Maybaygiare.org

Blog Network

Ethical Hacking

co to jest ethical hacking

etyczny haker („white Hat hacker”) jest profesjonalistą ds. bezpieczeństwa informacji, który ma te same umiejętności i używa tych samych technologii co złośliwy haker („black hat hacker”), aby odkryć luki i słabości w systemach organizacji.

haker black hat działa bez zgody ofiar, w celu uzyskania korzyści finansowych, wyrządzenia szkód lub zdobycia sławy. White hat hacker lub ethical hacker jest zapraszany przez organizacje, aby pomóc im włamać się, że tak powiem, zidentyfikować luki w zabezpieczeniach przed hakerami black hat i naprawić je.

ewolucja white hat hacking

pierwsze próby włamania się do systemów komputerowych miały miejsce w latach 60. XX wieku. w latach 70. rządy i firmy utworzyły „tiger teams”, których zadaniem było odkrycie luk w systemach telekomunikacyjnych i komputerowych – pierwszych etycznych hakerów.

w latach 80.i 90., gdy komputery osobiste stały się powszechne, hakerstwo stało się zjawiskiem globalnym. Stopniowo rozróżniano hakerów” black hat „i” white hat”. W 1995 roku John Patrick z IBM ukuł termin „ethical hacking”, a w następnych latach, ethical hacking pojawił się jako legalny zawód.

Certyfikacja Certified ethical hacker (CRH)

Certyfikacja ma kluczowe znaczenie w etycznym zawodzie hakera, ponieważ istnieje cienka granica między hakowaniem systemu legalnie—w celu poprawy bezpieczeństwa cybernetycznego, a hakowaniem go nielegalnie. Organizacje zatrudniające etycznych hakerów muszą mieć pewność, że są wykwalifikowani technicznie i wykorzystują swoje umiejętności, aby poprawić bezpieczeństwo i nie wprowadzać ryzyka ani nie powodować szkód.

Electronic Commerce Council (EC-Council), organizacja non-profit z siedzibą w Nowym Meksyku, zdefiniowała standardowy certyfikat dla field – Certified Ethical Hacker (CEH). Certyfikat CEH lub certyfikat ethical hacking pozwala specjalistom ds. bezpieczeństwa informacji stać się legalnymi, uznanymi etycznymi hakerami.

certyfikat CEH jest bardzo wymagający – obejmuje szeroki zakres koncepcji bezpieczeństwa, narzędzi i wektorów ataków, które uczniowie muszą dogłębnie zrozumieć. Jest akredytowany przez Departament Obrony USA (który uczynił certyfikację CEH obowiązkową dla dostawców usług w ramach programu us Cyber Defenders), Narodową Agencję Bezpieczeństwa (NSA) i inne organizacje bezpieczeństwa.

proces certyfikacji

kandydaci muszą zdać egzamin CEH, aby stać się certyfikowanymi hakerami. Pomoc w przygotowaniu się do egzaminu:

  1. EC-Council oferuje Program szkoleniowy CEH, z 20 modułami szkoleniowymi obejmującymi 340 technologii ataku i 2200 powszechnie używanych narzędzi hakerskich. Istnieją trzy akredytowane Centra szkoleniowe (ATC): EC-Council, Pearson VUE Testing Center i Affinity IT Security.
  2. strona internetowa Rady WE oferuje Podręcznik CEH i plan egzaminu CEH z pytaniami praktycznymi.
  3. wiele organizacji, w tym Instytut Infosec, oferuje Kursy przygotowujące do egzaminu CEH.
  4. kandydaci są zachęcani do wzięcia udziału w testach praktycznych, za pośrednictwem oceny CEH Online Rady WE lub usługi testowania praktycznego Instytutu InfoSec, SkillSet.

aby zakwalifikować się do egzaminu, kandydaci muszą ukończyć program szkoleniowy Rady WE i wykazać się doświadczeniem w co najmniej 3 z 5 dziedzin bezpieczeństwa objętych egzaminem. W przeciwnym razie kandydaci muszą wykazać się dwuletnim doświadczeniem w zakresie bezpieczeństwa informacji, wśród innych kryteriów kwalifikowalności.

egzamin CEH ma 125 pytań wielokrotnego wyboru z 4-godzinnym limitem czasowym. Egzamin jest przeprowadzany za pomocą komputera w akredytowanym Centrum Szkoleniowym EC-Council. Członkowie muszą być recertyfikowani co trzy lata, aby utrzymać status CEH.

próbka certyfikatu CEH

Próbka certyfikatu CEH

zobacz, jak Zapora aplikacji internetowej Imperva może pomóc w zabezpieczeniu witryny.

White hat hacking and web application security

bezpieczeństwo aplikacji internetowych jest dziś głównym celem w cyberbezpieczeństwie. Aplikacje internetowe są atrakcyjnym celem dla atakujących i są szczególnie podatne na ataki, ponieważ mają złożoną wielopoziomową architekturę, mają tendencję do przechowywania poufnych danych prywatnych i są łatwo dostępne spoza organizacji.

certyfikowani hakerzy, dzięki wszechstronnemu zrozumieniu nowoczesnych systemów oprogramowania, wektorów zagrożeń i technologii ataków, mogą być ważnym zasobem bezpieczeństwa. Mogą one pomóc organizacjom zrozumieć poziom bezpieczeństwa ich aplikacji internetowych, powagę różnych zagrożeń i sposoby inwestowania, aby skutecznie poprawić ich zabezpieczenia.

testy penetracyjne zyskują na znaczeniu jako proaktywny środek stosowany przeciwko zagrożeniom cybernetycznym, szczególnie w krytycznych aplikacjach internetowych. Test penetracyjny jest symulowanym cyberatakiem przeciwko systemowi komputerowemu, którego celem jest wykrycie luk w zabezpieczeniach i zasugerowanie ulepszeń bezpieczeństwa. Testy penetracyjne mogą być wykonywane przez specjalistów ds. bezpieczeństwa informacji lub przez testerów lub pracowników IT w organizacji, nawet jeśli nie posiadają certyfikatu CEH.

jednak przeprowadzenie testów penetracyjnych z certyfikowanym etycznym hakerem ma istotne zalety. CEH może mieć szerszy obraz systemów organizacji i zagrożeń, przed którymi stoi, zaprojektować bardziej kompleksowe testy i wykorzystać szkolenia CEH, aby zapewnić bardziej szczegółowe raportowanie wykrytych luk i implikacji bezpieczeństwa.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.