Mục lục:
- Điều này đặc biệt đúng khi thực hiện các bài kiểm tra hacking đạo đức . Đảm bảo rằng các bài kiểm tra bạn thực hiện giảm thiểu sự gián đoạn các quy trình kinh doanh, hệ thống thông tin, và con người. Bạn muốn tránh những tình huống nguy hại như miscommunicating thời gian của các xét nghiệm và gây ra một cuộc tấn công DoS chống lại một trang web thương mại điện tử có lưu lượng truy cập cao vào giữa ngày hoặc thực hiện kiểm tra mật khẩu crack vào giữa đêm.
- chung chung,
- Nếu bạn hack các hệ thống của khách hàng, bạn có thể phải đào sâu hơn một chút vào hệ thống hoạt động như thế nào để bạn quen với chúng. Điều này không có nghĩa là những đánh giá mù quáng không có giá trị, nhưng loại đánh giá bạn thực hiện phụ thuộc vào nhu cầu cụ thể của bạn.
- Bạn có thể thực hiện một số kiểm tra, chẳng hạn như đánh cắp mật khẩu và đánh giá cơ sở hạ tầng mạng, từ văn phòng của bạn. Đối với hacks bên ngoài yêu cầu kết nối mạng, bạn có thể phải đi off-site hoặc sử dụng một máy chủ proxy bên ngoài. Một số máy quét lỗ hổng của các nhà cung cấp bảo mật được chạy từ đám mây, do đó sẽ hoạt động tốt.
- Nếu bạn khám phá ra một lỗ hổng lớn, liên hệ ngay với những người phù hợp để họ có thể bắt đầu khắc phục vấn đề ngay. Những người thích hợp có thể là nhà phát triển phần mềm, quản lý sản phẩm hoặc dự án, hoặc thậm chí các CIO. Nếu bạn đợi vài ngày hoặc vài tuần, ai đó có thể khai thác lỗ hổng và gây ra thiệt hại có thể đã được ngăn chặn.
- Máy tính, mạng và mọi người có sẵn khi bạn đang thử nghiệm.
Video: Cách Xác Định Động Cơ KĐB 3 Pha Sống Hay Chết 2025
Một lỗi hoặc trượt lên trong tiêu chuẩn kiểm tra của bạn có thể gửi các hệ thống bị rơi trong suốt quá trình kiểm tra thử nghiệm hacking đạo đức của bạn. Không ai muốn điều đó xảy ra. Để tránh rủi ro, phát triển và chuẩn mực kiểm tra tài liệu. Các tiêu chuẩn này nên bao gồm
-
Khi các bài kiểm tra được thực hiện, cùng với thời gian tổng thể
-
Những bài kiểm tra được thực hiện
-
Bao nhiêu kiến thức về các hệ thống bạn có được trước
-
Bạn làm gì khi một lỗ hổng lớn được phát hiện
-
Thời gian thử nghiệm của bạn
Điều này đặc biệt đúng khi thực hiện các bài kiểm tra hacking đạo đức. Đảm bảo rằng các bài kiểm tra bạn thực hiện giảm thiểu sự gián đoạn các quy trình kinh doanh, hệ thống thông tin, và con người. Bạn muốn tránh những tình huống nguy hại như miscommunicating thời gian của các xét nghiệm và gây ra một cuộc tấn công DoS chống lại một trang web thương mại điện tử có lưu lượng truy cập cao vào giữa ngày hoặc thực hiện kiểm tra mật khẩu crack vào giữa đêm.
Thời gian thử nghiệm của bạn nên bao gồm các ngày và thời gian ngắn cụ thể của mỗi bài kiểm tra, ngày bắt đầu và ngày kết thúc, và bất kỳ mốc thời gian cụ thể nào. Bạn có thể phát triển và nhập thời gian của bạn vào một bảng tính đơn giản hoặc biểu đồ Gantt hoặc bạn có thể bao gồm thời gian biểu như một phần của đề xuất và hợp đồng ban đầu của khách hàng. Thời hạn của bạn cũng có thể là cấu trúc phân tích công việc trong một kế hoạch dự án lớn hơn.
Có thể bạn đã bị buộc tội thực hiện một bài kiểm tra thâm nhập
chung chung,
hoặc bạn có thể muốn thực hiện các kiểm tra cụ thể, chẳng hạn như crack mật khẩu hoặc cố gắng đạt được truy cập vào một ứng dụng web. Hoặc bạn có thể thực hiện bài kiểm tra kỹ thuật xã hội hoặc đánh giá Windows trên mạng. Tuy nhiên bạn thử nghiệm, bạn có thể không muốn tiết lộ chi tiết cụ thể của thử nghiệm. Ngay cả khi người quản lý hoặc khách hàng của bạn không yêu cầu hồ sơ chi tiết các bài kiểm tra của bạn, hãy ghi lại những gì bạn đang làm ở mức cao. Tài liệu kiểm tra của bạn có thể giúp loại bỏ bất kỳ miscommunication tiềm năng. Bạn có thể biết các bài kiểm tra chung mà bạn thực hiện, nhưng nếu bạn sử dụng các công cụ tự động, có thể không thể hiểu được tất cả các bài kiểm tra bạn thực hiện hoàn toàn. Điều này đặc biệt đúng khi phần mềm bạn đang sử dụng nhận cập nhật và bản vá lỗ hổng thời gian thực từ nhà cung cấp mỗi khi bạn chạy nó.Khả năng cập nhật thường xuyên nhấn mạnh tầm quan trọng của việc đọc tài liệu và tệp tin đi kèm với các công cụ bạn sử dụng.
Đánh giá mù với kiến thức
Có một số kiến thức về các hệ thống mà bạn đang thử nghiệm có thể là một ý tưởng tốt, nhưng nó không bắt buộc. Tuy nhiên, sự hiểu biết cơ bản về hệ thống bạn hack có thể bảo vệ bạn và những người khác. Đạt được kiến thức này không phải là khó khăn nếu bạn đang hack các hệ thống trong nhà của riêng bạn.
Nếu bạn hack các hệ thống của khách hàng, bạn có thể phải đào sâu hơn một chút vào hệ thống hoạt động như thế nào để bạn quen với chúng. Điều này không có nghĩa là những đánh giá mù quáng không có giá trị, nhưng loại đánh giá bạn thực hiện phụ thuộc vào nhu cầu cụ thể của bạn.
Cách tiếp cận tốt nhất là lên kế hoạch cho các cuộc tấn công
không giới hạn, trong đó bất kỳ thử nghiệm nào có thể, thậm chí bao gồm cả thử nghiệm DoS. Xem xét liệu các bài kiểm tra phải được thực hiện sao cho chúng không bị phát hiện bởi quản trị viên mạng và bất kỳ nhà cung cấp dịch vụ bảo mật được quản lý nào. Mặc dù không bắt buộc, nhưng thực tế này nên được xem xét, đặc biệt đối với các bài kiểm tra về kỹ thuật xã hội và an toàn vật lý. Địa điểm
Các bài kiểm tra mà bạn thực hiện chỉ ra nơi bạn phải chạy chúng. Mục tiêu của bạn là thử nghiệm hệ thống của bạn từ các địa điểm có thể truy cập bởi các tin tặc độc hại hoặc nhân viên. Bạn không thể đoán trước được liệu bạn sẽ bị tấn công bởi ai đó bên trong hay bên ngoài mạng của bạn, vì vậy hãy bao gồm tất cả các căn cứ của bạn. Kết hợp các bài kiểm tra bên ngoài và kiểm tra nội bộ.
Bạn có thể thực hiện một số kiểm tra, chẳng hạn như đánh cắp mật khẩu và đánh giá cơ sở hạ tầng mạng, từ văn phòng của bạn. Đối với hacks bên ngoài yêu cầu kết nối mạng, bạn có thể phải đi off-site hoặc sử dụng một máy chủ proxy bên ngoài. Một số máy quét lỗ hổng của các nhà cung cấp bảo mật được chạy từ đám mây, do đó sẽ hoạt động tốt.
Tuy nhiên, nếu bạn có thể chỉ định một địa chỉ IP công cộng có sẵn cho máy tính của mình, chỉ cần cắm vào mạng ở bên ngoài bức tường lửa để xem hacker của hệ thống của bạn. Các bài kiểm tra nội bộ rất dễ vì bạn chỉ cần truy cập vật lý vào tòa nhà và mạng. Bạn có thể sử dụng một đường dây DSL hoặc modem cáp đã được áp dụng cho khách truy cập và người dùng tương tự.
Đáp ứng các lỗ hổng mà bạn tìm thấy
Xác định trước thời gian bạn sẽ dừng lại hoặc tiếp tục khi bạn tìm thấy một lỗ hổng bảo mật quan trọng. Bạn không cần phải giữ hacker mãi mãi hoặc cho đến khi bạn sụp đổ tất cả các hệ thống. Chỉ cần làm theo các con đường bạn đang ở cho đến khi bạn không thể hack nó nữa. Khi nghi ngờ, điều tốt nhất để làm là để có một mục đích cụ thể trong tâm trí và sau đó dừng lại khi mục tiêu đó đã được đáp ứng.
Nếu bạn khám phá ra một lỗ hổng lớn, liên hệ ngay với những người phù hợp để họ có thể bắt đầu khắc phục vấn đề ngay. Những người thích hợp có thể là nhà phát triển phần mềm, quản lý sản phẩm hoặc dự án, hoặc thậm chí các CIO. Nếu bạn đợi vài ngày hoặc vài tuần, ai đó có thể khai thác lỗ hổng và gây ra thiệt hại có thể đã được ngăn chặn.
Các giả định ngớ ngẩn
Bạn đã nghe về những gì bạn tự tạo ra khi bạn thừa nhận mọi thứ. Mặc dù vậy, bạn đưa ra các giả định khi bạn hack một hệ thống.Dưới đây là một số ví dụ về những giả định này:
Máy tính, mạng và mọi người có sẵn khi bạn đang thử nghiệm.
Bạn có tất cả các công cụ kiểm tra phù hợp.
-
Các công cụ kiểm tra bạn sử dụng sẽ giảm thiểu nguy cơ bị lỗi hệ thống bạn kiểm tra.
-
Bạn hiểu khả năng xảy ra các lỗ hổng hiện tại hoặc bạn đã sử dụng các công cụ kiểm tra không đúng cách.
-
Bạn biết các rủi ro của các bài kiểm tra của bạn.
-
Ghi tất cả các giả định và quản lý hoặc khách hàng của bạn đăng nhập vào chúng như một phần của quy trình phê duyệt chung của bạn.
