Нападение на собственные системы самообороны для проверки уязвимостей считалось главной военной стратегией еще 1500 лет назад.
Атака на собственные системы для проверки устойчивости к атакам, возможно, помогла многим нашим предкам выиграть войны, укрепив их слабые места. Тенденция продолжается и по сей день во имя «этического взлома», когда уязвимости в киберсистемах вынюхиваются, а системы укрепляются против атак.
Новый вид битвы ведется на нас в этот день, не на поле боя, а в цифровом мире. Киберпреступность-самая быстрорастущая область преступности, и никто не находится в безопасности. Интернет принес много анонимности своим пользователям, и хакеры и киберпреступники используют эту анонимность для совершения преступлений. Этический взлом был создан из-за необходимости активно противостоять киберугрозам и улучшать защиту для защиты интересов уязвимых сторон.
Этический взлом сегодня это большой бизнес. Google, Facebook («Организация, запрещенная на территории Российской Федерации»), Twitter и другие крупные компании тратят миллионы на «взлом белой шляпы», чтобы вынюхивать уязвимости в своих системах. Программы Bug bounty, где хакеры будут получать компенсацию за сообщения об уязвимостях, станут нормой в будущем. Организации доверяют людям, которые были сертифицированы как этические хакеры, поскольку они знают кодекс поведения, которому следует следовать во время курсов по этическому хакерству. Но даже самый искренний этический хакер может споткнуться и попасть в ситуации, которые могут нанести вред хакеру или организации. Даже сертифицированные этические хакеры должны понимать некоторые правила, прежде чем практиковать взлом белой шляпы.
• Вы хакер в белой шляпе, но вам все равно нужно разрешение, прежде чем взламывать систему пользователя:
взлом белой шляпы может быть этичным, но взлом системы пользователя без явного разрешения от них приведет к неприятностям. На самом деле взлом, даже в этических целях без явного разрешения владельцев, является уголовным преступлением в большинстве стран.
• Понять бизнес и организационную структуру вашего клиента: прежде чем начать заниматься этическим взломом, важно понять бизнес и систему вашей клиентской организации. Это даст вам представление о чувствительности их сети и о том, как вам нужно обрабатывать любую конфиденциальную информацию, с которой вы можете столкнуться.
• Не превышайте лимиты, налагаемые клиентом: даже если ваш клиент предоставил вам полный доступ к своей сети, все равно может быть предел тому, сколько вы можете копать. Не копайте глубже, чем вам сказали, так как вы можете нарушить доверие клиентов.
• Убедитесь, что вы выполняете свою работу правильно, чтобы не поставить под угрозу защитные системы клиента: ваша задача-вынюхивать дыры и следить за тем, чтобы эти дыры были исправлены для укрепления системы ИТ-безопасности. Предоставьте подробный отчет о своих выводах и убедитесь, что вы не переступаете никаких ограничений или не нарушаете никаких законов или правил. Планируйте, прежде чем выполнять тесты этического взлома, поскольку время и терпение имеют первостепенное значение для чувствительных результатов.
• Будьте прозрачны со своими клиентами: открытое общение с вашим клиентом поможет не только вашему клиенту, но и вам, повысив вашу надежность. Вы должны раскрыть все открытия, которые вы сделали, своему клиенту, чтобы он мог принять необходимые меры предосторожности для защиты своих систем. Ваш клиент должен быть в курсе того, что происходит в любое время.
• Будьте конфиденциальны и этичны: вы должны сохранять конфиденциальность вовремя и даже после выполнения работы. Вы этичный хакер, и трудовая этика для вас на первом месте, и это включает конфиденциальность клиента. Раскрытие секретов ваших клиентов третьим лицам уничтожит саму цель этического взлома. Поддерживайте ценности и цели компании и уважайте их конфиденциальность.
• Заметайте следы: вы проникли в системы и предложили подробные очистки. Но при выходе вы должны убедиться, что не оставляете следов и тем самым защищаете систему от будущих атак.
Этический взлом-чувствительная и иногда опасная работа. Но каждый этический хакер должен следовать заповедям этического взлома, поскольку существует очень тонкая грань между черной шляпой и белой шляпой. Оставайтесь сосредоточенными и верными себе, и вы добьетесь успеха
4 Ключевые особенности COBIT 5 Foundation для улучшения карьеры
COBIT означает" Цели контроля за информацией и связанными с ней технологиями. Он был запущен профессиональной ассоциацией ISACA, которая расшифровывается как Ассоциация аудита и контроля информационных систем, в качестве основы надлежащей практики. Мотивом создания COBIT было создание простейшей и общей среды для взаимодействия между различными бизнес-личностями.
Первая версия COBIT была выпущена в 1996 году. Затем в 1998 году была разработана версия 2, а в 2000 году она была расширена до версии 3. Версии 4 и 4.1 были запущены последовательно в 2005 и 2007 годах соответственно. Последняя версия COBIT 5 была выпущена в апреле 2012 года.
COBIT