Stap 1: Opstellen van uw Plan
Goedkeuring voor ethische hacking is essentieel. Maken wat je aan het doen bent bekend en zichtbaar — ten minste aan de beleidsmakers. Het verkrijgen van de sponsoring van het project is de eerste stap. Dit zou uw manager, een uitvoerende macht, uw klant of zelfs jezelf bent u de baas. Je nodig iemand om je back-up en afmelden op uw plan. Anders kan uw testen worden afgeblazen onverwacht als iemand beweert dat ze nooit toestemming u uitvoeren van de tests. De vergunning kan worden zo eenvoudig als een interne memo- of e-mailberichten van uw werkgever als u deze tests op uw eigen systemen uitvoert. Als u voor een klant test, hebben een ondertekend contract, met vermelding van de steun en de toestemming van de klant. Schriftelijke goedkeuring krijgen op deze sponsoring zo spoedig mogelijk om ervoor te zorgen dat geen van uw tijd of moeite wordt verspild. Deze documentatie is uw Get Out of Jail gratis kaart als iedereen vragen wat u doet, of erger nog, als de overheden komen roepen.Een slip kan crashen uw systemen — niet noodzakelijk wat iedereen wil. U moet een gedetailleerd plan, maar dat betekent niet dat u moet volumes van testprocedures. Een goed gedefinieerde scope bevat de volgende informatie:
●Specific systemen te beproeven: bij het selecteren van systemen te testen, beginnen met de meest kritieke systemen en processen of degene die u vermoedt dat het meest kwetsbaar. U kunt bijvoorbeeld computer wachtwoorden, een Internet-gerichte Web-applicatie, testen of social engineering-aanvallen proberen vóór het boren naar beneden in al uw systemen.
●Risks betrokken: loont het om het hebben van een rampenplan voor uw ethische hacking proces, in het geval dat iets misgaat. Wat als u uw firewall of webtoepassing bent beoordelen en nemen u het naar beneden? Hierdoor kan het systeem onbeschikbaarheid, waardoor systeem prestaties of werknemer productiviteit kan verminderen. Erger nog, kan het verlies van data integriteit, verlies van gegevens zelf, en zelfs slechte publiciteit. Het zal zeker een persoon of twee te kruisen en je kijken slecht. Zorgvuldig omgaan met sociale manipulatie en DoS aanvallen. Bepalen hoe ze de systemen die u test en uw hele organisatie kunnen beïnvloeden.
● Wanneer de tests zullen worden uitgevoerd en uw algemene tijdlijn: iets dat u moet denken lang en hard over het bepalen van wanneer de tests zijn uitgevoerd is. Voer tests tijdens normale kantooruren? Hoe zit laat in de nacht of vroeg in de ochtend zodat productiesystemen zijn niet beïnvloed? Anderen om ervoor te zorgen dat ze goed te keuren van uw timing te betrekken. De beste aanpak is een onbeperkte aanval, waarin elke vorm van test mogelijk op elk moment van de dag is. De slechteriken zijn niet breken in uw systemen binnen een beperkt bereik, dus waarom zou u? Enkele uitzonderingen op deze aanpak zijn DoS aanvallen, social engineering, en fysieke beveiliging tests uitvoeren.
● Hoe veel kennis van de systemen hebt u voordat u beginnen met het testen: U hoeft niet uitgebreide kennis van de systemen die u test — enkel een basiskennis. Deze basiskennis beveiligt u en de geteste systemen.
● Welke actie zal worden ondernomen wanneer een grote kwetsbaarheid wordt ontdekt: Don't stop nadat je een gat in de beveiliging vinden. Dit kan leiden tot een vals gevoel van veiligheid. Blijven gaan om te zien wat u kunt ontdekken. U hoeft niet te hacken houden tot het einde van tijd of totdat u crash al uw systemen; simpelweg volgen het pad u gaat omlaag totdat u kan niet langer kappen (woordspeling bedoeld). Als u niet alle kwetsbaarheden gevonden, keek niet je hard genoeg.
● De specifieke resultaten: Dit omvat veiligheid evaluatieverslagen en een hoger niveau verslag over de algemene beveiligingsproblemen worden aangepakt, samen met de tegenmaatregelen die ten uitvoer moeten worden gelegd.
