Inhoudsopgave:
Video: OURSA Conference Recording 2024
Je hebt bescherming tegen hackers nodig; je moet net zo slim worden als de jongens die proberen je systemen aan te vallen. Een echte veiligheidsbeoordelaar beschikt over de vaardigheden, mindset en hulpmiddelen van een hacker, maar is ook betrouwbaar. Hij of zij voert de hacks uit als beveiligingstests tegen systemen op basis van hoe hackers zouden kunnen werken.
Ethisch hacken - wat formeel en methodisch penetratietesten, white hat-hacking en het testen van kwetsbaarheden omvat - omvat dezelfde tools, trucs en technieken die criminele hackers gebruiken, maar met één groot verschil: ethisch hacken wordt uitgevoerd met de toestemming van het doelwit in een professionele omgeving. De bedoeling van ethical hacking is om kwetsbaarheden te ontdekken vanuit het oogpunt van een kwaadwillende aanvaller om systemen beter te beveiligen. Ethisch hacken maakt deel uit van een algeheel informatierisicobeheerprogramma dat voortdurende beveiligingsverbeteringen mogelijk maakt. Ethisch hacken kan er ook voor zorgen dat de beweringen van leveranciers over de veiligheid van hun producten legitiem zijn.
Als u ethische hacktests uitvoert en nog een certificering wilt toevoegen aan uw inloggegevens, kunt u overwegen om een Certified Ethical Hacker (CEH) te worden via een certificeringsprogramma dat wordt gesponsord door EC-Council. Net als de Certified Information Systems Security Professional (CISSP) is de CEH-certificering een bekende en gerespecteerde certificering in de branche geworden. Het is zelfs geaccrediteerd door het American National Standards Institute (ANSI 17024).
Andere opties zijn onder meer het SANS Global Information Assurance Certification (GIAC) -programma en het Offensive Security Certified Professional (OSCP) -programma - een volledig hands-on beveiligingstestcertificering. Al te vaak hebben mensen die dit soort werk uitvoeren niet de juiste praktische ervaring om het goed te doen.
Ethisch hacken versus auditen
Veel mensen verwarren beveiligingstests via de ethische hackaanpak met beveiligingsaudits, maar er zijn grote verschillen, namelijk in de doelstellingen. Beveiligingsaudits houden in dat u het beveiligingsbeleid van een bedrijf (of nalevingsvereisten) vergelijkt met wat er feitelijk gebeurt. De bedoeling van beveiligingsaudit is om te valideren dat beveiligingscontroles bestaan - meestal met behulp van een op risico's gebaseerde aanpak. Bij auditing gaat het vaak om het beoordelen van bedrijfsprocessen en in veel gevallen is dit misschien niet zo technisch. Beveiligingsaudits zijn meestal gebaseerd op checklists.
Niet alle audits zijn van hoog niveau, maar veel (vooral rond PCI DSS [naleving van de betaalkaart industrie-gegevensbeveiligingsnorm]) zijn vrij simplistisch - vaak uitgevoerd door mensen die geen technische computer, netwerk, en applicatie-ervaring of, erger nog, ze werken helemaal buiten IT!
Omgekeerd houden beveiligingsbeoordelingen rond ethisch hacken zich bezig met kwetsbaarheden die kunnen worden uitgebuit. Deze testbenadering valideert dat beveiligingscontroles niet bestaan of in het beste geval niet effectief zijn. Ethisch hacken kan zowel zeer technisch als niet-technisch zijn en hoewel u wel een formele methodologie gebruikt, is het meestal een beetje minder gestructureerd dan formele auditing.
Wanneer auditing vereist is (zoals voor de ISO 9001- en 27001-certificeringen) in uw organisatie, kunt u overwegen ethische hackingtechnieken te integreren in uw IT / beveiligingsauditprogramma. Ze vullen elkaar heel goed aan.
Beleidsoverwegingen
Als u ervoor kiest ethisch hacken een belangrijk onderdeel te maken van het programma voor informatierisicobeheer van uw bedrijf, moet u echt beschikken over een gedocumenteerd beleid voor beveiligingstests. Zo'n beleid schetst wie de test uitvoert, het algemene type tests dat wordt uitgevoerd en hoe vaak het testen plaatsvindt.
U kunt ook overwegen een document met beveiligingsstandaarden te maken waarin de specifieke beveiligingstesttools die worden gebruikt en specifieke personen die de tests uitvoeren, worden beschreven. U kunt ook standaard testdatums vermelden, zoals één keer per kwartaal voor externe systemen en tweejaarlijkse tests voor interne systemen - wat ook werkt voor uw bedrijf.
Naleving en regelgeving
Uw eigen interne beleid kan bepalen hoe het management beveiligingsonderzoeken beoordeelt, maar u moet ook rekening houden met de nationale, federale en internationale wetten en regels die van invloed zijn op uw bedrijf. Met name de Digital Millennium Copyright Act (DMCA) zorgt voor rillingen over de ruggen van legitieme onderzoekers.
Veel van de federale wetten en regels in de Verenigde Staten - zoals de Health Insurance Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) -vereisten en PCI DSS - vereisen krachtige beveiligingscontroles en consistente beveiligingsbeoordelingen. Verbonden internationale wetten zoals de Canadese Wet Bescherming Persoonsgegevens en Elektronische Documenten (PIPEDA), de Richtlijn Gegevensbescherming van de Europese Unie en de Japanse Wet Bescherming Persoonsgegevens (JPIPA) zijn niet anders.
Het opnemen van uw beveiligingstests in deze nalevingsvereisten is een uitstekende manier om te voldoen aan de nationale en federale regelgeving en om uw algehele programma voor informatiebeveiliging en privacy te verbeteren.
