Làm thế nào để Thiết lập mục tiêu cho một Kế hoạch Hacking Đạo đức - núm vú

Kế hoạch thử nghiệm của bạn cần các mục tiêu. Mục đích chính của hacking đạo đức là tìm ra các lỗ hổng trong hệ thống của bạn từ quan điểm của những kẻ xấu để bạn có thể làm cho môi trường của bạn an toàn hơn. Bạn có thể thực hiện bước này thêm nữa:

• Xác định mục tiêu cụ thể hơn. Tuân thủ các mục tiêu này với mục tiêu kinh doanh của bạn. Bạn và quản lý đang cố gắng để có được từ quá trình này là gì? Bạn sẽ sử dụng những tiêu chuẩn về hiệu suất nào để đảm bảo bạn đang tận dụng tối đa khả năng thử nghiệm của mình?

• Tạo lịch cụ thể với ngày bắt đầu và ngày kết thúc cũng như thời gian thử nghiệm của bạn diễn ra. Những ngày và giờ này là những thành phần quan trọng của kế hoạch tổng thể của bạn.

Trước khi bạn bắt đầu thử nghiệm, bạn hoàn toàn, tích cực cần mọi thứ bằng văn bản và chấp thuận. Tài liệu mọi thứ và liên quan đến quản lý trong quá trình này. Đồng minh tốt nhất của bạn trong nỗ lực thử nghiệm của bạn là người quản lý hỗ trợ những gì bạn đang làm.

Sự thử nghiệm của bạn có hỗ trợ sứ mệnh của doanh nghiệp và các bộ phận CNTT và an ninh của nó không?

• Những mục tiêu kinh doanh nào được đáp ứng bằng cách thực hiện các cuộc tấn công đạo đức?

• Các mục tiêu này có thể bao gồm những điều sau: Làm việc thông qua Tuyên bố về Tiêu chuẩn Thẩm định Xác nhận (SSAE) 16 kiểm toán

  • Đáp ứng các yêu cầu hợp đồng của khách hàng hoặc đối tác kinh doanh

  • Duy trì hình ảnh của công ty

  • Chuẩn bị cho tiêu chuẩn an ninh quốc tế được chấp nhận của ISO / IEC 27001: 2013

  • Sự thử nghiệm này sẽ cải thiện an ninh, CNTT và toàn bộ doanh nghiệp như thế nào?

  • Bạn đang bảo vệ thông tin gì?

• Đây có thể là thông tin sức khoẻ cá nhân, sở hữu trí tuệ, thông tin khách hàng bí mật hoặc thông tin cá nhân của nhân viên.

• Bạn và tổ chức của mình có bao nhiêu tiền, thời gian và nỗ lực để chi tiêu cho đánh giá bảo mật? Những sản phẩm cụ thể nào sẽ có?

• Các tài liệu phân phối

• có thể bao gồm bất cứ điều gì từ các báo cáo điều hành cấp cao đến các báo cáo kỹ thuật chi tiết và các bài viết về những gì bạn đã kiểm tra, cùng với kết quả của các bài kiểm tra của bạn. Bạn có thể cung cấp thông tin cụ thể được thu thập trong quá trình thử nghiệm của bạn, chẳng hạn như mật khẩu và thông tin bí mật khác. Bạn mong muốn những kết quả cụ thể nào? Kết quả mong muốn bao gồm các biện minh cho thuê hoặc thuê nhân viên an ninh, tăng ngân sách an ninh của bạn, đáp ứng yêu cầu tuân thủ, hoặc tăng cường hệ thống an ninh.

• Sau khi bạn biết các mục tiêu của mình, hãy ghi lại các bước để đến đó. Ví dụ, nếu một mục tiêu là phát triển lợi thế cạnh tranh để giữ khách hàng hiện tại và thu hút những khách hàng mới, hãy xác định câu trả lời cho những câu hỏi sau: Khi nào bạn bắt đầu thử nghiệm?

Cách tiếp cận thử nghiệm của bạn là

• người mù,

• mà bạn không biết gì về các hệ thống mà bạn đang thử nghiệm hoặc dựa trên tri thức, trong đó bạn được cung cấp thông tin cụ thể về hệ thống bạn đang thử nghiệm, chẳng hạn như địa chỉ IP, tên máy chủ, và thậm chí tên người dùng và mật khẩu? Thử nghiệm của bạn có tính chất kỹ thuật, liên quan đến đánh giá an ninh thể chất hay thậm chí sử dụng kỹ thuật xã hội? Bạn có tham gia đội hacker đạo đức lớn hơn, đôi khi được gọi là đội đỏ

• đội hổ hoặc

• không? Bạn sẽ thông báo cho các bên bị ảnh hưởng về những gì bạn đang làm và khi bạn đang làm việc đó? Nếu vậy, làm thế nào? Thông báo của khách hàng là một vấn đề quan trọng. Nhiều khách hàng đánh giá cao rằng bạn đang thực hiện các bước để bảo vệ thông tin của họ. Tiếp cận thử nghiệm một cách tích cực. Đừng nói, "Chúng tôi đang xâm nhập vào hệ thống của chúng tôi để xem những thông tin nào dễ bị tấn công bởi tin tặc", ngay cả khi đó là những gì bạn đang làm. Thay vào đó, hãy nói rằng bạn đang đánh giá mức độ bảo mật chung của môi trường mạng của bạn để thông tin sẽ được an toàn nhất có thể. Làm thế nào bạn sẽ biết liệu khách hàng thậm chí còn quan tâm đến những gì bạn đang làm?

• Làm thế nào bạn sẽ thông báo cho khách hàng rằng tổ chức đang thực hiện các bước để tăng cường bảo mật thông tin của họ?

  Những phép đo nào có thể đảm bảo rằng những nỗ lực này được đền đáp xứng đáng?

• Việc thiết lập mục tiêu của bạn tốn thời gian, nhưng bạn sẽ không hối hận. Những mục tiêu này là bản đồ đường của bạn. Nếu bạn có bất kỳ mối quan tâm, hãy tham khảo các mục tiêu này để đảm bảo rằng bạn ở lại theo dõi.