차례:
비디오: Web Security: Active Defense, by Luciano Arango 2024
해커 헛소리에서 보호해야합니다. 당신은 당신의 시스템을 공격하려는 사람들만큼 정통해야합니다. 진정한 보안 평가 전문가는 해커의 기술, 사고 방식 및 도구를 보유하고 있지만 신뢰할 수도 있습니다. 그 또는 그녀는 해커가 어떻게 작동 할지를 기반으로 시스템에 대한 보안 테스트로서 해킹을 수행합니다.
윤리적 인 해킹 - 공식적이고 체계적인 침투 테스트, 흰 모자 해킹 및 취약성 테스트를 포함하는 - 해커가 사용하는 것과 동일한 도구, 트릭 및 기술을 포함하지만 한 가지 주요한 차이점이 있습니다. 윤리적 인 해킹은 대상의 허가하에 수행됩니다 전문적인 환경에서. 윤리적 해킹의 의도는 악의적 인 공격자의 관점에서 시스템을보다 안전하게 보호하기 위해 취약점을 발견하는 것입니다. 윤리적 해킹은 진행중인 보안 개선을 허용하는 전반적인 정보 위험 관리 프로그램의 일부입니다. 윤리적 인 해킹은 또한 업체의 제품 보안에 대한 주장이 합법적임을 보장 할 수 있습니다.
윤리적 해킹 대 감사
많은 사람들이 보안 감사와 윤리적 해킹 접근법을 통해 보안 테스트를 혼동하지만, 그 목적에는 큰 차이가 있습니다. 보안 감사에는 회사의 보안 정책 (또는 규정 준수 요구 사항)을 실제 발생한 상황과 비교하는 작업이 포함됩니다. 보안 감사의 목적은 일반적으로 위험 기반 접근 방식을 사용하여 보안 제어가 존재하는지 확인하는 것입니다. 감사는 종종 비즈니스 프로세스를 검토하는 것을 포함하며, 많은 경우에 기술적이지 않을 수 있습니다. 보안 감사는 일반적으로 체크리스트를 기반으로합니다.
윤리적 해킹을 비즈니스 정보 위험 관리 프로그램의 중요한 부분으로 선택하는 경우 문서화 된 보안 테스트 정책이 필요합니다. 이러한 정책은 누가 테스트를 수행하는지, 수행되는 일반적인 테스트 유형 및 테스트가 수행되는 빈도를 설명합니다.
또한 사용되는 특정 보안 테스트 도구와 테스트를 수행하는 특정 사용자를 설명하는 보안 표준 문서를 만드는 것이 좋습니다. 또한 외부 시스템의 경우 분기당 1 회, 내부 시스템의 경우 반기 테스트와 같은 표준 테스트 날짜를 나열 할 수 있습니다.
규정 준수 및 규제 관련 문제 귀사의 내부 정책에 따라 경영진이 보안 테스트를 보는 방법이 결정될 수 있지만 비즈니스에 영향을 미치는 주, 연방 및 국제 법률 및 규정을 고려해야합니다. 특히 디지털 밀레니엄 저작권법 (Digital Millennium Copyright Act, DMCA)은 합법적 인 연구자들의 등뼈 아래서 오한을 보내고 있습니다. 미국의 많은 연방법 및 규정에는 건강 보험 이전 및 책임 성법 (HIPAA), 경제 및 임상 보건 건강 정보 기술 (HITECH) 법, GLBA (Gramm-Leach-Bliley Act), NERC (Critical Infrastructure Protection) CIP (Critical Infrastructure Protection) 요구 사항 및 PCI DSS - 강력한 보안 제어 및 일관된 보안 평가가 필요합니다. 캐나다의 개인 정보 보호 및 전자 문서 법 (PIPEDA), 유럽 연합의 데이터 보호 지침 및 일본의 개인 정보 보호법 (JPIPA)과 같은 관련 국제법도 마찬가지입니다. 보안 테스트를 이러한 준수 요구 사항에 통합하면 주 및 연방 규정을 준수하고 전반적인 정보 보안 및 개인 정보 보호 프로그램을 강화할 수 있습니다.
