Maybaygiare.org

Blog Network

Ethical Hacking

What is ethical hacking

eettinen hakkeri (”white hat hacker”) on tietoturva-ammattilainen, jolla on samat taidot ja joka käyttää samoja teknologioita kuin haitallinen hakkeri (”black hat hacker”) löytääkseen haavoittuvuuksia ja heikkouksia organisaation järjestelmissä.

mustahattuinen hakkeri toimii ilman uhrien suostumusta tavoitteenaan taloudellinen hyöty, vahingon aiheuttaminen tai maineen saaminen. White hat hakkeri tai eettinen hakkeri kutsutaan järjestöjen auttaa heitä hakata itse, niin sanotusti tunnistaa tietoturva-aukkoja ennen black hat hakkerit tekevät, ja korjata ne.

valkohattuhakkeroinnin kehitys

ensimmäiset yritykset murtautua tietokonejärjestelmiin tehtiin 1960 – luvulla. 1970-luvulla hallitukset ja yritykset perustivat ”tiikeritiimejä”, joiden tehtävänä oli löytää tietoliikenne-ja tietojenkäsittelyjärjestelmien haavoittuvuuksia-ensimmäiset eettiset hakkerit.

1980-ja 1990-luvuilla henkilökohtaisten tietokoneiden yleistyessä hakkeroinnista tuli maailmanlaajuinen ilmiö. Vähitellen syntyi ero ”black hat” – ja ”white hat” – hakkereiden välillä. Vuonna 1995 IBM: n John Patrick keksi termin ”eettinen hakkerointi”, ja seuraavina vuosina eettinen hakkerointi nousi lailliseksi ammatiksi.

Certified ethical hacker (CRH) sertifiointi

sertifiointi on ratkaisevan tärkeää eettisen hakkerin ammatissa, koska on olemassa hieno raja hakkerointi järjestelmän laillisesti—parantaa kyberturvallisuutta, ja hakkerointi laittomasti. Eettisiä hakkereita työllistävien organisaatioiden on oltava varmoja, että ne ovat teknisesti taitavia ja käyttävät taitojaan turvallisuuden parantamiseen eivätkä aiheuta riskiä tai aiheuta vahinkoa.

New Mexicossa toimiva voittoa tavoittelematon järjestö Electronic Commerce Council (EC-Council) määritteli field-Certified Ethical Hackerille (CEH) standardisertifikaatin. CEH sertifiointi tai eettinen hakkerointi sertifiointi mahdollistaa tietoturvan ammattilaisia tulla laillinen, tunnustettu eettinen hakkerit.

CEH – sertifiointi on erittäin vaativa-se kattaa laajan valikoiman turvallisuuskäsitteitä, työkaluja ja hyökkäysvektoreita, jotka opiskelijoiden on ymmärrettävä perusteellisesti. Sen on akkreditoinut Yhdysvaltain puolustusministeriö (joka teki CEH-sertifioinnin pakolliseksi palveluntarjoajille Yhdysvaltain Cyber Defenders-ohjelmassa), kansallinen turvallisuusvirasto (NSA) ja muut turvallisuusorganisaatiot.

sertifiointiprosessin

ehdokkaiden on läpäistävä CEH-tentti tullakseen sertifioiduiksi hakkereiksi. Auttaa valmistautumaan tenttiin:

  1. EY-neuvosto tarjoaa CEH: n koulutusohjelman, jossa on 20 koulutusmoduulia, jotka kattavat 340 hyökkäysteknologiaa ja 2 200 yleisesti käytettyä hakkerointityökalua. On olemassa kolme Accredited Training Centers (ATC): EC-Council, Pearson VUE Testing Center, ja Affinity IT Security.
  2. EY-neuvoston verkkosivuilla on CEH: n käsikirja ja CEH: n Tenttisuunnitelma, jossa on käytännön kysymyksiä.
  3. monet organisaatiot, mukaan lukien Infosec-instituutti, tarjoavat CEH-tenttivalmennuskursseja.
  4. hakijoita kannustetaan harjoittelukokeisiin EC-Councilin Online CEH-arvioinnin tai InfoSec-instituutin käytännön testipalvelun, SkillSet, kautta.

päästäkseen tenttiin hakijan on joko suoritettava EY-Neuvoston koulutusohjelma ja osoitettava kokemusta vähintään kolmesta tentissä käsitellystä viidestä turvallisuusalasta. Muussa tapauksessa hakijoiden on osoitettava kahden vuoden kokemus tietoturvasta muiden kelpoisuusehtojen ohella.

CEH-kokeessa on 125 monivalintakysymystä, joissa on 4 tunnin aikaraja. Tentti annetaan tietokoneen kautta EY-Neuvoston akkreditoitu koulutuskeskus. Jäsenet on uudelleensertifioitava joka kolmas vuosi CEH: n aseman säilyttämiseksi.

Sample of a CEH Certificate

Sample of a CEH Certificate

Katso, miten Imperva-verkkosovelluksen palomuuri voi auttaa verkkosivuston tietoturvassa.

Valkohattuhakkerointi ja verkkosovellusten tietoturva

verkkosovellusten tietoturva on tänä päivänä kyberturvallisuuden keskiössä. Verkkosovellukset ovat houkutteleva kohde hyökkääjille ja erityisen haavoittuvia, koska niillä on monimutkainen monitasoinen arkkitehtuuri, niillä on taipumus tallentaa arkaluonteisia yksityisiä tietoja ja niihin on helppo päästä käsiksi organisaation ulkopuolelta.

sertifioidut hakkerit, joilla on kattava käsitys moderneista ohjelmistojärjestelmistä, uhkavektoreista ja hyökkäysteknologioista, voivat olla tärkeä tietoturvavaltti. Ne voivat auttaa organisaatioita ymmärtämään verkkosovellustensa tietoturva-asennon, erilaisten uhkien vakavuuden ja sen, mihin kannattaa investoida puolustuskyvyn parantamiseksi.

Levinneisyystestauksen merkitys kasvaa kyberuhkien torjunnan ennakoivana toimenpiteenä, erityisesti tehtäväkriittisissä verkkosovelluksissa. Tunkeutumistesti on simuloitu kyberhyökkäys tietokonejärjestelmää vastaan, jonka tarkoituksena on paljastaa haavoittuvuuksia ja ehdottaa tietoturvaparannuksia. Penetration testit voidaan suorittaa tietoturva ammattilaiset, tai testaajat tai IT-henkilöstön organisaation sisällä, vaikka heillä ei ole CEH sertifiointi.

penetraatiotestien suorittamisessa sertifioidulla eettisellä hakkerilla on kuitenkin merkittäviä etuja. CEH voi tarkastella laajemmin organisaation järjestelmiä ja uhkia, suunnitella kattavampia testejä ja hyödyntää CEH-koulutusta, jotta löydetyistä haavoittuvuuksista ja turvallisuusvaikutuksista voidaan raportoida yksityiskohtaisemmin.

Vastaa

Sähköpostiosoitettasi ei julkaista.