Comment les pirates malveillants inventent les pirates éthiques - les nuls

Vous avez besoin de protection contre les manigances de hackers; vous devez devenir aussi avertis que les gars qui essaient d'attaquer vos systèmes. Un vrai professionnel de l'évaluation de la sécurité possède les compétences, l'état d'esprit et les outils d'un hacker, mais il est également digne de confiance. Il ou elle effectue les hacks comme tests de sécurité contre les systèmes basés sur la façon dont les pirates peuvent fonctionner.

Le piratage éthique - qui englobe les tests de pénétration formels et méthodiques, le piratage et les tests de vulnérabilité - utilise les mêmes outils, astuces et techniques que les pirates informatiques, mais avec une différence majeure: le piratage éthique est autorisé dans un cadre professionnel. L'objectif du piratage éthique est de découvrir les vulnérabilités du point de vue d'un attaquant malveillant afin de mieux sécuriser les systèmes. Le piratage éthique fait partie d'un programme global de gestion des risques liés à l'information qui permet des améliorations continues de la sécurité. Le piratage éthique peut également garantir que les réclamations des fournisseurs concernant la sécurité de leurs produits sont légitimes.

Si vous effectuez des tests de piratage éthiques et que vous souhaitez ajouter une autre certification à vos diplômes, vous pourriez envisager de devenir un Hacker éthique certifié (CEH) grâce à un programme de certification parrainé par EC-Council. À l'instar du Professional Security Systems Security Professional (CISSP), la certification CEH est devenue une certification reconnue et respectée dans l'industrie. Il est même accrédité par l'American National Standards Institute (ANSI 17024).

Les autres options incluent le programme de certification SANS Global Information Certification (GIAC) et le programme OSCP (Offensive Security Certified Professional) - une certification de tests de sécurité entièrement pratique. Trop souvent, les personnes effectuant ce type de travail n'ont pas l'expérience pratique nécessaire pour bien le faire.

Piratage éthique contre audit

Beaucoup de gens confondent les tests de sécurité via l'approche éthique du piratage avec les audits de sécurité, mais il existe de grandes différences , notamment dans les objectifs. L'audit de sécurité consiste à comparer les politiques de sécurité d'une entreprise (ou les exigences de conformité) à ce qui se passe réellement. L'objectif de l'audit de sécurité est de valider l'existence de contrôles de sécurité, généralement en utilisant une approche basée sur les risques. L'audit implique souvent l'examen des processus métier et, dans de nombreux cas, peut ne pas être très technique. Les audits de sécurité sont généralement basés sur des listes de contrôle.

Tous les audits ne sont pas de haut niveau, mais beaucoup (en particulier autour de la conformité à la norme PCI DSS) sont assez simplistes - souvent effectués par des personnes qui n'ont pas d'ordinateur technique, réseau, et l'expérience de l'application ou, pire, ils travaillent en dehors de l'informatique tout à fait!

Inversement, les évaluations de sécurité basées sur le piratage éthique mettent l'accent sur les vulnérabilités qui peuvent être exploitées. Cette approche de test vérifie que les contrôles de sécurité n'existent pas ou sont au mieux inefficaces. Le piratage éthique peut être à la fois hautement technique et non technique, et bien que vous utilisiez une méthodologie formelle, il a tendance à être un peu moins structuré que l'audit formel.

Lorsque l'audit est requis (comme pour les certifications ISO 9001 et 27001) dans votre organisation, vous pouvez envisager d'intégrer des techniques de piratage éthique dans votre programme d'audit informatique / de sécurité. Ils se complètent vraiment bien.

Considérations de stratégie

Si vous choisissez de faire du piratage éthique une partie importante du programme de gestion des risques informatiques de votre entreprise, vous devez disposer d'une politique documentée sur les tests de sécurité. Une telle politique décrit qui effectue les tests, le type général de test effectué et la fréquence des tests.

Vous pouvez également envisager de créer un document de normes de sécurité décrivant les outils de test de sécurité spécifiques utilisés et les personnes effectuant les tests. Vous pouvez également répertorier les dates de test standard, par exemple une fois par trimestre pour les systèmes externes et les tests semestriels pour les systèmes internes - tout ce qui fonctionne pour votre entreprise.

Préoccupations liées à la conformité et à la réglementation

Vos propres règles internes peuvent déterminer la façon dont la direction considère les tests de sécurité, mais vous devez également tenir compte des lois et réglementations nationales, fédérales et internationales qui affectent votre activité. En particulier, le Digital Millennium Copyright Act (DMCA) envoie des frissons dans les colonnes des chercheurs légitimes.

Un grand nombre de lois et de règlements fédéraux aux États-Unis - Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA), Loi sur la technologie de l'information sanitaire pour la santé économique et clinique (HITECH), Loi Gramm-Leach-Bliley Les exigences CIP (Critical Infrastructure Protection) de la North American Electric Reliability Corporation (NERC) et la norme PCI DSS exigent des contrôles de sécurité rigoureux et des évaluations de sécurité cohérentes. Les lois internationales connexes telles que la Loi canadienne sur la protection des renseignements personnels et les documents électroniques, la Directive sur la protection des données de l'Union européenne et la Loi sur la protection des renseignements personnels du Japon (JPIPA) ne sont pas différentes.

Intégrer vos tests de sécurité dans ces exigences de conformité est une excellente façon de respecter les réglementations nationales et fédérales et de renforcer votre programme global de sécurité et de confidentialité des informations.