目次:
- これは、倫理的ハッキングテストを実行する場合に特に当てはまります。実行するテストがビジネスプロセス、情報システム、および人への混乱を最小限に抑えることを確認してください。あなたは、テストのタイミングを誤って伝えたり、真夜中に高トラフィックの電子商取引サイトに対するDoS攻撃を引き起こしたり、夜中にパスワードクラッキングテストを実行するなどの有害な状況を避けたいとします。
- 侵入テスト
- クライアントのシステムをハックすると、システムがどのように動作しているかを少し深く掘り下げて調べる必要があります。これは、盲目の評価が価値がないわけではありませんが、実行する評価のタイプは、あなたの特定のニーズに依存します。
- パスワードクラッキングやネットワークインフラストラクチャアセスメントなどのテストをオフィスから実行できます。ネットワーク接続が必要な外部ハッキングの場合は、オフサイトに移動するか、外部プロキシサーバーを使用する必要があります。一部のセキュリティベンダーの脆弱性スキャナはクラウドから実行されるため、これも同様に機能します。
- 大穴が見つかった場合は、できるだけ早く適切な人に連絡し、すぐに問題を解決できるようにします。適切な人材は、ソフトウェア開発者、製品またはプロジェクト管理者、さらにはCIOかもしれません。数日または数週間待つと、誰かがこの脆弱性を悪用して被害を被る可能性があります。
- テスト中は、コンピュータ、ネットワーク、および人々が利用可能です。
ビデオ: Our Miss Brooks: Mash Notes to Harriet / New Girl in Town / Dinner Party / English Dept. / Problem 2024
テスト標準のミスコミュニケーションまたはスリップアップは、あなたの倫理的なハッキングテスト。誰もそれが起こることを望んでいない。不具合を防ぐために、テスト標準を開発し、文書化する。これらの基準には、
-
テストが実施される時期と全体のタイムライン
-
実行されるテスト
-
事前に取得するシステムの知識
<! - テストの実行方法とソースIPアドレス -
メジャーな脆弱性が発見されたときに行うこと
-
テスト時間
これは、倫理的ハッキングテストを実行する場合に特に当てはまります。実行するテストがビジネスプロセス、情報システム、および人への混乱を最小限に抑えることを確認してください。あなたは、テストのタイミングを誤って伝えたり、真夜中に高トラフィックの電子商取引サイトに対するDoS攻撃を引き起こしたり、夜中にパスワードクラッキングテストを実行するなどの有害な状況を避けたいとします。
<! - 2 - >
異なるタイムゾーンにいる人でも問題が発生する可能性があります。プロジェクトに参加するすべての人は、開始する前に詳細なタイムラインに同意する必要があります。チームメンバーの同意を得て、全員を同じページに置き、正しい期待を設定します。テストのタイムラインには、各テストの具体的な短期的な日時、開始日と終了日、その間の特定のマイルストーンが含まれている必要があります。タイムラインを開発して簡単なスプレッドシートまたはガントチャートに入力するか、最初のクライアント提案と契約の一部としてタイムラインを含めることができます。あなたのタイムラインは、より大きなプロジェクト計画の中の作業内訳構造であってもよい。
<!特定のテストを実行する
一般的な侵入テスト
を実行した場合や、パスワードを解読するなどの特定のテストを実行したい場合やWebアプリケーションへのアクセス。または、ソーシャルエンジニアリングテストを実行しているか、ネットワーク上のWindowsを評価している可能性があります。 あなたがテストしても、テストの詳細を明らかにしたくないかもしれません。あなたのマネージャーまたはクライアントがテストの詳細な記録を必要としない場合でも、あなたが何を高レベルで行っているのかを文書化してください。テストを文書化することで、誤った通信を排除できます。 あなたが行った一般的なテストを知っているかもしれませんが、自動化されたツールを使用すると、完全に行うすべてのテストを理解することができない場合があります。これは、使用しているソフトウェアが毎回ベンダーからリアルタイムの脆弱性のアップデートとパッチを受け取った場合に特に当てはまります。頻繁な更新の可能性は、使用するツールに付属のドキュメントとファイルを読むことの重要性を強調しています。
ブラインドと知識の評価
あなたがテストしているシステムについての知識があることは良いアイデアかもしれませんが、必須ではありません。しかし、あなたがハッキングするシステムの基本的な理解は、あなたと他の人を守ることができます。あなた自身の社内システムをハッキングしているなら、この知識を得ることは難しいことではありません。
クライアントのシステムをハックすると、システムがどのように動作しているかを少し深く掘り下げて調べる必要があります。これは、盲目の評価が価値がないわけではありませんが、実行する評価のタイプは、あなたの特定のニーズに依存します。
最善のアプローチは、あらゆるテストが可能であり、おそらくDoSテストを含む
無制限の
攻撃を計画することです。 テストがネットワーク管理者および管理されたセキュリティサービスプロバイダによって検出されないように実行する必要があるかどうかを検討します。必須ではありませんが、特にソーシャルエンジニアリングと物理的なセキュリティテストでは、この習慣を考慮する必要があります。 場所
実行するテストによって、どこから実行する必要があるかが決まります。あなたの目標は、悪質なハッカーや従業員がアクセスできる場所からシステムをテストすることです。ネットワーク内外の誰かが攻撃を受けるかどうかは予測できませんので、すべての拠点をカバーしてください。外部テストと内部テストを組み合わせる。
パスワードクラッキングやネットワークインフラストラクチャアセスメントなどのテストをオフィスから実行できます。ネットワーク接続が必要な外部ハッキングの場合は、オフサイトに移動するか、外部プロキシサーバーを使用する必要があります。一部のセキュリティベンダーの脆弱性スキャナはクラウドから実行されるため、これも同様に機能します。
さらに、使用可能なパブリックIPアドレスをコンピュータに割り当てることができれば、ファイアウォールの外側にあるネットワークに接続して、システムのハッカーの目を確認するだけです。建物やネットワークへの物理的アクセスのみが必要なため、内部テストは簡単です。ビジターや同様のユーザーのために、すでにDSL回線またはケーブルモデムを使用することができます。
あなたが見つけた脆弱性に対応する
重大なセキュリティホールを見つけたときに停止するか続行するかを事前に判断します。すべてのシステムがクラッシュするまで、ハッキングを永遠に保つ必要はありません。もうちょうどそれをハックすることができなくなるまで、あなたがいる経路をたどってください。疑わしいときは、具体的な目標を念頭に置き、その目標が達成された時点で停止するのが最善の方法です。
大穴が見つかった場合は、できるだけ早く適切な人に連絡し、すぐに問題を解決できるようにします。適切な人材は、ソフトウェア開発者、製品またはプロジェクト管理者、さらにはCIOかもしれません。数日または数週間待つと、誰かがこの脆弱性を悪用して被害を被る可能性があります。
ばかげた前提
あなたが物事を引き受けるときに、あなたが自分で作るものについて聞いたことがあります。それでも、システムをハックすると仮定します。これらの前提のいくつかの例を示します。
テスト中は、コンピュータ、ネットワーク、および人々が利用可能です。
あなたはすべての適切なテストツールを持っています。
-
使用するテストツールは、テストするシステムがクラッシュする可能性を最小限に抑えます。
-
既存の脆弱性が見つからなかったり、テストツールを不適切に使用した可能性があることを理解しています。
-
あなたはあなたのテストのリスクを知っています。
-
すべての前提条件を文書化し、管理者またはお客様のクライアントが全体的な承認プロセスの一環としてサインオフするようにします。
