Inhoudsopgave:
Video: Mini documentaire: Zo maakt Jurre (15) de wereld veiliger met hacken 2024
Ethisch hacken te ontdekken - met formele en methodische penetratietesten, white hat-hacking en testen van kwetsbaarheden - omvat dezelfde tools, trucs en technieken die crimineel zijn hackers gebruiken, maar met één groot verschil: ethisch hacken wordt uitgevoerd met de toestemming van het doelwit in een professionele omgeving.
De intentie van ethisch hacken is om kwetsbaarheden te ontdekken vanuit het oogpunt van een kwaadwillende aanvaller om systemen beter te beveiligen. Ethisch hacken maakt deel uit van een algeheel informatierisicobeheerprogramma dat voortdurende beveiligingsverbeteringen mogelijk maakt. Ethisch hacken kan er ook voor zorgen dat de beweringen van leveranciers over de veiligheid van hun producten legitiem zijn.
Ethisch hacken versus audits
Veel mensen verwarren ethisch hacken met beveiligingsaudits, maar er zijn grote verschillen. Beveiligingsaudits houden in dat u het beveiligingsbeleid van een bedrijf vergelijkt met wat er daadwerkelijk gebeurt. De bedoeling van beveiligingsaudit is om te valideren dat beveiligingscontroles bestaan - meestal met behulp van een op risico's gebaseerde aanpak. Bij auditing gaat het vaak om het beoordelen van bedrijfsprocessen en in veel gevallen is dit misschien niet zo technisch. Niet alle audits zijn van hoog niveau, maar de meerderheid is vrij simplistisch.
Omgekeerd richt ethisch hacking zich op kwetsbaarheden die kunnen worden uitgebuit. Het valideert dat beveiligingscontroles niet bestaan of in het beste geval niet effectief zijn. Ethisch hacken kan zowel zeer technisch als niet-technisch zijn en hoewel u wel een formele methodologie gebruikt, is het meestal een beetje minder gestructureerd dan formele auditing.
Als er nog steeds audits plaatsvinden in uw organisatie, kunt u overwegen ethische hacktechnieken te integreren in uw IT-auditprogramma. Ze vullen elkaar heel goed aan.
Beleidsoverwegingen
Als u ervoor kiest om ethisch hacken een belangrijk onderdeel van het risicobeheersingsprogramma van uw bedrijf te maken, moet u echt beschikken over een gedocumenteerd beleid voor beveiligingstests. Zo'n beleid schetst het type ethisch hacken dat wordt gedaan, welke systemen (zoals servers, webtoepassingen, laptops, enzovoort) worden getest en hoe vaak de tests worden uitgevoerd.
U kunt ook overwegen een document met beveiligingsstandaarden te maken waarin de specifieke beveiligingstoolprogramma's worden beschreven die worden gebruikt en specifieke datums waarop uw systemen elk jaar worden getest. U kunt standaardtestdatums vermelden, zoals eens per kwartaal voor externe systemen en halfjaarlijkse tests voor interne systemen - wat ook werkt voor uw bedrijf.
Naleving en regelgeving
Uw eigen interne beleid kan bepalen hoe het management beveiligingstests beoordeelt, maar u moet ook rekening houden met de nationale, federale en mondiale wet- en regelgeving die van invloed is op uw bedrijf.
Veel van de federale wetten en regels in de VS - zoals de Health Insurance Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) Act, Gramm-Leach-Bliley Act (GLBA), North American Electric Reliability Corporation (NERC) CIP-vereisten en Payment Card Industry Data Security Standard (PCI DSS) - vereisen krachtige beveiligingscontroles en consistente veiligheidsbeoordelingen.
Verwante internationale wetten zoals de Canadese Wet Bescherming Persoonsgegevens en Elektronische Documenten (PIPEDA), de Europese Gegevensbeschermingsrichtlijn en de Japanse Wet Bescherming Persoonsgegevens (JPIPA) zijn niet anders. Het opnemen van uw ethische hacktests in deze nalevingsvereisten is een uitstekende manier om te voldoen aan de nationale en federale regelgeving en om uw algehele privacy- en beveiligingsprogramma te verbeteren.