Как создать цели для этического плана взлома - манекены

Для вашего плана тестирования нужны цели. Основная цель этического взлома - найти уязвимости в ваших системах с точки зрения плохих парней, чтобы вы могли сделать вашу среду более безопасной. Затем вы можете сделать следующий шаг:

• Определить более конкретные цели. Согласуйте эти цели с бизнес-целями. Что вы и руководство пытаетесь получить от этого процесса? Какие критерии эффективности вы используете для обеспечения максимальной эффективности тестирования?

• Создайте определенное расписание с датами начала и окончания, а также время, в течение которого ваше тестирование должно состояться. Эти даты и время являются критическими компонентами вашего общего плана.

Прежде чем приступать к тестированию, вы абсолютно, абсолютно нуждаетесь в письме и одобрении. Документируйте все и включите управление в этот процесс. Ваш лучший союзник в ваших усилиях по тестированию - это менеджер, который поддерживает то, что вы делаете.

Следующие вопросы могут начать кастинг мяча, когда вы определяете цели для вашего плана этического взлома:

• Поддерживает ли ваше тестирование миссию бизнеса и его отделы ИТ и безопасности?

• Какие бизнес-цели выполняются путем выполнения этического взлома? Эти цели могут включать следующее:

  • Работа через отчет о стандартах для аттестации (SSAE) 16 аудитов

  • Соответствие федеральным нормам, таким как Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Стандарт безопасности данных в индустрии платежных карт (PCI DSS)

  • Соответствие контрактным требованиям клиентов или деловых партнеров

  • Поддержание образа компании

  • Подготовка к международно принятому стандарту безопасности ISO / IEC 27001: 2013

• Как это тестирование улучшит безопасность, ИТ и бизнес в целом?

• Какую информацию вы защищаете? Это может быть личная информация о здоровье, интеллектуальная собственность, конфиденциальная информация о клиенте или личная информация сотрудников.

• Сколько денег, времени и усилий вы и ваша организация готовы потратить на оценки безопасности?

• Какие конкретные результаты будут? Конечные результаты могут включать в себя все, что от высокоуровневых исполнительных отчетов, до подробных технических отчетов и отчетов о том, что вы тестировали, а также результаты ваших тестов. Вы можете доставлять определенную информацию, полученную во время тестирования, например пароли и другую конфиденциальную информацию.

• Какие конкретные результаты вы хотите? Желаемые результаты включают обоснование найма или аутсорсинга персонала службы безопасности, увеличение бюджета безопасности, соответствие требованиям соблюдения или повышение безопасности систем.

После того, как вы знаете свои цели, задокументируйте шаги, чтобы добраться туда. Например, если одной из целей является создание конкурентного преимущества для сохранения существующих клиентов и привлечения новых, определите ответы на эти вопросы:

• Когда вы начнете тестирование?

• Будет ли ваш подход к тестированию слепым, , в котором вы ничего не знаете о тестируемых системах или основанных на знаниях, , в которых вам предоставляется конкретная информация о систем, которые вы тестируете, таких как IP-адреса, имена хостов и даже имена пользователей и пароли?

• Будет ли ваше тестирование носить технический характер, включать оценки физической безопасности или даже использовать социальную инженерию?

• Будете ли вы частью более крупной команды по этике, иногда называемой командой тигров или красной команды?

• Вы будете уведомлять пострадавшие стороны о том, что вы делаете, и когда вы это делаете? Если да, то как?

  Уведомление клиентов является критическим вопросом. Многие клиенты ценят, что вы предпринимаете шаги для защиты своей информации. Подходите к тестированию положительным образом. Не говорите: «Мы входим в наши собственные системы, чтобы узнать, какая информация уязвима для хакеров», даже если это то, что вы делаете. Вместо этого скажите, что вы оцениваете общую безопасность своей сетевой среды, чтобы информация была максимально безопасной.

• Как вы узнаете, заботятся ли клиенты о том, что вы делаете?

• Как вы будете уведомлять клиентов о том, что организация предпринимает шаги для повышения безопасности своей информации?

• Какие измерения могут гарантировать, что эти усилия окупятся?

Установление ваших целей требует времени, но вы не пожалеете об этом. Эти цели - ваша дорожная карта. Если у вас есть какие-либо проблемы, обратитесь к этим целям, чтобы убедиться, что вы остаетесь на пути.