Dez erros mortais para evitar quando você cortar o seu negócio

Vários erros mortais podem causar estragos em seus resultados de hacking ético e até mesmo sua carreira. Não seja vítima! Aqui estão algumas possíveis armadilhas que você precisa para estar bem ciente.

Não obtendo a aprovação prévia

Obter a aprovação documentada previamente, tais como e-mail, um memorando interno, ou de um contrato formal para seus esforços de hacking ético - se é de gestão ou de seu cliente - é uma necessidade absoluta. É o seu sair da cadeia Freecard.

Permitir sem exceções aqui - especialmente quando você está fazendo o trabalho para os clientes: Certifique-se de obter uma cópia assinada deste documento para seus arquivos e para o seu advogado.

Supondo que você pode encontrar todas as vulnerabilidades durante os testes

Assim, existem muitas vulnerabilidades de segurança - conhecidos e desconhecidos - que você não vai encontrá-los todos durante o teste. Não faça quaisquer garantias de que você vai encontrar todos as vulnerabilidades de segurança em um sistema. Você vai estar começando algo que você não pode terminar.

Se você fez bem estudar probabilidade e estatística na escola ou faculdade, você pode considerar colocar juntos alguns intervalos de confiança para mostrar o que você realmente espera encontrar.

Atenha-se aos seguintes princípios:

• Seja realista.

• Use boas ferramentas.

• Conheça seus sistemas e praticar aperfeiçoar suas técnicas.

Assumindo que você pode eliminar todas as vulnerabilidades de segurança

Quando se trata de computadores, 100 por cento, segurança ironclad não é atingível. Você não pode evitar todos vulnerabilidades de segurança, mas você vai fazer bem se você descobrir o fruto de baixo pendurado e realizar essas tarefas:

• Siga as práticas sólidas.

• Patch e endurecer seus sistemas.

• Aplicar razoáveis ​​contramedidas de segurança (custo justificado).

Também é importante lembrar que você terá custos não planejadas. Você pode encontrar muitos dos problemas de segurança e terá o orçamento para tapar os buracos. Caso contrário, você pode ter começado sobre o obstáculo de due diligence, mas agora tem um problema cuidado devido em suas mãos. É por isso que você precisa se aproximar de segurança da informação a partir de uma perspectiva de risco e tem todas as pessoas certas a bordo.

Realização de testes apenas uma vez

hacking ético é um instantâneo de seu estado geral de segurança. Novas ameaças e vulnerabilidades superfície continuamente, de modo que você deve executar estes testes periodicamente e de forma consistente para ter certeza de manter-se com as últimas defesas de segurança para seus sistemas. Desenvolver ambos os planos a curto e longo prazo para a realização de seus testes de segurança ao longo dos próximos meses e anos seguintes.

Pensando que você sabe tudo

Mesmo que alguns na área de TI iria discordar, ninguém trabalhar com computadores ou informações de segurança sabe tudo. Mantendo-se com todas as versões de software, modelos de hardware e tecnologias emergentes, para não mencionar as ameaças de segurança associadas e vulnerabilidades, é impossível. Verdadeiros profissionais de segurança da informação sabe suas limitações - isto é, o que eles não conhecer. No entanto, eles sabem onde obter respostas.

Executando os testes sem olhar para as coisas do ponto de vista de um hacker

Pense em como um utilizador externo malicioso ou insider desonestos podem atacar sua rede e computadores. Obter uma nova perspectiva e tentar pensar fora da caixa proverbial.

Estudar comportamentos criminosos e hackers e ataques comuns de hackers para que você saiba o que para testar. Há blogs contínua sobre este assunto em Blog de Segurança de Kevin Beaver. revistas especializadas, tais como Hackin9 e 2600 são bons recursos também.

Não testar os sistemas certos

Concentre-se nos sistemas e operações que mais importam. Você pode cortar fora o dia todo em uma área de trabalho autônomo executando o MS-DOS de um disquete 5 1/4 polegadas com nenhuma placa de rede e nenhum disco rígido, mas isso faz alguma coisa? Provavelmente não. Mas você nunca sabe. Seus maiores riscos podem estar no sistema aparentemente menos crítica. Concentre-se no que é urgente e importante.

Não usar as ferramentas certas

Sem as ferramentas adequadas para a tarefa, se fazer qualquer coisa sem dirigir-se nozes é impossível. Comprar ferramentas comerciais quando puder - eles são geralmente vale cada centavo. Nenhuma ferramenta de segurança faz tudo, embora.

Construindo sua caixa de ferramentas e conhecer bem as suas ferramentas vai poupar montes de esforço, e você vai impressionar os outros com seus resultados.

Batendo sistemas de produção no momento errado

Uma das melhores maneiras de assinalar fora de seu gerente ou perder a confiança do seu cliente é executar ataques de hackers contra os sistemas de produção quando todo mundo está usando. Se você tentar testar um sistema no momento errado, esperar que sistemas críticos pode ir para baixo no pior momento absoluta.

Verifique se você sabe o melhor momento para realizar os testes. Poderia estar no meio da noite. Isso pode ser motivo para justificar o uso de ferramentas de segurança e outros utilitários de apoio que podem ajudar a automatizar certas tarefas de hacking ético.

Terceirização de testes e não ficar envolvido

Outsourcing é grande, mas você deve ficar envolvido em todo o processo. Não entregar as rédeas do seu teste de segurança para um indivíduo de terceiros ou um provedor de serviços em nuvem, sem acompanhamento e ficar em cima do que está ocorrendo.

Você não vai fazer o seu gerente ou clientes um favor por ficar fora do cabelo dos fornecedores de terceiros. Obter dentro o cabelo deles. (Mas não como um pedaço de goma de mascar -. Que só torna tudo mais difícil) Peça para os relatórios de Análise de Vulnerabilidade, relatórios de avaliação de segurança formal, e qualquer outra coisa que eles estão fazendo isso demonstra que eles levam a segurança a sério.