Video: CISSP Complete Test Prep & Cheat Sheet 2024
By Kevin Beaver
Niet alle hacks zijn slecht. De beveiligingstests die in dit boek worden behandeld, laten zwakke punten in de beveiliging of gebreken in uw computeropstellingen zien. Deze Cheat Sheet biedt u snelle verwijzingen naar hulpmiddelen en tips, waarschuwt u voor vaak gehackte doelen - informatie die u nodig hebt om uw beveiligingsonderzoek eenvoudiger te maken.
Hacking-tools die u niet kunt gebruiken Zonder
Als informatiebeveiligingsprofessional is uw toolkit het belangrijkste item dat u tegen hacking kunt hebben, behalve praktische ervaring en gezond verstand. Uw hacktools moeten uit het volgende bestaan (en ervoor zorgen dat u nooit zonder hen aan het werk bent):
-
Software voor het kraken van wachtwoorden, , zoals ophcrack en Proactive Password Auditor
-
Netwerkscansoftware, zoals Nmap en NetScanTools Pro
-
Netwerkscansoftware voor kwetsbaarheden, zoals LanGuard en Nexpose
-
Netwerkanalysersoftware, zoals Cain & Abel en CommView
-
Draadloze netwerkanalysator en software , zoals Aircrack-ng en CommView voor WiFi
-
Bestandszoeksoftware, zoals FileLocator Pro
-
Webtoepassing vulnerability scanning software, zoals Acunetix Web Vulnerability Scanner en AppSpider
-
Databasebeveiligingsscansoftware, > zoals SQLPing3 Exploit-software,
-
zoals Metasploit Gemeenschappelijke beveiligingszwakke punten waarop criminele hackers zich richten
Goedgelovige en overdreven vertrouwen gebruikers
-
Onbeveiligde ingangen gebouw en computerruimte
-
Afgedankte documenten die niet zijn versnipperd en computer schijven die niet zijn vernietigd
-
Netwerkperimeters met weinig tot geen firewallbeveiliging
-
Slecht, ongepast of ontbrekend bestand en toegangsbeheer delen
-
Niet-gepatchte systemen die kunnen worden uitgebuit met behulp van gratis hulpmiddelen zoals Metasploit
-
Web toepassingen met zwakke authenticatiemechanismen
-
Gast draadloze netwerken waarmee het publiek verbinding kan maken met de bedrijfsnetwerkomgeving
-
Laptopcomputers zonder volledige schijfversleuteling
-
Mobiele apparaten met gemakkelijk te kraken wachtwoorden of helemaal geen wachtwoorden
-
Zwakke of geen wachtwoord-, database- en besturingssysteemwachtwoorden
-
Firewalls, routers en switches met standaardwachtwoorden of gemakkelijk geraden wachtwoorden
-
Veelgebruikte poorten
Gemeenschappelijke poorten, zoals TCP-poort 80 (HTTP), mogelijk vergrendeld, maar andere poorten worden mogelijk over het hoofd gezien en zijn kwetsbaar voor hackers.Controleer in uw beveiligingstests de vaak gehackte TCP- en UDP-poorten:
TCP-poort 21 - FTP (File Transfer Protocol)
-
TCP-poort 22 - SSH (Secure Shell)
-
TCP-poort 23 - Telnet
-
TCP-poort 25 - SMTP (Simple Mail Transfer Protocol)
-
TCP- en UDP-poort 53 - DNS (Domain Name System)
-
TCP-poort 443 - HTTP (Hypertext Transport Protocol) en HTTPS (HTTP over SSL) < TCP-poort 110 - POP3 (Post Office Protocol versie 3)
-
TCP- en UDP-poort 135 - Windows RPC
-
TCP- en UDP-poorten 137-139 - Windows NetBIOS via TCP / IP
-
TCP-poort 1433 en UDP poort 1434 - Microsoft SQL Server
-
Tips voor succesvolle IT-beveiligingsbeoordelingen
-
U hebt succesvolle beveiligingsbeoordelingen nodig om uw systemen te beschermen tegen hacking. Of u nu beveiligingsonderzoeken uitvoert tegen uw eigen systemen of tegen die van een derde partij, u moet voorzichtig en pragmatisch zijn om te slagen. Deze tips voor beveiligingsbeoordelingen helpen u slagen in uw rol als informatiebeveiligingsprofessional:
Stel doelen en ontwikkel een plan voordat u aan de slag gaat.
U krijgt toestemming om uw tests uit te voeren.
-
Toegang hebben tot de juiste tools voor de taken die voorhanden zijn.
-
Test op een tijdstip dat het beste is voor uw bedrijf.
-
Houd de belangrijkste spelers in de gaten tijdens het testen.
-
Begrijp dat het niet mogelijk is om
-
elke
-
beveiligingskwetsbaarheid op elk systeem te detecteren. Onderzoek kwaadwillende hacker en frauduleus insider-gedrag en tactieken. Hoe meer u weet over hoe de slechteriken werken, hoe beter u uw systemen kunt testen op beveiligingsproblemen. Negeer niet-technische beveiligingsproblemen; ze worden vaak als eerste uitgebuit.
-
Zorg ervoor dat al uw tests op een hoger niveau liggen.
-
Behandel de vertrouwelijke informatie van anderen op zijn minst even goed als die van uzelf.
-
Breng kwetsbaarheden onder de aandacht van het management en implementeer zo snel mogelijk de juiste tegenmaatregelen.
-
Behandel niet elke ontdekte kwetsbaarheid op dezelfde manier. Niet alle zwakke punten zijn slecht. Evalueer de context van de gevonden problemen voordat u verklaart dat de lucht valt.
-
Toon management en klanten dat beveiligingstesten goede zaken zijn en dat u de juiste professional voor de klus bent. Beveiligingsbeoordelingen zijn een investering om bedrijfsdoelen te bereiken, om erachter te komen wat er echt toe doet, en om te voldoen aan de verschillende wet- en regelgeving -
-
niet
-
over domme hackers.