Inhalt
- White Hat-Profis
- Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
- Ethische Hacker und Penetrationstests
- Ethische Hacker, Social Engineering und User Awareness
- Qualifikationen für ethische Hacker
Quelle: Daniil Peshkov / Dreamstime.com
Wegbringen:
Ethische Hacker leisten wichtige Arbeit für Arbeitgeber, indem sie Angriffe simulieren und herausfinden, wie sie Hacker mit schwarzen Hüten abwehren können.
In der Welt der Unternehmens-IT gewinnt der Begriff „ethischer Hacker“ schnell an Bedeutung. Aber was machen diese Profis? Wie sieht ein Tag im Leben eines ethischen Hackers aus?
Ethische Hacker sind Profis, die in Unternehmenssysteme eindringen, um Schwachstellen und Schwachstellen zu erkennen.
"Ethische Hacker sind im Wesentlichen IT-Sicherheitsexperten, die mit ihrem Wissen in Systeme wie Server und Mitarbeitercomputer eindringen, um Schwachstellen in der Sicherheit ihres Arbeitgebers festzustellen", sagt Ryan Jones, Digital Marketing Executive bei Imaginaire Digital. "Sie werden dann einen Bericht über die festgestellten Schwächen erstellen und die beste Vorgehensweise vorschlagen."
"Ein ethischer Hacker oder Penetrationstester ist eine Person, die Computergeräte und Netzwerke auf Schwachstellen überprüft", ergänzt Nathan House, CEO und Gründer des Cybersicherheitsunternehmens StationX. "Anstatt dies mit böswilliger oder krimineller Absicht zu tun, melden sie die Sicherheitsanfälligkeiten, damit sie behoben werden können." (Weitere Informationen zu den Möglichkeiten ethischer Hacker für Unternehmen finden Sie unter Wie Ihr Unternehmen von ethischem Hacking profitieren kann.)
White Hat-Profis
Ein anderer Begriff für ethische Hacker ist "White Hat". Im Gegensatz zu Black Hat-Hackern sind White Hat-Hacker wie die höflichen Einbrecher des Internets - sie tun einige der gleichen Dinge, die Black Hat-Hacker tun, aber nicht aus destruktiven Gründen.
„Um wirklich sicher zu sein, dass ein System geschützt ist, sollten echte Angriffe von außen auf ein System erfolgen, um eine echte Bedrohung zu simulieren, und es so schnell wie möglich erkennen und beheben können“, sagt Kaiss Bouali, geschäftsführender Gesellschafter und CTO bei Iodeed. „Es gibt Unternehmen, die sich auf White Hat Hacking spezialisiert haben und Teams von speziellen Hackern haben, die (an Stifttests arbeiten) und Ihnen die Sicherheitslücken, die Schritte zu deren Behebung und die Gebühren, die sie für die Behebung erheben, anzeigen sie für dich. "
Das Wort "simulieren" ist hier wichtig.
Um auf die Einbruchanalogie zurückzukommen: Wenn Sie eine Menge teurer und ausgefallener Dinge in Ihrem Haus haben, können Sie in Schlösser investieren oder, um ein zusätzliches Sicherheitsniveau zu erreichen, jemanden einstellen, der einen Einbruch simuliert. Sie finden möglicherweise ein offenes Fenster im Keller oder einen Durchforstungsbereich, der es ihnen ermöglicht, in das Haus zu gelangen und zu stehlen, was Sie haben. Wenn Sie jedoch im Voraus in einen simulierten Einbruch investieren, wissen Sie, was zu beheben ist, um es Unbefugten noch schwerer zu machen, Zugang zu erhalten.
Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.
Genau das ist ethisches Hacken. Es wird mit Systemen herumgespielt, um herauszufinden, wo die Schwachstellen liegen - damit der Client sie beheben und verhindern kann, dass jemals echte Hacker auftreten oder Systeme beschädigen.
Ethische Hacker und Penetrationstests
Eine der Hauptaufgaben eines ethischen Hackers ist die Durchführung eines so genannten Penetrationstests oder Pen-Tests.
"(Ethische Hacker) verwenden Penetrationstests als Teil ihres Arsenals, um die Systeme ihrer Kunden vor Cyberkriminalität zu schützen", erläutert Karen Franse von der Communication Strategy Group, wie ein Unternehmen namens SRC Technologies eine Firma namens Synack einsetzt, um ethisches Hacken auszulagern.
Denken Sie darüber nach - Unternehmen verfügen über ein breites Spektrum an Automatisierungstools, mit denen sie Schwachstellen in einem System erkennen können. Digitale Tools suchen möglicherweise nach offenen Netzwerkzugriffspunkten, Problemen mit einer API, schwachen Kennwortsystemen oder einer Reihe anderer potenzieller Probleme. Dies geschieht jedoch automatisiert. Ohne einen ethischen Hacker auf dem Kapitänsstuhl gibt es kein menschliches Versehen.
Der ethische Hacker fügt dieses menschliche Element hinzu. Er oder sie sitzt am Entscheidungspunkt und die netten neuen Sicherheitstools, die Softwareanbieter anbieten, fungieren als Entscheidungsunterstützungssoftware. Sie können sich den ethischen Hacker als den Orchestrator all dieser automatisierten Tools vorstellen, der ihre Erfolge und Misserfolge mit einem scharfen Auge erkennt.
Einer der grundlegendsten Teile der Penetrationstests ist jedoch die Berichterstattung, die anschließend erfolgt.
Ethische Hacker kehren zu Kunden zurück und zeigen ihnen genau, was während des Penetrationstests passiert ist. Wenn ein Verstoß oder eine Penetration aufgetreten ist, wird diese Sicherheitsanfälligkeit behoben. Dies verschärft den Perimeter, verdünnt die Angriffsfläche und schützt Unternehmen vor Schaden.
Ethische Hacker, Social Engineering und User Awareness
Hier ist ein weiterer wichtiger Teil dessen, was ethische Hacker tun.
Der Begriff „Social Engineering“ bezieht sich auf all jene Hacking-Versuche, bei denen versucht wird, durch Täuschung eines Endbenutzers Zugang zu erlangen.
Diese Spoofing-Attacken? Soziale Entwicklung.
Spear-Phishing ist eine weitere verbreitete Form des Social Engineering, bei der böswillige Parteien sich als Insider ausgeben oder auf andere Weise versuchen, Endbenutzer dazu zu bewegen, wertvolle Daten oder Netzwerkzugangsdaten preiszugeben. In einigen Fällen fälschen sie einfach ein Abrechnungsfenster und fordern die Mitarbeiter auf, ihre Finanzinformationen preiszugeben.
All dies ist in der Regel ziemlich destruktiv. Daher beauftragen Unternehmen ethische Hacker, um diese Art von Angriffen zu simulieren. Dann finden sie Schwachstellen und berichten darüber. Der nächste und letzte Schritt ist das Sensibilisierungstraining. Das Unternehmen investiert in die Aufklärung aller Mitarbeiter, auf die es zu achten gilt, und schafft eine bessere Mitarbeiterbasis, eine Belegschaft, die nicht für alle diese skrupellosen Schwarzhut-Hacker kennzeichnend ist. (Können ethische Hacker während ihrer Arbeit in rechtliche Schwierigkeiten geraten? Weitere Informationen unter Benötigen ethische Hacker rechtlichen Schutz?)
Qualifikationen für ethische Hacker
In der Tat gibt es in der Welt des ethischen Hackings eine Fülle von Qualifikationen. Unternehmen möchten wissen, dass Fachleute über umfassende Erfahrung und Lizenz verfügen, um Penetrationstests durchzuführen und andere Arten von White Hat-Sicherheitsarbeiten auszuführen.
Eine Sache, die Unternehmen oft fordern, ist, dass ethische Hacker die drei kritischen Teile des Internets beherrschen: Surface Web, Deep Web und Dark Web. Dieses mittlere Stück zeigt, wie sich diese drei Bereiche des Webs unterscheiden und was dies für Sicherheitsexperten bedeutet.
Es gibt auch Tactics Techniques and Procedures oder TTP, ein Protokoll zur Authentifizierung von ethischem Hacking sowie eine Open Source Intelligence (OSINT) -Zertifizierung.
Andere Qualifikationen umfassen:
- Zertifizierter ethischer Hacker (CEH)
- GIAC Certified Incident Handler (GCIH)
- GIAC Cyber Threat Intelligence (GCTI)
Ethische Hacker arbeiten an der Avantgarde der Sicherheitskonditionierung für Unternehmen, und im großen Stil können sie für den Schutz einer Organisation vor Bedrohungen von entscheidender Bedeutung sein.