Изучение этического взлома может стать катастрофой, если вы пренебрегаете этими 7 правилами
Нападение на собственные системы самообороны для проверки уязвимостей считалось главной военной стратегией еще 1500 лет назад.
Атака на собственные системы для проверки устойчивости к атакам, возможно, помогла многим нашим предкам выиграть войны, укрепив их слабые места. Тенденция продолжается и по сей день во имя «этического взлома», когда уязвимости в киберсистемах вынюхиваются, а системы укрепляются против атак.
Новый вид битвы ведется на нас в этот день, не на поле боя, а в цифровом мире. Киберпреступность-самая быстрорастущая область преступности, и никто не находится в безопасности. Интернет принес много анонимности своим пользователям, и хакеры и киберпреступники используют эту анонимность для совершения преступлений. Этический взлом был создан из-за необходимости активно противостоять киберугрозам и улучшать защиту для защиты интересов уязвимых сторон.
Этический взлом сегодня это большой бизнес. Google, Facebook («Организация, запрещенная на территории Российской Федерации»), Twitter и другие крупные компании тратят миллионы на «взлом белой шляпы», чтобы вынюхивать уязвимости в своих системах. Программы Bug bounty, где хакеры будут получать компенсацию за сообщения об уязвимостях, станут нормой в будущем. Организации доверяют людям, которые были сертифицированы как этические хакеры, поскольку они знают кодекс поведения, которому следует следовать во время курсов по этическому хакерству. Но даже самый искренний этический хакер может споткнуться и попасть в ситуации, которые могут нанести вред хакеру или организации. Даже сертифицированные этические хакеры должны понимать некоторые правила, прежде чем практиковать взлом белой шляпы.
• Вы хакер в белой шляпе, но вам все равно нужно разрешение, прежде чем взламывать систему пользователя:
взлом белой шляпы может быть этичным, но взлом системы пользователя без явного разрешения от них приведет к неприятностям. На самом деле взлом, даже в этических целях без явного разрешения владельцев, является уголовным преступлением в большинстве стран.
• Понять бизнес и организационную структуру вашего клиента: прежде чем начать заниматься этическим взломом, важно понять бизнес и систему вашей клиентской организации. Это даст вам представление о чувствительности их сети и о том, как вам нужно обрабатывать любую конфиденциальную информацию, с которой вы можете столкнуться.
• Не превышайте лимиты, налагаемые клиентом: даже если ваш клиент предоставил вам полный доступ к своей сети, все равно может быть предел тому, сколько вы можете копать. Не копайте глубже, чем вам сказали, так как вы можете нарушить доверие клиентов.
• Убедитесь, что вы выполняете свою работу правильно, чтобы не поставить под угрозу защитные системы клиента: ваша задача-вынюхивать дыры и следить за тем, чтобы эти дыры были исправлены для укрепления системы ИТ-безопасности. Предоставьте подробный отчет о своих выводах и убедитесь, что вы не переступаете никаких ограничений или не нарушаете никаких законов или правил. Планируйте, прежде чем выполнять тесты этического взлома, поскольку время и терпение имеют первостепенное значение для чувствительных результатов.
• Будьте прозрачны со своими клиентами: открытое общение с вашим клиентом поможет не только вашему клиенту, но и вам, повысив вашу надежность. Вы должны раскрыть все открытия, которые вы сделали, своему клиенту, чтобы он мог принять необходимые меры предосторожности для защиты своих систем. Ваш клиент должен быть в курсе того, что происходит в любое время.
