조직이 윤리적 해킹으로부터 혜택을 얻는 방법

작가: Roger Morrison
창조 날짜: 26 구월 2021
업데이트 날짜: 21 6 월 2024
Anonim
현질을 할 필요가 없습니다 :: 무한의계단
동영상: 현질을 할 필요가 없습니다 :: 무한의계단

콘텐츠


출처 : Cammeraydave / Dreamstime.com

테이크 아웃 :

해킹은 조직에 막대한 위협이되기 때문에 윤리적 해커가 종종 보안 격차를 찾는 가장 좋은 솔루션입니다.

사이버 보안 위협의 본질은 계속 발전하고 있습니다. 시스템이 이러한 위협을 관리하기 위해 진화하지 않는 한, 앉아있는 오리가 될 것입니다. 기존의 보안 조치가 필요하지만 시스템이나 해커를 위협 할 수있는 사람들의 관점을 얻는 것이 중요합니다. 조직은 윤리적 또는 흰색 모자 해커로 알려진 범주의 해커가 시스템 취약성을 식별하고이를 해결하기위한 제안을 제공 할 수 있도록 허용하고 있습니다. 윤리적 해커는 시스템 소유자 또는 이해 관계자의 명시적인 동의하에 시스템을 침투하여 취약성을 식별하고 보안 조치 개선에 대한 권장 사항을 제공합니다. 윤리적 해킹은 보안을 전체적이고 포괄적으로 만듭니다.

윤리적 인 해커가 정말로 필요합니까?

윤리적 해커의 서비스를 반드시 사용해야하는 것은 아니지만, 기존의 보안 시스템은 규모와 다양성이 커지는 적으로부터 적절한 보호를 반복적으로 제공하지 못했습니다. 스마트 및 연결된 장치가 확산되면서 시스템은 끊임없이 위협을 받고 있습니다. 실제로, 해킹은 물론 조직을 희생시키면서 재정적으로 유리한 길로 여겨집니다. "매킨토시 보호"책의 저자 인 브루스 슈나이어 (Bruce Schneier)는 "하드웨어는 보호하기 쉽다 : 방에 잠 그거나 책상에 묶거나 여분을 사십시오. 정보는 더 많은 문제를 야기 할 수 있습니다. "하나 이상의 장소에서, 몇 초 만에 지구를 가로 질러 수송되고, 당신도 모르게 도난당했습니다." 예산이 크지 않은 한 IT 부서는 해커의 공격에 비해 열등한 것으로 입증 될 수 있으며 가치를 깨닫기 전에 중요한 정보를 도용 할 수 있습니다. 따라서 블랙 햇 해커의 방법을 알고있는 윤리적 해커를 고용하여 IT 보안 전략에 차원을 추가하는 것이 좋습니다. 그렇지 않으면 조직에서 시스템에 허점을 열어 둘 위험이 있습니다.


해커의 방법에 대한 지식

해킹을 방지하려면 해커의 생각을 이해하는 것이 중요합니다. 시스템 보안의 기존 역할은 해커의 사고 방식이 도입 되어야만합니다. 분명히, 해커의 방법은 독창적이고 기존 시스템 보안 역할을 다루기가 어렵습니다. 이로 인해 악의적 인 해커처럼 시스템에 액세스 할 수있는 윤리적 해커를 고용하고 보안 허점을 발견 할 수 있습니다.

침투 테스트

펜 테스트라고도하는 침투 테스트는 공격자가 대상으로 할 수있는 시스템 취약성을 식별하는 데 사용됩니다. 관통 테스트 방법에는 여러 가지가 있습니다. 조직은 요구 사항에 따라 다른 방법을 사용할 수 있습니다.

  • 대상 테스트에는 조직 사람과 해커가 포함됩니다. 조직 직원은 모두 해킹이 수행되고 있음을 알고 있습니다.
  • 외부 테스트는 웹 서버 및 DNS와 같은 외부 노출 시스템을 모두 통과합니다.
  • 내부 테스트는 액세스 권한이있는 내부 사용자에게 공개 된 취약점을 밝혀냅니다.
  • 맹검 테스트는 해커의 실제 공격을 시뮬레이션합니다.

테스터에게는 대상에 대한 제한된 정보가 제공되므로 공격 전에 정찰을 수행해야합니다. 침투 테스트는 윤리적 해커를 고용하는 가장 강력한 사례입니다. (자세한 내용은 침투 테스트 및 보안과 위험 간의 섬세한 균형을 참조하십시오.)

취약점 식별

어떤 시스템도 공격에 완전히 면역되지 않습니다. 여전히 조직은 다차원 적 보호를 제공해야합니다. 윤리적 해커의 패러다임은 중요한 차원을 추가합니다. 좋은 예는 제조 영역의 대규모 조직에 대한 사례 연구입니다. 조직은 시스템 보안 측면에서 제한 사항을 알고 있었지만 자체적으로 많은 것을 할 수는 없었습니다. 따라서 윤리적 해커를 고용하여 시스템 보안을 평가하고 발견 사항과 권장 사항을 제공했습니다. 이 보고서는 Microsoft RPC 및 원격 관리와 같은 가장 취약한 포트, 사고 대응 시스템과 같은 시스템 보안 개선 권장 사항, 취약성 관리 프로그램의 전체 배포 및 강화 지침을보다 포괄적으로 구성했습니다.


공격에 대비

시스템이 아무리 강화 되어도 공격은 불가피합니다. 결국 공격자는 취약점을 발견 할 것입니다. 이 기사는 이미 시스템의 강화 정도에 관계없이 사이버 공격이 불가피하다고 언급했습니다. 그렇다고해서 조직이 시스템 보안 강화를 중단해야한다는 의미는 아닙니다. 사이버 공격은 진화 해 왔으며 피해를 예방하거나 최소화 할 수있는 유일한 방법은 준비입니다. 공격으로부터 시스템을 준비하는 한 가지 방법은 윤리적 해커가 취약성을 미리 식별 할 수 있도록하는 것입니다.

이에 대한 많은 예가 있으며 미국 국토 안보부 (DHS)의 예를 논의하는 것이 적절합니다. DHS는 방대한 양의 기밀 데이터를 저장하고 처리하는 매우 크고 복잡한 시스템을 사용합니다. 데이터 유출은 심각한 위협이며 국가 안보를 위협하는 것입니다. DHS는 블랙 햇 해커가 사기를하기 전에 윤리적 해커가 시스템에 침입하게하는 것이 준비 수준을 높이는 현명한 방법이라는 것을 깨달았습니다. 따라서, 윤리 윤리 해커가 통과되어 일부 윤리적 해커가 DHS 시스템에 침입 할 수있게되었습니다. 이 법은 이니셔티브의 작동 방식을 자세히 설명했습니다. 윤리적 해커 그룹을 고용하여 DHS 시스템에 침입하여 취약성을 식별합니다 (있는 경우). 확인 된 새로운 취약점에 대해 윤리적 해커는 재정적으로 보상을받습니다. 윤리적 해커는 자신의 행동으로 인해 법적 구속을받지 않지만 특정한 제약과 지침에 따라 행동해야합니다. 이 법은 또한 프로그램에 참여하는 모든 윤리적 해커가 철저한 배경 점검을 거칠 수 있도록 의무화했습니다. DHS와 마찬가지로 평판이 좋은 조직은 오랫동안 시스템 보안 준비 수준을 높이기 위해 윤리적 해커를 고용하고 있습니다. 일반적으로 보안에 대한 자세한 내용은 IT 보안의 7 가지 기본 원칙을 참조하십시오.

버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드

아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.

결론

기업 시스템을 보호하기 위해 윤리적 해킹과 기존 IT 보안이 함께 작동해야합니다. 그러나 기업은 윤리적 해킹을 향한 전략을 수립해야합니다. 그들은 윤리적 해킹에 대한 DHS 정책에서 벗어날 수 있습니다. 윤리적 해커의 역할과 범위는 명확하게 정의되어야합니다. 해커가 작업 범위를 초과하지 않거나 시스템을 손상시키지 않도록 엔터프라이즈에서 점검 및 균형을 유지하는 것이 중요합니다. 또한 기업은 윤리적 해커에게 계약에 정의 된대로 위반시 법적 조치를 취하지 않을 것이라는 보증을 제공해야합니다.