoeft niet te blijven hacken tot het einde der tijden of totdat je al je systemen hebt gecrasht; volg gewoon het pad naar beneden totdat je het niet meer kunt hacken (woordspeling bedoeld). Als je geen kwetsbaarheden hebt gevonden, heb je er niet hard genoeg naar gekeken.
- De specifieke deliverables: Dit omvat beveiligingsbeoordelingsrapporten en een hoger rapport over de algemene kwetsbaarheden die moeten worden aangepakt, samen met tegenmaatregelen die moeten worden geïmplementeerd.
Een van uw doelen kan het uitvoeren van de tests zijn zonder te worden gedetecteerd. U kunt bijvoorbeeld uw tests uitvoeren op externe systemen of op een extern kantoor en u wilt niet dat de gebruikers zich bewust zijn van wat u doet. Anders kunnen de gebruikers u aanspreken en hun beste gedrag vertonen - in plaats van hun normale gedrag.
Het uitvoeren van het plan
Goede ethische hacking vereist volharding. Tijd en geduld zijn belangrijk. Wees voorzichtig als u ethische hacktests uitvoert. Een hacker in uw netwerk of een schijnbaar goedaardige medewerker die over uw schouder kijkt, kan kijken wat er aan de hand is en deze informatie tegen u gebruiken.
Het is niet praktisch om ervoor te zorgen dat er geen hackers op uw systemen staan voordat u begint. Zorg er wel voor dat je alles zo stil en privé mogelijk houdt. Dit is met name van cruciaal belang bij het verzenden en opslaan van uw testresultaten. Versleutel indien mogelijk e-mails en bestanden met gevoelige testinformatie met Pretty Good Privacy of een vergelijkbare technologie. Minimaliseer ze met een wachtwoord.
U bevindt zich nu op een verkenningsmissie. Gebruik zoveel mogelijk informatie over uw organisatie en systemen, wat kwaadwillende hackers doen. Begin met een brede weergave en beperk je focus:
1. Zoek op internet naar de naam van uw organisatie, uw computer en netwerksysteemnamen en uw IP-adressen.
Google is een geweldige plek om te beginnen.
2. Beperk uw bereik, richt u op de specifieke systemen die u test.
Of u nu fysieke beveiligingsstructuren of webtoepassingen beoordeelt, een informele beoordeling kan veel informatie over uw systemen opleveren.
3. Vernauw uw focus verder met een kritischer oog. Voer werkelijke scans en andere gedetailleerde tests uit om kwetsbaarheden op uw systemen bloot te leggen.
4. Voer de aanvallen uit en exploiteer eventuele kwetsbaarheden die u hebt gevonden, als dat is wat u ervoor kiest te doen.
Resultaten evalueren
Beoordeel uw resultaten om te zien wat u hebt blootgelegd, ervan uitgaande dat de kwetsbaarheden niet eerder duidelijk zijn gemaakt. Dit is waar kennis telt. Het evalueren van de resultaten en het correleren van de gevonden specifieke kwetsbaarheden is een vaardigheid die beter wordt met de ervaring. Je zult uiteindelijk je systemen veel beter leren kennen dan wie dan ook. Dit maakt het evaluatieproces veel eenvoudiger om vooruit te komen.
Dien een officieel rapport in bij het hoger management of bij uw klant, waarin u uw resultaten en eventuele aanbevelingen die u wilt delen, beschrijft. Houd deze partijen in de gaten om aan te tonen dat uw inspanningen en hun geld goed worden besteed.