차례:
- 윤리적 해킹 대 감사
- 귀사의 내부 정책에 따라 경영진이 보안 테스트를 보는 방법이 결정될 수 있지만 비즈니스에 영향을 미치는 주, 연방 및 국제 법률 및 규정을 고려해야합니다. 미국의 많은 연방법 및 규정들 - 건강 보험 이전 및 책임 성법 (HIPAA), 경제 및 임상 보건 건강 정보 기술 (HITECH) 법, GLBA (Gramm-Leach-Bliley Act) 북미 전력 신뢰도 협회 (NERC) CIP 요구 사항 및 PCI DSS (Payment Card Industry Data Security Standard) - 강력한 보안 제어 및 일관된 보안 평가가 필요합니다.
비디오: How to control the brain: Michael Okun and Kelly Foote at TEDxUF 2024
공식적이고 체계적인 침투 테스트, 흰 모자 해킹 및 취약성 테스트를 포함하는 윤리적 해킹은 범죄와 동일한 도구, 기술 및 기법을 포함합니다 해커가 사용하지만 한 가지 중요한 차이점이 있습니다. 윤리적 인 해킹은 전문적인 환경에서 대상의 허가하에 수행됩니다.
윤리적 해킹의 의도는 악의적 인 공격자의 관점에서 시스템을보다 안전하게 보호하기 위해 취약점을 발견하는 것입니다. 윤리적 해킹은 진행중인 보안 개선을 허용하는 전반적인 정보 위험 관리 프로그램의 일부입니다. 윤리적 인 해킹은 또한 업체의 제품 보안에 대한 주장이 합법적임을 보장 할 수 있습니다.
윤리적 해킹 대 감사
많은 사람들이 윤리적 해킹을 보안 감사와 혼동하지만, 큰 차이가 있습니다. 보안 감사에는 회사의 보안 정책을 실제로 발생한 상황과 비교하는 작업이 포함됩니다. 보안 감사의 목적은 일반적으로 위험 기반 접근 방식을 사용하여 보안 제어가 존재하는지 확인하는 것입니다. 감사는 종종 비즈니스 프로세스를 검토하는 것을 포함하며, 많은 경우에 기술적이지 않을 수 있습니다. 모든 감사가이 고급 수준은 아니지만 대다수는 매우 단순합니다.
조직에서 감사가 계속 수행되는 경우 윤리적 해킹 기술을 IT 감사 프로그램에 통합하는 것을 고려할 수 있습니다. 그들은 서로 정말 잘 보완합니다.또한 사용되는 특정 보안 테스트 도구와 시스템이 매년 테스트되는 특정 날짜에 대해 설명하는 보안 표준 문서를 만드는 것이 좋습니다. 외부 시스템의 경우 분기마다 한 번, 내부 시스템의 경우 반기 별 테스트와 같이 표준 테스트 날짜를 나열 할 수 있습니다.
규정 준수 및 규제 관련 사항귀사의 내부 정책에 따라 경영진이 보안 테스트를 보는 방법이 결정될 수 있지만 비즈니스에 영향을 미치는 주, 연방 및 국제 법률 및 규정을 고려해야합니다. 미국의 많은 연방법 및 규정들 - 건강 보험 이전 및 책임 성법 (HIPAA), 경제 및 임상 보건 건강 정보 기술 (HITECH) 법, GLBA (Gramm-Leach-Bliley Act) 북미 전력 신뢰도 협회 (NERC) CIP 요구 사항 및 PCI DSS (Payment Card Industry Data Security Standard) - 강력한 보안 제어 및 일관된 보안 평가가 필요합니다.
캐나다의 개인 정보 보호 및 전자 문서 법 (PIPEDA), 유럽 연합 데이터 보호 지침 및 일본의 개인 정보 보호법 (JPIPA)과 같은 관련 국제법도 마찬가지입니다. 이러한 규제 준수 요구 사항에 윤리적 해킹 테스트를 통합하면 주 및 연방 규정을 준수하고 전반적인 개인 정보 보호 및 보안 프로그램을 강화할 수 있습니다.
