Diez errores mortales que deben evitarse cuando hackear tu negocio

Varios errores mortales pueden causar estragos en sus resultados de hacking ético e incluso su carrera. No sea víctima! Estos son algunos peligros potenciales que tiene que ser muy consciente de.

No obtener la aprobación previa

Obtener la aprobación documentada de antemano, como un correo electrónico, una nota interna, o de un contrato formal para sus esfuerzos de hacking ético - ya sea de gestión o desde el cliente - es una necesidad absoluta. Es su salir de la cárcel gratis tarjeta.

Permitir excepciones aquí - especialmente cuando usted está haciendo el trabajo para los clientes: Asegúrese de obtener una copia firmada de este documento para sus archivos y por su abogado.

Suponiendo que usted puede encontrar todas las vulnerabilidades durante sus pruebas

Así que existen muchas vulnerabilidades de seguridad - conocidos y desconocidos - que no vas a encontrar a todos ellos durante las pruebas. No haga ninguna garantía que encontrará todas las vulnerabilidades de seguridad en un sistema. Usted va a comenzar algo que no se puede terminar.

Si lo hiciste bien el estudio de probabilidad y estadística en la escuela secundaria o la universidad, usted puede considerar la elaboración de algunos intervalos de confianza para mostrar lo que realmente esperas encontrar.

Se adhieren a los siguientes principios:

• Ser realista.

• Utilice buenas herramientas.

• Conozca a sus sistemas y la práctica de perfeccionar sus técnicas.

Suponiendo que usted puede eliminar todas las vulnerabilidades de seguridad

Cuando se trata de computadoras, un 100 por ciento, la seguridad férrea no es alcanzable. Usted no puede prevenir todas vulnerabilidades de seguridad, pero que va a hacer muy bien si usted descubre la fruta madura y realizar estas tareas:

• Siga las prácticas sólidas.

• Parche y endurecer sus sistemas.

• Aplicar razonables contramedidas de seguridad (coste justificado).

También es importante recordar que usted tendrá costos no planificados. Usted puede encontrar gran cantidad de problemas de seguridad y necesitará el presupuesto para tapar los agujeros. De lo contrario, es posible que haya superado el obstáculo de diligencia debida, pero ahora tienen un problema de cuidado debido en sus manos. Es por esto que es necesario acercarse a seguridad de la información desde una perspectiva de riesgo y tienen todas las personas adecuadas a bordo.

Realización de pruebas de una sola vez

Hacking ético es una instantánea de su estado general de la seguridad. Las nuevas amenazas y vulnerabilidades superficie continuamente, por lo que debe realizar estas pruebas periódicamente y constantemente para asegurarse de que mantenerse al día con las últimas defensas de seguridad para sus sistemas. Desarrollar ambos planes a corto y largo plazo para la realización de las pruebas de seguridad en los próximos meses y años próximos.

Pensando que lo sabe todo

A pesar de que algunos en el campo de la TI habría discrepar, nadie trabajar con computadoras o información de seguridad lo sabe todo. Mantenerse al día con todas las versiones de software, modelos de hardware y tecnologías emergentes, por no hablar de las amenazas y vulnerabilidades de seguridad asociadas, es imposible. Los verdaderos profesionales de seguridad de la información conocen sus limitaciones - es decir, lo que ¿no saber. Sin embargo, ellos saben dónde obtener respuestas.

Ejecución de las pruebas sin mirar las cosas desde el punto de vista de un hacker

Piense en cómo un intruso malicioso o privilegiada pícaro pueden atacar su red y las computadoras. Obtener una nueva perspectiva y tratar de pensar fuera de la caja proverbial.

Estudiar las conductas delictivas y de hackers y ataques de hackers común para que sepa lo que para detectar si existen. Hay blogs continua sobre este tema en Seguridad Blog de Kevin Beaver. Revistas especializadas como Hackin9 y 2600 son un buen recurso también.

No probar los sistemas de derecho

Centrarse en los sistemas y las operaciones que más importan. Puede cortar lejos todo el día en un escritorio independiente que ejecuta MS-DOS desde un disquete 5 1/4-inch sin tarjeta de red y sin disco duro, pero que de nada? Probablemente no. Pero nunca se sabe. Sus mayores riesgos podrían estar en el sistema aparentemente menos crítico. Concéntrese en lo que es urgente e importante.

No usar las herramientas adecuadas

Sin las herramientas adecuadas para la tarea, conseguir cualquier cosa hecha sin conducir a ti mismo tuercas es imposible. Comprar herramientas comerciales cuando se puede - que son por lo general vale la pena cada centavo. Sin herramienta de seguridad se encarga de todo, sin embargo.

La construcción de su caja de herramientas y conocer así sus herramientas le ahorrará pegotes de esfuerzo, y usted impresionar a los demás con sus resultados.

Golpeando los sistemas de producción en el momento equivocado

Una de las mejores maneras de marcar la casilla correspondiente a su gerente o perder la confianza de su cliente es ejecutar ataques de hackers contra los sistemas de producción cuando todo el mundo los está usando. Si usted trata de probar un sistema en el momento equivocado, esperar que los sistemas críticos pueden bajar en el peor momento absoluta.

Asegúrese de saber el mejor momento para realizar la prueba. Puede ser que sea en el medio de la noche. Esta podría ser la razón para justificar el uso de herramientas de seguridad y otros servicios de apoyo que pueden ayudar a automatizar ciertas tareas de hacking ético.

La externalización de la prueba y no permanecer involucrado

El outsourcing es grande, pero hay que seguir participando en todo el proceso. No entregar las riendas de sus pruebas de seguridad a un individuo de otro fabricante o un proveedor de servicios en la nube sin seguir y mantenerse en la cima de lo que está ocurriendo.

Usted no va a hacer su gerente o clientes un favor a permanecer fuera del pelo los proveedores de terceros. Obtener en su pelo. (Pero no como un pedazo de goma de mascar -. Que sólo hace que todo sea más difícil) Pida informes de vulnerabilidad de escaneo, informes de evaluación de seguridad formal, y cualquier otra cosa que están haciendo que demuestra que se toman en serio la seguridad.