Bagaimana Penyerang Berbahaya Memulai Etika Hacker - dummies

Anda membutuhkan perlindungan dari hacker shenanigans; Anda harus menjadi sama cerdasnya dengan orang-orang yang mencoba menyerang sistem Anda. Profesional penilaian keamanan sejati memiliki keterampilan, pola pikir, dan alat peretas namun juga dapat dipercaya. Dia melakukan hacks sebagai tes keamanan terhadap sistem berdasarkan bagaimana hacker bisa bekerja.

Jika Anda melakukan tes hacking etis dan ingin menambahkan sertifikasi lain ke kredensial Anda, Anda mungkin ingin mempertimbangkan untuk menjadi Certified Ethical Hacker (CEH) melalui program sertifikasi yang disponsori oleh EC-Council. Seperti Certified Information Systems Security Professional (CISSP), sertifikasi CEH telah menjadi sertifikasi yang terkenal dan dihormati di industri ini. Ini bahkan diakreditasi oleh American National Standards Institute (ANSI 17024).

Pilihan lainnya termasuk program SANS Global Information Assurance Certification (GIAC) dan program Security Certified Professional (OSCP) Ofensif - sertifikasi pengujian keamanan sepenuhnya. Terlalu sering, orang yang melakukan jenis pekerjaan ini tidak memiliki pengalaman langsung untuk melakukannya dengan baik.

Etika hacking versus auditing

Banyak orang mengacaukan pengujian keamanan melalui pendekatan hacking etis dengan audit keamanan, namun ada perbedaan

besar , yaitu dalam tujuannya. Audit keamanan melibatkan perbandingan kebijakan keamanan perusahaan (atau persyaratan kepatuhan) terhadap apa yang sebenarnya sedang terjadi. Maksud audit keamanan adalah untuk memvalidasi bahwa kontrol keamanan ada - biasanya menggunakan pendekatan berbasis risiko. Audit sering kali melibatkan proses bisnis review dan, dalam banyak kasus, mungkin tidak terlalu teknis. Audit keamanan biasanya berdasarkan daftar periksa.

Tidak semua audit tingkat tinggi, tapi banyak (terutama seputar kepatuhan terhadap standar PCI DSS [Standar Industri Kartu Pembayaran) tidak cukup - sering dilakukan oleh orang-orang yang tidak memiliki komputer, jaringan, dan pengalaman aplikasi atau, lebih buruk lagi, mereka bekerja di luar TI sama sekali!

Sebaliknya, penilaian keamanan berbasis seputar fokus hacking etis pada kerentanan yang dapat dieksploitasi. Pendekatan pengujian ini memvalidasi bahwa kontrol keamanan

tidak ada atau tidak efektif. Hacking etis bisa sangat teknis dan tidak teknis, dan walaupun Anda menggunakan metodologi formal, teknik ini cenderung sedikit kurang terstruktur daripada audit formal. Bila diperlukan audit (seperti sertifikasi ISO 9001 dan 27001) di organisasi Anda, mungkin Anda mempertimbangkan untuk mengintegrasikan teknik peretasan etis ke dalam program audit TI / keamanan Anda. Mereka saling melengkapi satu sama lain dengan sangat baik.

Pertimbangan kebijakan

Jika Anda memilih membuat hacking etis sebagai bagian penting dari program pengelolaan risiko informasi bisnis Anda, Anda benar-benar harus memiliki kebijakan pengujian keamanan terdokumentasi. Kebijakan semacam itu menguraikan siapa yang melakukan pengujian, jenis pengujian umum yang dilakukan, dan seberapa sering pengujian dilakukan.

Anda mungkin juga mempertimbangkan untuk membuat dokumen standar keamanan yang menguraikan alat pengujian keamanan khusus yang digunakan dan orang-orang tertentu yang melakukan pengujian. Anda mungkin juga mencantumkan tanggal pengujian standar, seperti sekali per kuartal untuk sistem eksternal dan tes dua tahunan untuk sistem internal - apa pun yang sesuai untuk bisnis Anda.

Masalah kepatuhan dan peraturan

Kebijakan internal Anda sendiri mungkin mendikte bagaimana manajemen melihat pengujian keamanan, namun Anda juga perlu mempertimbangkan undang-undang dan peraturan negara bagian, federal, dan internasional yang mempengaruhi bisnis Anda. Secara khusus, Digital Millennium Copyright Act (DMCA) mengirimkan getaran ke duri para peneliti yang sah.

Banyak undang-undang dan peraturan federal di Amerika Serikat - seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Undang-Undang Kesehatan Teknologi Informasi untuk Kesehatan Ekonomi dan Klinik (HITECH), Gramm-Leach-Bliley Act (GLBA), Persyaratan Proteksi Infrastruktur Kritis (CIP) Amerika Utara, dan DSS PCI - memerlukan kontrol keamanan yang kuat dan evaluasi keamanan yang konsisten. Undang-undang internasional terkait seperti Undang-Undang Perlindungan Informasi Pribadi Kanada dan Undang-Undang Dokumen Elektronik (PIPEDA), Petunjuk Perlindungan Data Uni Eropa, dan Undang-Undang Perlindungan Informasi Pribadi Jepang (JPIPA) tidak berbeda.

Memasukkan tes keamanan Anda ke dalam persyaratan kepatuhan ini adalah cara yang bagus untuk memenuhi peraturan negara bagian dan federal dan meningkatkan keseluruhan program keamanan dan privasi informasi Anda.