Accueil Finances personnelles Comment les pirates malveillants inventent les pirates éthiques - les nuls

Comment les pirates malveillants inventent les pirates éthiques - les nuls

Table des matières:

Vidéo: FNIH Events: Disruption Digitale Hôtel le palace d'Anfa 2025

Vidéo: FNIH Events: Disruption Digitale Hôtel le palace d'Anfa 2025
Anonim

Vous avez besoin de protection contre les manigances de hackers; vous devez devenir aussi avertis que les gars qui essaient d'attaquer vos systèmes. Un vrai professionnel de l'évaluation de la sécurité possède les compétences, l'état d'esprit et les outils d'un hacker, mais il est également digne de confiance. Il ou elle effectue les hacks comme tests de sécurité contre les systèmes basés sur la façon dont les pirates peuvent fonctionner.

Le piratage éthique - qui englobe les tests de pénétration formels et méthodiques, le piratage et les tests de vulnérabilité - utilise les mêmes outils, astuces et techniques que les pirates informatiques, mais avec une différence majeure: le piratage éthique est autorisé dans un cadre professionnel. L'objectif du piratage éthique est de découvrir les vulnérabilités du point de vue d'un attaquant malveillant afin de mieux sécuriser les systèmes. Le piratage éthique fait partie d'un programme global de gestion des risques liés à l'information qui permet des améliorations continues de la sécurité. Le piratage éthique peut également garantir que les réclamations des fournisseurs concernant la sécurité de leurs produits sont légitimes.

Si vous effectuez des tests de piratage éthiques et que vous souhaitez ajouter une autre certification à vos diplômes, vous pourriez envisager de devenir un Hacker éthique certifié (CEH) grâce à un programme de certification parrainé par EC-Council. À l'instar du Professional Security Systems Security Professional (CISSP), la certification CEH est devenue une certification reconnue et respectée dans l'industrie. Il est même accrédité par l'American National Standards Institute (ANSI 17024).

Les autres options incluent le programme de certification SANS Global Information Certification (GIAC) et le programme OSCP (Offensive Security Certified Professional) - une certification de tests de sécurité entièrement pratique. Trop souvent, les personnes effectuant ce type de travail n'ont pas l'expérience pratique nécessaire pour bien le faire.

Piratage éthique contre audit

Beaucoup de gens confondent les tests de sécurité via l'approche éthique du piratage avec les audits de sécurité, mais il existe de grandes différences , notamment dans les objectifs. L'audit de sécurité consiste à comparer les politiques de sécurité d'une entreprise (ou les exigences de conformité) à ce qui se passe réellement. L'objectif de l'audit de sécurité est de valider l'existence de contrôles de sécurité, généralement en utilisant une approche basée sur les risques. L'audit implique souvent l'examen des processus métier et, dans de nombreux cas, peut ne pas être très technique. Les audits de sécurité sont généralement basés sur des listes de contrôle.

Tous les audits ne sont pas de haut niveau, mais beaucoup (en particulier autour de la conformité à la norme PCI DSS) sont assez simplistes - souvent effectués par des personnes qui n'ont pas d'ordinateur technique, réseau, et l'expérience de l'application ou, pire, ils travaillent en dehors de l'informatique tout à fait!

Inversement, les évaluations de sécurité basées sur le piratage éthique mettent l'accent sur les vulnérabilités qui peuvent être exploitées. Cette approche de test vérifie que les contrôles de sécurité n'existent pas ou sont au mieux inefficaces. Le piratage éthique peut être à la fois hautement technique et non technique, et bien que vous utilisiez une méthodologie formelle, il a tendance à être un peu moins structuré que l'audit formel.

Lorsque l'audit est requis (comme pour les certifications ISO 9001 et 27001) dans votre organisation, vous pouvez envisager d'intégrer des techniques de piratage éthique dans votre programme d'audit informatique / de sécurité. Ils se complètent vraiment bien.

Considérations de stratégie

Si vous choisissez de faire du piratage éthique une partie importante du programme de gestion des risques informatiques de votre entreprise, vous devez disposer d'une politique documentée sur les tests de sécurité. Une telle politique décrit qui effectue les tests, le type général de test effectué et la fréquence des tests.

Vous pouvez également envisager de créer un document de normes de sécurité décrivant les outils de test de sécurité spécifiques utilisés et les personnes effectuant les tests. Vous pouvez également répertorier les dates de test standard, par exemple une fois par trimestre pour les systèmes externes et les tests semestriels pour les systèmes internes - tout ce qui fonctionne pour votre entreprise.

Préoccupations liées à la conformité et à la réglementation

Vos propres règles internes peuvent déterminer la façon dont la direction considère les tests de sécurité, mais vous devez également tenir compte des lois et réglementations nationales, fédérales et internationales qui affectent votre activité. En particulier, le Digital Millennium Copyright Act (DMCA) envoie des frissons dans les colonnes des chercheurs légitimes.

Un grand nombre de lois et de règlements fédéraux aux États-Unis - Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA), Loi sur la technologie de l'information sanitaire pour la santé économique et clinique (HITECH), Loi Gramm-Leach-Bliley Les exigences CIP (Critical Infrastructure Protection) de la North American Electric Reliability Corporation (NERC) et la norme PCI DSS exigent des contrôles de sécurité rigoureux et des évaluations de sécurité cohérentes. Les lois internationales connexes telles que la Loi canadienne sur la protection des renseignements personnels et les documents électroniques, la Directive sur la protection des données de l'Union européenne et la Loi sur la protection des renseignements personnels du Japon (JPIPA) ne sont pas différentes.

Intégrer vos tests de sécurité dans ces exigences de conformité est une excellente façon de respecter les réglementations nationales et fédérales et de renforcer votre programme global de sécurité et de confidentialité des informations.

Comment les pirates malveillants inventent les pirates éthiques - les nuls

Le choix des éditeurs

Comment gérer votre temps pour le test GED Science - les mannequins

Comment gérer votre temps pour le test GED Science - les mannequins

Le test GED Science a environ 50 questions (le nombre exact varie d'un test à l'autre) auxquelles vous devez répondre en 90 minutes, ce qui signifie que vous avez environ 90 secondes pour lire chaque passage textuel ou visuel et les questions correspondantes et déterminer la bonne réponse. Si un passage a plus d'une question, vous ...

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Le Le test GED Science posera des questions liées aux statistiques descriptives. Vous pouvez souvent résumer une collection de données (à partir d'une expérience, d'observations ou d'enquêtes, par exemple) en utilisant des statistiques descriptives, des chiffres utilisés pour résumer et analyser les données et en tirer des conclusions. Les statistiques descriptives pour une collection de données sont les suivantes: Fréquence: ...

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Utiliser des preuves pour prédire les résultats est une compétence nécessaire pour le test GED Science. Les plus grands avantages des études scientifiques peuvent souvent être attribués au fait que leurs conclusions permettent aux gens de prédire les résultats. (Vous souhaiterez probablement que la science puisse vous aider à prédire vos résultats au test!) Vous êtes témoin de la science en action tous les jours ...

Le choix des éditeurs

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Le temps et l'argent pour créer des accords légaux avec tous vos auteurs. Traitez votre entreprise comme une véritable entreprise. Trouver un bon avocat qui se spécialise dans le droit d'auteur et le droit des contrats pour vous aider à naviguer dans ces eaux légales. La loi sur le droit d'auteur est étrange et délicate, et défie souvent le bon sens. Voici les plus importants ...

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Si vous démarrez un blog à partir de zéro, vous devez choisir une plate-forme de blog avant de pouvoir commencer à travailler sur la conception de votre blog. Le choix d'une plateforme de blog n'est pas une décision facile, car les plateformes de blogs ont plusieurs goûts différents. Une liste des plates-formes les plus couramment utilisées est incluse dans le tableau pour vous ...

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

N'oublient pas que les autres blogueurs peut être votre public principal. Ces gens sont en ligne et connaissent déjà les blogs, et vous êtes susceptible de trouver d'autres blogueurs avec qui vous avez beaucoup en commun. Rencontrer des blogueurs en personne et communiquer avec eux en ligne sont des moyens formidables de réseauter et de commercialiser votre blog. Les blogueurs sont bien ...

Le choix des éditeurs

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

Construisent une estime de soi saine. Les buts qui valent la peine d'être atteints exigent beaucoup de dévouement et de travail acharné, et abandonner est trop facile quand les choses se compliquent. Continuez à faire des efforts en vous rappelant de tenir ces types d'attitudes motivationnelles: je peux supporter la douleur et l'inconfort qui accompagnent le travail acharné. Il peut ...

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Brièvement, voici les étapes d'une séance d'hypnothérapie typique . Cependant, gardez à l'esprit qu'une session «typique» varie beaucoup selon l'hypnothérapeute et le patient. Vous vous familiarisez avec votre hypnothérapeute. Votre hypnothérapeute rassemble des informations sur vous (principalement complétées lors de la session initiale). La transe est induite. La transe est approfondie. La réalité ...

Examinant les avantages et les inconvénients de la colère - les nuls

Examinant les avantages et les inconvénients de la colère - les nuls

La colère, comme toute autre chose, n'est pas bonne ou tout mauvais: il a beaucoup de pour et de contre. Les sections suivantes expliquent celles pour vous, afin que vous obteniez une image claire de la colère et de l'effet qu'elle peut avoir sur votre vie. Regarder les points positifs de la colère La colère peut être une émotion très pénible ...