あなたのテスト計画は目標が必要です。倫理的なハッキングの主な目的は、悪意のある人の観点からシステムの脆弱性を見つけ、環境をより安全にすることです。次に、これをさらに進めることができます。
-
より具体的な目標を定義します。 これらの目標をビジネス目標に合わせる。あなたとこのプロセスから得ようとしている経営陣は何ですか?テストを最大限に活用するためにどのようなパフォーマンス基準を使用しますか?
<! - 1 - > -
開始日と終了日、およびテストが行われる時間を指定して、特定のスケジュールを作成します。 これらの日時は、全体計画の重要な要素です。
テストを始める前に、書面ですべてのことを確実に積極的に行う必要があります。このプロセスではすべてを文書化し、管理します。あなたの最善の同盟者は、あなたが行っていることをサポートするマネージャーです。
<!あなたの倫理的なハッキング計画の目標を定義するときに、以下の質問がボールの転がりを開始することができます:あなたのテストは、ビジネスとそのIT部門とセキュリティ部門のミッションをサポートしていますか?
-
倫理的なハッキングを実行することによって達成されるビジネス目標は何ですか?
-
これらの目標には、以下のものが含まれます。 認証契約の基準に関する声明を通じた作業(SSAE)16監査
-
<! HIPAAおよびPCI DSS(Payment Card Industry Data Security Standard)
顧客またはビジネスパートナーの契約要件を満たす -
会社のイメージを維持する
-
国際的に受け入れられているISO / IEC 27001のセキュリティ基準の準備:2013
-
このテストはどのようにしてセキュリティ、IT、およびビジネス全体を改善しますか?
-
あなたはどんな情報を保護していますか?
-
-
これは、個人の健康情報、知的財産、機密情報、または従業員の個人情報です。
-
あなたとあなたの組織は、セキュリティアセスメントに費やすのにどれくらいの時間と労力を費やしていますか? 具体的な成果物にはどのようなものがありますか?
-
成果物
-
には、ハイレベルのエグゼクティブレポートから詳細なテクニカルレポート、テストの結果、テストの結果などが含まれます。パスワードやその他の機密情報など、テスト中に収集される特定の情報を提供することができます。 あなたはどんな具体的な成果を望んでいますか? 望ましい結果には、セキュリティ担当者の雇用またはアウトソーシング、セキュリティ予算の増加、コンプライアンス要件の満たし、またはセキュリティシステムの強化の正当性が含まれます。
-
あなたの目標を知ったら、そこに行くための手順を文書化してください。たとえば、既存の顧客を維持して新しい顧客を獲得するという競争上の優位性を開発することが1つの目標である場合、次の質問に対する回答を決定します。 テストはいつ開始するのですか?
あなたのテストアプローチは、あなたがテストしているシステムについて何も知らない
-
ブラインドであるか、
-
知識ベースであるか ますか? IPアドレス、ホスト名、ユーザー名やパスワードなど、テストしているシステム? あなたのテストは本質的に技術的なものか、物理的なセキュリティの評価か、社会的なエンジニアリングなのか? 虎チーム または
-
赤チームと呼ばれることもある、より大きな倫理的ハッキングチームに参加しますか?
-
あなたはあなたがやっていることとそれをやっているときに被災者に通知しますか?もしそうなら、どうですか? 顧客からの通知は重大な問題です。多くのお客様は、お客様が情報を保護するための措置を講じることに感謝しています。テストに積極的にアプローチする。 「われわれ自身のシステムに侵入して、どのような情報がハッカーにとって脆弱であるかを確認している」とは言わないでください。代わりに、情報ができるだけ安全になるように、ネットワーク環境の全体的なセキュリティを評価しているとします。 お客様は、お客様が自分が行っていることを気にするかどうかをどのように知ることができますか? 組織が情報のセキュリティを強化するための対策を講じていることを顧客にどのように通知しますか?
-
これらの取り組みがどのような結果を出しているかを確認するにはどうすればよいですか?
あなたの目標を設定するには時間がかかりますが、後悔しません。これらの目標はあなたのロードマップです。懸念がある場合は、これらの目標を参考にしてトラックを維持するようにしてください。
