Cómo su organización puede beneficiarse del pirateo ético

Autor: Roger Morrison
Fecha De Creación: 26 Septiembre 2021
Fecha De Actualización: 1 Mes De Julio 2024
Anonim
Cómo su organización puede beneficiarse del pirateo ético - Tecnología
Cómo su organización puede beneficiarse del pirateo ético - Tecnología

Contenido


Fuente: Cammeraydave / Dreamstime.com

Para llevar:

La piratería es una amenaza enorme para las organizaciones, por lo que los piratas informáticos éticos son a menudo la mejor solución para encontrar brechas de seguridad.

La naturaleza de las amenazas de ciberseguridad sigue evolucionando. A menos que los sistemas evolucionen para gestionar estas amenazas, serán patos sentados. Si bien las medidas de seguridad convencionales son necesarias, es importante obtener la perspectiva de las personas que potencialmente pueden amenazar los sistemas o los piratas informáticos. Las organizaciones han estado permitiendo que una categoría de hackers, conocidos como hackers éticos o de sombrero blanco, identifique las vulnerabilidades del sistema y proporcione sugerencias para solucionarlos. Los piratas informáticos éticos, con el consentimiento expreso de los propietarios del sistema o las partes interesadas, penetran en los sistemas para identificar vulnerabilidades y proporcionar recomendaciones para mejorar las medidas de seguridad. La piratería ética hace que la seguridad sea holística e integral.


¿Realmente necesita hackers éticos?

Ciertamente no es obligatorio emplear los servicios de piratas informáticos éticos, pero los sistemas de seguridad convencionales han fallado reiteradamente en proporcionar una protección adecuada contra un enemigo que crece en tamaño y variedad. Con la proliferación de dispositivos inteligentes y conectados, los sistemas están constantemente amenazados. De hecho, la piratería es vista como una vía lucrativa financieramente, por supuesto a expensas de las organizaciones. Como dijo Bruce Schneier, autor del libro "Protege tu Macintosh", "el hardware es fácil de proteger: encerrarlo en una habitación, encadenarlo a un escritorio o comprar un repuesto. La información plantea un problema mayor. Puede existir en más de un lugar; ser transportado a la mitad del planeta en segundos y ser robado sin su conocimiento ". Su departamento de TI, a menos que tenga un gran presupuesto, puede ser inferior al ataque de los piratas informáticos, y se puede robar información valiosa incluso antes de darse cuenta. Por lo tanto, tiene sentido agregar una dimensión a su estrategia de seguridad de TI mediante la contratación de hackers éticos que conocen las formas de los hackers de sombrero negro. De lo contrario, su organización podría correr el riesgo de mantener las lagunas abiertas sin saberlo en el sistema.


Conocimiento de los métodos de los hackers

Para evitar la piratería, es importante comprender cómo piensan los piratas informáticos. Los roles convencionales en la seguridad del sistema solo pueden hacer mucho hasta que se haya introducido la mentalidad del hacker. Obviamente, las formas de los piratas informáticos son únicas y difíciles de manejar para los roles convencionales de seguridad del sistema. Esto establece el caso para contratar a un hacker ético que pueda acceder al sistema como lo haría un hacker malicioso y, en el camino, descubrir cualquier laguna de seguridad.

Pruebas penetrantes

También conocida como prueba de lápiz, la prueba penetrante se usa para identificar vulnerabilidades del sistema a las que puede atacar un atacante. Existen muchos métodos de pruebas penetrantes. La organización puede usar diferentes métodos según sus requisitos.

  • Las pruebas dirigidas involucran a las personas de las organizaciones y al pirata informático. Todo el personal de la organización sabe sobre el pirateo que se realiza.
  • Las pruebas externas penetran en todos los sistemas expuestos externamente, como servidores web y DNS.
  • Las pruebas internas descubren vulnerabilidades abiertas a usuarios internos con privilegios de acceso.
  • Las pruebas a ciegas simulan ataques reales de hackers.

Los probadores reciben información limitada sobre el objetivo, lo que les obliga a realizar un reconocimiento antes del ataque. Las pruebas penetrantes son el caso más sólido para contratar hackers éticos. (Para obtener más información, consulte Pruebas de penetración y el delicado equilibrio entre seguridad y riesgo).

Identificando Vulnerabilidades

Ningún sistema es completamente inmune a los ataques. Aún así, las organizaciones necesitan proporcionar protección multidimensional. El paradigma del hacker ético agrega una dimensión importante. Un buen ejemplo es el estudio de caso de una gran organización en el dominio de fabricación. La organización conocía sus limitaciones en términos de seguridad del sistema, pero no podía hacer mucho por sí sola. Entonces, contrató hackers éticos para evaluar la seguridad de su sistema y proporcionar sus hallazgos y recomendaciones. El informe comprendía los siguientes componentes: los puertos más vulnerables, como Microsoft RPC y la administración remota, las recomendaciones de mejora de la seguridad del sistema, como un sistema de respuesta a incidentes, la implementación completa de un programa de gestión de vulnerabilidades y hacer que las pautas de endurecimiento sean más completas.

Preparación para ataques

Los ataques son inevitables sin importar cuán fortificado esté un sistema. Finalmente, un atacante encontrará una vulnerabilidad o dos. Este artículo ya ha declarado que los ataques cibernéticos, independientemente de la medida en que se fortalezca un sistema, son inevitables. Eso no significa que las organizaciones deban dejar de reforzar la seguridad de su sistema; de hecho, todo lo contrario. Los ataques cibernéticos han evolucionado y la única forma de prevenir o minimizar el daño es una buena preparación. Una forma de preparar sistemas contra ataques es permitir que los piratas informáticos éticos identifiquen las vulnerabilidades de antemano.

Hay muchos ejemplos de esto y es pertinente discutir el ejemplo del Departamento de Seguridad Nacional de los Estados Unidos (DHS). El DHS utiliza un sistema extremadamente grande y complejo que almacena y procesa grandes volúmenes de datos confidenciales. La violación de datos es una amenaza grave y equivale a amenazar la seguridad nacional. El DHS se dio cuenta de que lograr que los piratas informáticos éticos entraran en su sistema antes que los piratas informáticos de sombrero negro era una forma inteligente de elevar el nivel de preparación. Entonces, se aprobó la Ley Hack DHS, que permitiría a piratas informáticos éticos seleccionados entrar en el sistema DHS. El acto expuso en detalle cómo funcionaría la iniciativa. Se contrataría a un grupo de piratas informáticos éticos para entrar en el sistema DHS e identificar vulnerabilidades, si las hubiera. Por cualquier nueva vulnerabilidad identificada, los piratas informáticos éticos serían recompensados ​​financieramente. Los hackers éticos no estarían sujetos a ninguna acción legal debido a sus acciones, aunque tendrían que trabajar bajo ciertas restricciones y pautas. La ley también obligó a todos los piratas informáticos éticos que participan en el programa a pasar por una exhaustiva verificación de antecedentes. Al igual que DHS, las organizaciones de renombre han estado contratando hackers éticos para elevar el nivel de preparación de seguridad del sistema durante mucho tiempo. (Para obtener más información sobre seguridad en general, consulte Los 7 principios básicos de seguridad de TI).

Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida

No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.

Conclusión

Tanto la piratería ética como la seguridad de TI convencional deben trabajar juntas para proteger los sistemas empresariales. Sin embargo, las empresas necesitan elaborar su estrategia hacia la piratería ética. Probablemente puedan sacar una hoja de la política del DHS hacia la piratería ética. El papel y el alcance de los piratas informáticos éticos deben estar claramente definidos; Es importante que la empresa mantenga controles y equilibrios para que el hacker no exceda el alcance del trabajo ni cause ningún daño al sistema. La empresa también debe dar a los piratas informáticos éticos la seguridad de que no se tomarán medidas legales en caso de incumplimiento según lo definido en su contrato.