Hakeri i hakiranje – Izrada hakerskog plana (3)

Fotografija članka: Hakeri i hakiranje –  Izrada hakerskog plana (3)
Prije početka testiranja sustava, isplanirajte osnovnu metodologiju. Planiranje metodologija koje podržavaju  vaše ciljeve etičkog hakiranja  je ono što odvaja profesionalaca od amatera.  Etičko hakiranje uključuje više od puke provjere mjesta za koje postoje već  patchevi.  Proces koji je izgrađen oko etičkog hakiranja  je u osnovi isti kao što ga zlonamjerni haker koristi.  Razlika je samo u etičkim ciljevima. Glavni cilj  etičkog hakiranja je pronaći ranjivosti u vašem sustavu tako da ga možete učiniti sigurnijim.

Prije samog procesa etičkog hakiranja, kao što sam već napisala, potrebno je da napravite dobar i detaljan plan. Što to znači i sve uključuje biti će opisano u nastavku? Detaljni plan ne znači da testiranje mora biti do provedeno do najsitnijih detalja. čak i ako samo testirate jednu web aplikaciju ili radnu grupu računala, potrebno je uspostaviti svoje ciljeve, definirati opseg dokumenta, odrediti standarde testiranje, i sakupiti, i upoznati se s odgovarajućim alatima za zadatak.

Prvo, morate zatražiti odobrenje svog menadžera, šefa ili sami od sebe ako ste šef.  Uvijek budite sigurni da to što radite bude poznato i vidljivo nekom od nadležnih u vašoj tvrtki. U protivnom, netko može poreći autorizacijske testove ili čak mogu biti pravne posljedice za neovlašteno hakiranje. Odobrenje može biti kao jednostavan interni dopis od šefa ako testirate vlastite sustave. Ako testirate za nekog klijenta, imajte potpisan ugovor i ovlaštenje. Pismena odobrenja prikupite što je prije moguće kako bi osigurali da ništa ne  izgubite od svog vremena i truda. Prije nego počnete bilo koju vrstu etičkog hakiranja, pripremite sve propisane dokumente, prikupite sve potpisane dokumente i dozvole osoba koje su nadležne u tom procesu.

Nakon što ste to sve učinili, krenite na slijedeće korake:
a)    Određivanje elementa koji će se etički hakirati
 Vjerojatno ne želite ili trebate procijeniti sigurnost svih sustava u isto vrijeme. Sljedeći popis sadrži sustave i aplikacije koje treba uzeti u obzir prilikom izvođenja testova na hakiranje: ruteri; Firewalls; mrežna infrastruktura u cjelini; bežične pristupne točke ; web, aplikacije, baze podataka i poslužitelji; E-mail i file / print server; radne stanice, prijenosna i tablet računala; PDA i pametni mobiteli koji su često puni povjerljivih informacija; klijentski i poslužiteljski operativni sustavi; klijent/server aplikacije, kao što su e-mail ili drugim in house sustavi.  Pokazalo se je kao dobra praksa da kad god je to moguće, razbijanje hakerskog projekta na manje komade kako bi se lakše upravljalo procesom. Kod odlučivanja koji elementi mreže u određenom trenutku imaju prioritet, postavite si odgovarajuća pitanja:  Koji sustav, ako je hakiran će izazvati najviše problema ili najveće gubitke? Koji sustav prema dosadašnjem praćenju čini se da ima veću ranjivost na napad? 
b)    Definiranje opsega za etičko hakiranje
 Na taj način uspostavljate bolju procjenu vremena i sredstva za taj posao.  Što trebate testirati ovisi o nekoliko faktora. Ako imate malu mrežu, možete testirati sve. Imate li veliku mrežu, možete testirati e-mail i Web poslužitelj i njihove povezane aplikacije. Etički haking proces je fleksibilan. Osnovna odluka ovisi o tome što čini većinu u poslovnom smislu. Najbolje je da pogledate izvješća, sigurnosne procjene od strane IT revizora, zajedno s protumjerama koje bi trebale biti implementirane, i na temelju njih donesete procjenu.
c)    Definiranje vremena
 Prilikom etičkog hakiranja može doći do pada sustava. Nitko ne želi da se to dogodi. Da biste to spriječili, isplanirajte vrijeme kada će se obavljati pojedina ispitivanja, zajedno s ukupnim vremenom ispitivanja. Termin koji se odnosi "sve na vrijeme" je pogotovo istinit prilikom vršenja testova etičkog hakiranja. Pobrinite se da se testovi obavljaju sa što manje prekida poslovnih procesa, informacijskih sustava i ljudi. Napravite specifičan raspored početka i završetka. Ovi datumi su kritične komponente vašeg ukupnog plana. Da li test za vrijeme redovnog radnog vremena? Kasno navečer ili rano ujutro? Uključite druge oko definiranja vremena da bi bili sigurni da je vaš odabir dobar.
d)    Obaviještavanje ISP ili Application Service Providers (ASPS) koji su uključeni u sustav koji će te etički hakirati  prije obavljanja bilo kakvih testove preko Interneta.
Na taj način, ISP ili ASPS biti svjesni testiranja, što će smanjiti vjerojatnost da će blokirati promet ako sumnjaju u zlonamjerno ponašanje, koja je vidljivo na njihovom vatrozidu  ili Intrusion Detection Systems (IDS).
e)    Određivanje što će testovi izvoditi
To je također vrlo važno da unaprijed isplanirate. Da li će te obaviti opće penetracijske testove, ili želite obaviti određene testove, kao što su lozinke ili pucanja u mreži,  Ili možda provesti društveno-inženjering testiranje, ili samo procjenu Windows operacijskih sustava na mreži. Međutim ispitujete, i zasigurno želite prikriti neke specifičnosti testiranja kako bi zaštitili svoje metodologije. Naravno, nije potrebno da sad baš svima obznanite što će te raditi i zbog toga se upustite u neke diskusije i dodatna objašnjavanja. Isto tako, obznanjivanje svima može dati nerealne rezultate jer su tada korisnici svjesni što radite, i nastojati će se najbolje ponašati za svojim računalima. U svakom slučaju, dokumentirajte i obznanite osobama na visokoj razini što radite.  To je dobar način za osigurati dokaze o tome što je testirano, kada je testirano, i omogućiti više kreiranja datoteka poruka na sustavima koje ispitujete.
f)    Izrada  dodatnog plana ako nešto pođe krivim putem
Velika je vjerojatnost nepredviđenih mogućnosti kod procesa etičkog hakiranja da nešto pođe krivim putem. Što ako procjenjujete vašeg vatrozida ili Web aplikacija, te se sve sruši?  To ne sano da može dovesti do nedostupnosti sustava, smanjivanja kvalitete sustava i produktivnosti zaposlenika. čak i gore, moglo bi doći do gubitka integriteta podataka, i za vas lošeg publiciteta.

U slijedećem članku pozabaviti ćemo se odabirom alata.

Oglas
Oglas
Pretplatite se na BESPLATNE
Tjedni pregled najzanimljivijih tehnoloških informacija
Poveznica se otvara u novom prozoru
Sigurnosna provjera: Upišite rezultat  4+2=

KOMENTARI


Neprimjerene komentare, poveznice, reklamiranje/promoviranje i komentare koji tematski nisu vezani uz vijest odmah ćemo ukloniti.