윤리적 해킹 계획의 목표 수립 방법 - 더미

테스트 계획에는 목표가 필요합니다. 윤리적 해킹의 주요 목표는 악의적 인 사람의 관점에서 시스템의 취약점을 찾아내어 환경을보다 안전하게 만들 수있게하는 것입니다. 그런 다음이 단계를 더 진행할 수 있습니다.

• 보다 구체적인 목표를 정의하십시오. 이러한 목표를 비즈니스 목표에 맞게 조정하십시오. 당신과이 과정에서 얻으려는 경영자는 무엇입니까? 테스트를 최대한 활용할 수 있도록 어떤 성능 기준을 사용합니까?

• 시작 날짜와 종료 날짜 및 테스트가 수행되는 시간과 함께 특정 일정을 만듭니다. 이 날짜와 시간은 전체 계획의 중요한 구성 요소입니다.

테스트를 시작하기 전에 서면으로 모든 것을 적극적으로 필요로하고 승인을받습니다. 이 프로세스에서 모든 것을 문서화하고 관리해야합니다. 테스트 활동에서 가장 좋은 동맹은 자신이하는 일을 지원하는 관리자입니다.

테스트가 비즈니스 및 IT 부서 및 보안 부서의 사명을 지원합니까?

• 윤리적 해킹을 수행하면 어떤 비즈니스 목표를 달성 할 수 있습니까?

• 이러한 목표에는 다음이 포함될 수 있습니다. 인증 계약 표준에 대한 진술 (SSAE) 16 감사

  • 고객 또는 비즈니스 파트너의 계약 요구 사항 충족

  • -

  • 건강 보험 이식성 및 책임 성법 (HIPAA) 회사 이미지 유지

  • 국제적으로 인정되는 ISO / IEC 27001 보안 표준 준비: 2013

  • 이 테스트는 보안, IT 및 비즈니스 전반을 어떻게 개선 할 것입니까?

• 어떤 정보를 보호합니까?

• 이는 개인 건강 정보, 지적 재산권, 기밀 정보 또는 직원의 개인 정보 일 수 있습니다. 당신과 당신의 조직은 보안 평가에 많은 돈과 시간, 노력을 기울이게됩니까?

• 구체적인 결과물은 무엇입니까?

• 산출물 에는 고위 간부 보고서부터 세부 기술 보고서 ​​및 테스트 결과에 대한 기사 작성까지 테스트 결과와 함께 포함될 수 있습니다. 암호 및 기타 기밀 정보와 같이 테스트 중에 수집되는 특정 정보를 제공 할 수 있습니다. 구체적인 결과는 무엇입니까?

• 보안 인력 고용이나 아웃소싱, 보안 예산 증대, 규정 준수 요구 사항 충족 또는 보안 시스템 강화에 대한 정당성이 필요한 결과입니다. 목표를 알고 나면 거기에 도달하기위한 단계를 문서화하십시오. 예를 들어, 기존 고객을 유지하고 새로운 고객을 유치하려는 경쟁 우위를 개발하는 것이 목표라면 다음 질문에 대한 대답을 결정하십시오.

테스트 시작시기는 언제입니까?

• 테스트 방식은 테스트중인 시스템에 대해 전혀 모르는

• 맹인, 또는 지식 기반 입니다. IP 주소, 호스트 이름, 심지어 사용자 이름과 암호와 같은 테스트중인 시스템? 테스트가 본질적으로 기술적 인 것인지, 물리적 보안 평가가 필요한지 아니면 사회 공학을 사용하는 것인가?

• 호랑이 팀

• 또는 레드 팀이라고도하는 대형 윤리적 해킹 팀에 속하게됩니까? 귀하는 귀하가하고있는 일과 그 일을 할 때 해당 당사자들에게 통보합니까? 그렇다면 어떻게? 고객 공지는 중요한 문제입니다. 많은 고객은 자신이 정보를 보호하기위한 조치를 취하고 있음을 잘 알고 있습니다. 긍정적 인 방법으로 테스트에 접근하십시오. 해커에게 어떤 정보가 취약한 지 알기 위해 자체 시스템에 침입하고 있습니다. "라고 말하지 마십시오. 대신 네트워크 환경의 전반적인 보안을 평가하여 가능한 한 정보가 안전하다고 말하십시오.

• 고객이 자신이하는 일에 관심이 있는지 여부를 어떻게 알 수 있습니까?

  고객이 조직이 정보 보안을 강화하기위한 조치를 취하고 있음을 고객에게 어떻게 알릴 것입니까?

• 이러한 노력이 효과를 발휘할 수있는 측정 방법은 무엇입니까?

• 목표 설정은 시간이 걸리지 만 후회하지 않습니다. 이러한 목표는 귀하의 로드맵입니다. 걱정되는 점이 있다면,이 목표를 참조하여 계속 궤도에 오르십시오.