차례:
- 테스트 시간
- 일반적인
- 테스트중인 시스템에 대한 지식이 있으면 좋은 생각 일 수 있지만 필수는 아닙니다. 하지만 해킹하는 시스템에 대한 기본적인 이해는 당신과 다른 사람들을 보호 할 수 있습니다. 자신의 사내 시스템을 해킹하는 경우이 지식을 얻는 것이 어렵지 않습니다.
- 사무실에서 암호 해독 및 네트워크 인프라 평가와 같은 일부 테스트를 수행 할 수 있습니다. 네트워크 연결이 필요한 외부 해킹의 경우 외부 사이트로 이동하거나 외부 프록시 서버를 사용해야 할 수 있습니다. 일부 보안 업체의 취약성 검색 프로그램은 클라우드에서 실행되므로 제대로 작동합니다.
- 큰 구멍이 발견되면 즉시 문제를 해결할 수 있도록 가능한 빨리 담당자에게 문의하십시오. 적절한 사람들은 소프트웨어 개발자, 제품 또는 프로젝트 관리자 또는 CIO 일 수 있습니다. 며칠 또는 몇 주를 기다리면 누군가가 취약점을 악용하여 피해를 입을 수 있습니다.
- 테스트 할 때 컴퓨터, 네트워크 및 사람을 사용할 수 있습니다.
비디오: Dragnet: Helen Corday / Red Light Bandit / City Hall Bombing 2024
테스트 표준에서 오해 또는 슬립이 발생할 경우 시스템 충돌이 발생할 수 있습니다. 윤리적 인 해킹 테스트. 아무도 그렇게되기를 원하지 않습니다. 실수를 방지하기 위해 테스트 표준을 개발하고 문서화하십시오. 이 표준에는
-
테스트가 수행되는시기와 전체 일정이 포함되어야합니다.
-
수행되는 테스트
-
사전에 획득 한 시스템에 대한 지식
-
테스트 수행 방법 및 소스 IP 주소
-
주요 취약점 발견시 수행 할 작업
테스트 시간
윤리적 해킹 테스트를 수행 할 때 특히 그렇습니다. 수행하는 테스트가 비즈니스 프로세스, 정보 시스템 및 사람들의 업무 중단을 최소화하는지 확인하십시오. 테스트의 시간을 잘못 전달하고 심야에 트래픽이 많은 전자 상거래 사이트에 대한 DoS 공격을 유발하거나 심야에 암호 해독 테스트를 수행하는 등의 유해한 상황을 피하기를 원합니다.
->시간대가 다른 사람들도 문제를 일으킬 수 있습니다. 프로젝트에 참여하는 모든 사람들은 시작하기 전에 상세한 타임 라인에 동의해야합니다. 팀원들의 동의로 모든 사람을 같은 페이지에 올려 놓고 올바른 기대치를 설정합니다.
테스트 일정에는 각 테스트의 구체적인 단기간 날짜와 시간, 시작일과 종료일, 그 사이의 특정 이정표가 포함되어야합니다. 타임 라인을 개발하여 간단한 스프레드 시트 또는 Gantt 차트에 입력하거나 타임 라인을 초기 고객 제안 및 계약의 일부로 포함시킬 수 있습니다. 타임 라인은 대규모 프로젝트 계획의 작업 분류 체계 일 수도 있습니다.
일반적인
침투 테스트 를 수행 한 것으로 추측되었거나 비밀번호를 해독하거나 얻으려는 것과 같은 특정 테스트를 수행하고자 할 수 있습니다. 웹 응용 프로그램에 대한 액세스. 또는 소셜 엔지니어링 테스트를 수행하거나 네트워크에서 Windows를 평가할 수 있습니다. 테스트했지만 테스트의 세부 사항을 공개하고 싶지 않을 수 있습니다. 관리자 또는 고객이 테스트에 대한 자세한 기록이 필요하지 않은 경우에도 높은 수준에서 수행중인 작업을 문서화하십시오. 테스트를 문서화하면 잠재적 인 의사 소통을 없앨 수 있습니다.
수행하는 일반적인 테스트를 알 수 있지만 자동화 된 도구를 사용하는 경우 완벽하게 수행하는 모든 테스트를 이해하는 것은 불가능할 수 있습니다. 이는 사용중인 소프트웨어가 실행할 때마다 공급 업체로부터 실시간으로 취약성 업데이트 및 패치를받을 때 특히 그렇습니다.업데이트가 자주 발생할 수 있으므로 사용하는 도구와 함께 제공되는 설명서 및 파일을 읽어야하는 중요성이 강조됩니다.
맹인과 지식 평가
테스트중인 시스템에 대한 지식이 있으면 좋은 생각 일 수 있지만 필수는 아닙니다. 하지만 해킹하는 시스템에 대한 기본적인 이해는 당신과 다른 사람들을 보호 할 수 있습니다. 자신의 사내 시스템을 해킹하는 경우이 지식을 얻는 것이 어렵지 않습니다.
고객의 시스템을 해킹하는 경우 시스템 작동 방식을 조금 더 깊이 파고 들어야 할 수도 있습니다. 그렇다고해서 맹목적인 평가가 중요하지 않다는 것을 의미하지는 않습니다.
최선의 방법은 무제한의
공격을 계획하는 것이며, 모든 테스트가 가능하며 DoS 테스트를 포함 할 수도 있습니다. 테스트가 네트워크 관리자 및 관리되는 보안 서비스 공급자가 감지하지 못하도록 수행해야하는지 고려하십시오. 필수 사항은 아니지만, 특히 사회 공학 및 물리적 보안 테스트의 경우이 방법을 고려해야합니다. 위치
수행하는 테스트에 따라 실행해야하는 위치가 결정됩니다. 귀하의 목표는 악의적 인 해커 또는 직원이 액세스 할 수있는 위치에서 시스템을 테스트하는 것입니다. 네트워크 안팎에있는 누군가가 공격을 받을지 예측할 수 없으므로 모든 기반을 다룰 수 있습니다. 외부 테스트와 내부 테스트를 결합합니다.
사무실에서 암호 해독 및 네트워크 인프라 평가와 같은 일부 테스트를 수행 할 수 있습니다. 네트워크 연결이 필요한 외부 해킹의 경우 외부 사이트로 이동하거나 외부 프록시 서버를 사용해야 할 수 있습니다. 일부 보안 업체의 취약성 검색 프로그램은 클라우드에서 실행되므로 제대로 작동합니다.
더 나아가 사용 가능한 공용 IP 주소를 컴퓨터에 할당 할 수 있다면 방화벽 외부의 네트워크에 연결하기 만하면 시스템의 해커가 쉽게 볼 수 있습니다. 건물 및 네트워크에 대한 물리적 액세스 만 필요하기 때문에 내부 테스트가 쉽습니다. 방문자 및 유사 사용자를 위해 이미 DSL 회선 또는 케이블 모뎀을 사용할 수 있습니다.
발견 된 취약점에 대처하기
중요한 보안 구멍을 찾았을 때 중단하거나 계속할 것인지 미리 결정하십시오. 해킹을 영원히 계속하지 않거나 모든 시스템을 중단해야합니다. 더 이상 해킹을 시도 할 수 없을 때까지 그냥 길을 따라 가세요. 의심 스러울 때 가장 좋은 방법은 특정 목표를 명심하고 그 목표가 달성되었을 때 중단하는 것입니다.
큰 구멍이 발견되면 즉시 문제를 해결할 수 있도록 가능한 빨리 담당자에게 문의하십시오. 적절한 사람들은 소프트웨어 개발자, 제품 또는 프로젝트 관리자 또는 CIO 일 수 있습니다. 며칠 또는 몇 주를 기다리면 누군가가 취약점을 악용하여 피해를 입을 수 있습니다.
어리석은 가정
당신이 물건을 취할 때 자신이 무엇을 만들 었는지에 대해 들어 봤습니다. 그렇더라도 시스템을 해킹 할 때 가정을합니다.다음은 이러한 가정의 예입니다.
테스트 할 때 컴퓨터, 네트워크 및 사람을 사용할 수 있습니다.
모든 적절한 테스트 도구가 있습니다.
-
사용하는 테스트 도구는 테스트하는 시스템의 충돌 가능성을 최소화합니다.
-
기존의 취약점이 발견되지 않았거나 테스트 도구를 부적절하게 사용했을 가능성을 이해했습니다.
-
테스트의 위험을 안다.
-
모든 가정을 문서화하고 전체 승인 프로세스의 일부로 관리 또는 고객에게 사인하도록합니다.
