Comment votre organisation peut bénéficier d'un piratage éthique

Auteur: Roger Morrison
Date De Création: 26 Septembre 2021
Date De Mise À Jour: 21 Juin 2024
Anonim
Comment votre organisation peut bénéficier d'un piratage éthique - La Technologie
Comment votre organisation peut bénéficier d'un piratage éthique - La Technologie

Contenu


Source: Cammeraydave / Dreamstime.com

À emporter:

Le piratage informatique représente une menace énorme pour les organisations. C'est pourquoi les pirates éthiques sont souvent la meilleure solution pour détecter les failles de sécurité.

La nature des menaces à la cybersécurité ne cesse d'évoluer. À moins que les systèmes évoluent pour gérer ces menaces, ils seront des canards assis. Bien que des mesures de sécurité conventionnelles soient nécessaires, il est important d’obtenir le point de vue des personnes susceptibles de menacer les systèmes, ou les pirates. Les organisations permettent à une catégorie de pirates, connue sous le nom de pirates éthiques ou white hat, d'identifier les vulnérabilités du système et de proposer des solutions pour les résoudre. Les pirates éthiques, avec le consentement exprès des propriétaires de système ou des parties prenantes, pénètrent dans les systèmes pour identifier les vulnérabilités et formuler des recommandations sur l'amélioration des mesures de sécurité. Le piratage éthique rend la sécurité globale et holistique.


Avez-vous vraiment besoin de pirates éthiques?

Il n’est certes pas obligatoire de recourir aux services de pirates informatiques éthiques, mais les systèmes de sécurité conventionnels ont à plusieurs reprises échoué à fournir une protection adéquate contre un ennemi qui grossit et se diversifie. Avec la prolifération des appareils intelligents et connectés, les systèmes sont constamment menacés. En fait, le piratage informatique est perçu comme une avenue lucrative sur le plan financier, bien sûr au détriment des organisations. Comme le dit Bruce Schneier, auteur du livre "Protect Your Macintosh", "il est facile de protéger le matériel: verrouillez-le dans une pièce, attachez-le à un bureau ou achetez un disque de rechange. Les informations posent plus de problèmes. Elles peuvent exister dans plus d'un endroit, soyez transportés à l'autre bout de la planète en quelques secondes et volés à votre insu. " À moins que votre budget ne soit élevé, votre service informatique peut s'avérer inférieur à l'assaut des pirates informatiques et des informations précieuses peuvent être volées avant même de vous en rendre compte. Par conséquent, il est judicieux d'ajouter une dimension à votre stratégie de sécurité informatique en recrutant des pirates éthiques qui connaissent les méthodes des pirates black hat. Sinon, votre organisation risquerait de laisser inconsciemment des échappatoires dans le système.


Connaissance des méthodes des hackers

Pour prévenir le piratage informatique, il est important de comprendre comment les pirates informatiques pensent. Les rôles conventionnels dans la sécurité du système ne peuvent pas en faire autant jusqu’à ce que l’esprit du pirate informatique soit introduit. De toute évidence, les méthodes de piratage sont uniques et difficiles à gérer pour les rôles de sécurité système conventionnels. Ceci plaide en faveur de l’embauche d’un pirate informatique respectueux de l’environnement qui pourrait accéder au système comme un pirate informatique malveillant pourrait, et en chemin, découvrir toutes les failles de sécurité.

Tests de Pénétration

Également appelé test de stylo, le test de pénétration permet d'identifier les vulnérabilités du système qu'un attaquant peut cibler. Il existe de nombreuses méthodes de test de pénétration. L'organisation peut utiliser différentes méthodes en fonction de ses besoins.

  • Les tests ciblés impliquent les personnes des organisations et le pirate informatique. Le personnel de l'organisation est au courant du piratage effectué.
  • Les tests externes pénètrent dans tous les systèmes exposés de manière externe, tels que les serveurs Web et DNS.
  • Les tests internes révèlent les vulnérabilités ouvertes aux utilisateurs internes disposant de privilèges d'accès.
  • Les tests aveugles simulent de véritables attaques de pirates informatiques.

Les testeurs reçoivent des informations limitées sur la cible, ce qui les oblige à effectuer une reconnaissance avant l'attaque. Le test de pénétration est le cas le plus solide pour l’embauche de pirates éthiques. (Pour en savoir plus, voir Tests d'intrusion et le délicat équilibre entre sécurité et risque.)

Identifier les vulnérabilités

Aucun système n'est complètement à l'abri des attaques. Néanmoins, les organisations doivent fournir une protection multidimensionnelle. Le paradigme du pirate informatique éthique ajoute une dimension importante. L’étude de cas d’une grande organisation du secteur manufacturier est un bon exemple. L'organisation connaissait ses limites en termes de sécurité du système, mais ne pouvait pas faire grand-chose par elle-même. Elle a donc engagé des hackers éthiques pour évaluer la sécurité de son système et fournir ses conclusions et recommandations. Le rapport comprenait les composants suivants: ports les plus vulnérables, tels que Microsoft RPC et l'administration à distance, recommandations d'amélioration de la sécurité du système, telles qu'un système de réponse aux incidents, déploiement complet d'un programme de gestion des vulnérabilités et amélioration de la précision des directives de renforcement.

Préparation aux attaques

Les attaques sont inévitables, quelle que soit la puissance du système. Finalement, un attaquant trouvera une vulnérabilité ou deux. Cet article a déjà indiqué que les cyberattaques, quelle que soit l'étendue d'un système, sont inévitables. Cela ne signifie pas pour autant que les entreprises doivent cesser de renforcer la sécurité de leur système, bien au contraire. Les cyberattaques évoluent et le seul moyen de prévenir ou de minimiser les dommages est une bonne préparation. Une façon de préparer les systèmes contre les attaques est de permettre aux pirates éthiques d’identifier les vulnérabilités au préalable.

Il existe de nombreux exemples et il est pertinent de discuter de l’exemple du Département américain de la sécurité intérieure (DHS). Le DHS utilise un système extrêmement volumineux et complexe qui stocke et traite d’énormes volumes de données confidentielles. La violation de données constitue une menace sérieuse et équivaut à menacer la sécurité nationale. Le DHS s'est rendu compte qu'il était un moyen intelligent d'augmenter le niveau de préparation en faisant entrer des pirates éthiques dans son système avant les pirates noirs. Ainsi, la loi Hack DHS a été adoptée, ce qui permettrait à certains pirates éthiques de pénétrer dans le système DHS. La loi exposait en détail le fonctionnement de l’initiative. Un groupe de hackers éthiques serait engagé pour pénétrer dans le système DHS et identifier les vulnérabilités, le cas échéant. Pour toute nouvelle vulnérabilité identifiée, les pirates éthiques seraient récompensés financièrement. Les pirates éthiques ne pourraient faire l’objet d’aucune poursuite en raison de leurs actes, bien qu’ils soient soumis à certaines contraintes et directives. La loi a également rendu obligatoire l'obligation pour tous les pirates éthiques participant au programme de passer par une vérification approfondie de leurs antécédents. À l'instar du DHS, des organisations réputées engagent depuis longtemps des pirates informatiques pour améliorer le niveau de préparation de leurs systèmes à la sécurité. (Pour plus d'informations sur la sécurité en général, voir Les 7 principes de base de la sécurité des TI.)

Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire

Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.

Conclusion

Le piratage éthique et la sécurité informatique conventionnelle doivent conjuguer leurs efforts pour protéger les systèmes de l'entreprise. Cependant, les entreprises doivent élaborer leur stratégie en matière de piratage éthique. Ils peuvent probablement se servir de la politique du DHS pour lutter contre le piratage éthique. Le rôle et la portée des pirates éthiques doivent être clairement définis; il est important que l'entreprise maintienne des contrôles afin que le pirate informatique ne dépasse pas la portée de la tâche ou ne cause aucun dommage au système. L'entreprise doit également donner aux pirates éthiques l'assurance qu'aucune action en justice ne sera entreprise en cas d'infraction au sens de leur contrat.