Criar padrões de teste para seus Hacks Éticos

Computadores e Software / Networking administração & Professional / Ethical Hacking

Uma falha de comunicação ou deslize em seus padrões de teste pode enviar os sistemas deixam de funcionar durante os testes de hacking ético. Ninguém quer que isso aconteça. Para evitar acidentes, desenvolver e padrões de teste documento. Estes requisitos deverão incluir

Tempo seus testes
Executar testes específicos
Cega em relação avaliações de conhecimento
Localização
Responder a vulnerabilidades que encontrar
Suposições tolas

Quando os testes são realizados, juntamente com o cronograma geral
Quais testes são realizados
Como o conhecimento dos sistemas quanto você adquirir antecipadamente
Como os testes são realizados e de endereços IP que fonte
O que você faz quando um grande vulnerabilidade é descoberta

Tempo seus testes

Isto é especialmente verdadeiro quando a realização de testes de hacking ético. Certifique-se de que os testes que você executa minimizar a interrupção de processos de negócios, sistemas de informação, e as pessoas. Você deseja evitar situações prejudiciais, tais como miscommunicating o calendário de testes e causando um ataque de negação de serviço contra um site de e-commerce de alto tráfego no meio do dia ou da realização de testes de quebra de senha no meio da noite.

Mesmo tendo pessoas em diferentes fusos horários pode criar problemas. Todos no projeto precisa concordar com um cronograma detalhado antes de começar. Tendo acordo dos membros da equipe coloca todos na mesma página e define expectativas corretas.

Seu cronograma de testes deve incluir datas específicas de curto prazo e os horários de cada teste, as datas de início e fim, e quaisquer metas específicas no meio. Você pode desenvolver e introduzir a sua linha do tempo em uma simples planilha ou gráfico Gantt, ou você pode incluir a linha do tempo como parte de sua proposta inicial do cliente e contrato. Sua linha do tempo também podem ser estruturas de divisão de trabalho em um plano de projeto maior.

Executar testes específicos

Você pode ter sido carregada com a realização de um general teste de penetração, ou você pode querer realizar testes específicos, tais como rachaduras senhas ou tentar obter acesso a um aplicativo web. Ou você pode estar realizando um teste de engenharia social ou avaliar o Windows na rede.

No entanto, você testar, você pode não querer revelar os detalhes do teste. Mesmo quando o seu gerente ou o cliente não necessita de registros detalhados de seus testes, documentar o que você está fazendo em um nível elevado. Documentando o seu teste pode ajudar a eliminar qualquer mal-entendidos em potencial.

Você pode conhecer os testes gerais que você executa, mas se você usar ferramentas automatizadas, pode ser impossível compreender todos os testes de executar completamente. Isto é especialmente verdadeiro quando o software que você está usando recebe atualizações de vulnerabilidade em tempo real e correções do fornecedor cada vez que você executá-lo. O potencial para atualizações frequentes ressalta a importância de ler a documentação e arquivos que vêm com as ferramentas que você usa.

Cega em relação avaliações de conhecimento

Ter algum conhecimento dos sistemas que você está testando pode ser uma boa idéia, mas não é necessário. Mas, uma compreensão básica dos sistemas que você cortar pode proteger você e outros. A obtenção desse conhecimento não deve ser difícil se você está cortando seus próprios sistemas internos.

Se você cortar os sistemas de um cliente, você pode ter que cavar um pouco mais em como os sistemas funcionam de modo que você está familiarizado com eles. Isso não significa que as avaliações cegas não são valiosos, mas o tipo de avaliação você realizar depende de suas necessidades específicas.

A melhor abordagem é planejar em ilimitado ataques, em que qualquer teste é possível, possivelmente, até mesmo, incluindo testes DOS.

Considere se os testes devem ser realizados de modo a que eles estão sem ser detectado por administradores de rede e de quaisquer fornecedores de serviços de segurança gerenciados. Embora não seja necessário, esta prática deve ser considerada, especialmente para a engenharia social e testes de segurança física.

Localização

Os testes que você executa ditar onde você deve executá-los a partir. Seu objetivo é testar os seus sistemas a partir de locais acessíveis por hackers mal-intencionados ou empregados. Você não pode prever se você vai ser atacado por alguém dentro ou fora de sua rede, de modo cobrir todas as suas bases. Combine testes externos e testes internos.

Você pode realizar alguns testes, como avaliações de quebra de senha e de rede de infra-estrutura, a partir do seu escritório. Para hacks externos que exigem conectividade de rede, você pode ter que ir fora do local ou utilizar um servidor proxy externo. scanners de vulnerabilidade de alguns fornecedores de segurança são executados a partir da nuvem, de modo que iria funcionar tão bem.

Melhor ainda, se você pode atribuir um endereço de IP público disponível para o seu computador, basta conectar-se à rede do lado de fora do firewall para uma vista dos hackers de olhos de seus sistemas. testes internos são fáceis porque você só precisa de acesso físico ao prédio e à rede. Você pode ser capaz de usar uma linha DSL ou modem a cabo já em vigor para os visitantes e usuários similares.

Responder a vulnerabilidades que encontrar

Determinar de antemão se você vai parar ou continuar quando você encontrar uma falha de segurança crítica. Você não precisa manter hackers para sempre ou até que você falhar todos os sistemas. Basta seguir o caminho que você está até que você simplesmente não pode cortá-lo por mais tempo. Em caso de dúvida, a melhor coisa a fazer é ter um objetivo específico em mente e, em seguida, parar quando essa meta foi cumprida.

Se você descobrir um grande buraco, entre em contato com as pessoas certas mais rapidamente possível para que eles possam começar a corrigir o problema de imediato. As pessoas certas pode ser desenvolvedores de software, gerentes de produto ou projeto, ou mesmo CIOs. Se você esperar alguns dias ou semanas, alguém poderia explorar a vulnerabilidade e danos causa que poderia ter sido evitado.

suposições tolas

Você já ouviu falar sobre o que você faz de si mesmo quando você assumir as coisas. Mesmo assim, você fazer suposições quando você cortar um sistema. Aqui estão alguns exemplos dessas premissas:

Computadores, redes e pessoas estão disponíveis quando você está testando.
Você tem todas as ferramentas de testes adequados.
As ferramentas de teste que você usa irá minimizar as chances de bater os sistemas que você testar.
Você entende a probabilidade de que as vulnerabilidades existentes não foram encontrados ou que você usou suas ferramentas de teste de forma inadequada.
Você sabe os riscos de seus testes.

Documento todas as premissas e ter uma gestão ou seu cliente assinar-los como parte de seu processo de aprovação geral.