- ข้อความ
- ประวัติศาสตร์
Steven Furnell and Maria Papadaki f
Steven Furnell and Maria Papadaki from the Centre for Security, Communications and Network Research, University of Plymouth explain what to look for in a penetration tester.
Examination of IT breaches often reveals that they could have been prevented if security was properly tested. Indeed, many incidents occur because attackers were able to get in where there was already a hole, and would actually have been avoidable if more had been done to identify and address these in advance.
For example, looking at recent survey findings from the Computer Security Institute (CSI), it is significant that the most common actions taken following an incident were to patch vulnerable software (62 per cent) and to patch or remediate vulnerable hardware or infrastructure (49 per cent) according to the Computer Security Institute's 15th Annual 2010/2011 Computer Crime and Security Survey.
While part of the problem may be overcome via a robust patching regime, the wider issue of vulnerability management extends beyond rectifying vendor-sourced implementation errors and also includes the additional weaknesses that may arise thanks to local configuration errors, the surrounding infrastructure and the behaviour of users.
This not only applies to production software, but to security controls and monitoring tools as well. It is essential to discover any configuration errors that might exist in the existing security infrastructure, and to ensure their robustness. The onus is therefore on organisations to ensure that they are on top of the issue, and there may be real advantage to be gained from a proactive programme of security testing.
While a baseline approach would be to conduct an audit, to ensure that security controls and practices are in line with expected standards, greater confidence could arise from active assessments that seek to simulate the effects of an actual attack.
As a result, penetration testing is now a widely recognised aspect of security, with the aforementioned CSI survey revealing that some 34 per cent of respondents used external services to evaluate their systems, while 41 per cent claimed to conduct such activities internally. Moreover, the utilisation is increasing, with further findings indicating that more than a third of organisations expect to increase their related expenditure according to Ernst & Young’s 2010 Global Information Security Survey.
However, while recognition is growing, organisations may still face challenges in determining how to approach the issue, including both the scope and the conduct of testing. As previously indicated, penetration tests ought to extend beyond technology to encompass the wider organisation and the people in it. However, the non-technical aspects often tend to receive less attention.
For example, according to Ernst & Young survey findings from 2008, while 85 per cent of respondents claimed to perform ‘internet testing’, only 46 per cent tested ‘physical access to secure areas’, and just 19 per cent tried ‘social engineering attempts’ against their staff.
Ideally, a holistic approach should be considered by any organisation that regards itself as a possible focus of targeted attacks, as determined attackers would be likely to use any avenue open to them (with the exploitation of human weaknesses being likely to be a desirable fallback if confronted with robust technical defences, or indeed a preferred starting point for some attackers anyway).
A job for the pros
In addition to illustrating its general growth, past findings have also highlighted penetration testing as the most commonly outsourced aspect of security, with Ernst & Young’s 2009 findings revealing that 55 per cent already outsourced it, while a further 18 per cent were considering it according to Ernst & Young’s 2010 survey.
With this in mind, organisations need to be very sure about who they are bringing in, and will rightly wish to look for suitable certifications or qualifications that can signify a professional capability. Luckily, there are a variety of schemes in the industry that can provide such assurance.
For example, there are two related options within the SANS Global Information Assurance Certification series; namely GIAC Certified Penetration Tester (GPEN) and GIAC Web Application Penetration Tester (GWAPT).
Further examples from other sources include the Information Assurance Certification Review Board’s Certified Penetration Tester (CPT), the EC-Council’s Certified Ethical Hacker, and the various registrations available to both individuals and service providers through the Council of Registered Ethical Security Testers (CREST).
Of course, evidencing a professional capability should be about more than just having the technical skills. An understanding and acceptance of ethical practice is crucial, and some assurance of the candidate’s background is also useful. For example, EC-Council’s requirements for granting Licensed Penetration Tester status require candidates to provide documentation to show a clean criminal background check.
Indeed, the idea of pen testing is somewhat more worrisome in the poacher-turned-gamekeeper scenario of ex-hackers offering their services to test and secure systems, and we need to be fairly sure that anyone being taught the techniques has a properly aligned moral compass and is not going to go running off to use them inappropriately.
What’s in a name?
Having mentioned ethics, one potentially confusing aspect is that penetration testing is often used interchangeably with the term ethical hacking.
Although there is clearly some validity to the label (i.e. we are looking to leverage the same creativity and skills that hackers might employ, but without the accompanying harmful motives or disruptive impacts that might normally accompany them), referring to ethical hacking can also seem a somewhat uncomfortable choice - still playing off the 'glamour' associated with the term hacking, plus perhaps muddying the waters around its legitimacy (especially given that some hackers have been known to defend unsanctioned actions by claiming that they were helping to expose security weaknesses).
So, while there might be a clearly intended professional interpretation, it is easy to see how the term could be misrepresented to justify cyber vigilantism and other unsanctioned activities, with the perpetrators claiming they were operating with ethical intent.
Of course, we should not get too hung up on the name. Regardless of the label, penetration testing can clearly make a valuable contribution to system, network and physical security. The key issue is to ensure that the parameters are defined and agreed, and that the testing is therefore conducted with the full sanction of the organisation concerned.
Even then, it is not without risk, and systems could conceivably be disrupted as a result of the activities. However, the use of professional testers under controlled conditions means that things are likely to be up and running again far more quickly than if the same thing occurred thanks to a real attack.
Examination of IT breaches often reveals that they could have been prevented if security was properly tested. Indeed, many incidents occur because attackers were able to get in where there was already a hole, and would actually have been avoidable if more had been done to identify and address these in advance.
For example, looking at recent survey findings from the Computer Security Institute (CSI), it is significant that the most common actions taken following an incident were to patch vulnerable software (62 per cent) and to patch or remediate vulnerable hardware or infrastructure (49 per cent) according to the Computer Security Institute's 15th Annual 2010/2011 Computer Crime and Security Survey.
While part of the problem may be overcome via a robust patching regime, the wider issue of vulnerability management extends beyond rectifying vendor-sourced implementation errors and also includes the additional weaknesses that may arise thanks to local configuration errors, the surrounding infrastructure and the behaviour of users.
This not only applies to production software, but to security controls and monitoring tools as well. It is essential to discover any configuration errors that might exist in the existing security infrastructure, and to ensure their robustness. The onus is therefore on organisations to ensure that they are on top of the issue, and there may be real advantage to be gained from a proactive programme of security testing.
While a baseline approach would be to conduct an audit, to ensure that security controls and practices are in line with expected standards, greater confidence could arise from active assessments that seek to simulate the effects of an actual attack.
As a result, penetration testing is now a widely recognised aspect of security, with the aforementioned CSI survey revealing that some 34 per cent of respondents used external services to evaluate their systems, while 41 per cent claimed to conduct such activities internally. Moreover, the utilisation is increasing, with further findings indicating that more than a third of organisations expect to increase their related expenditure according to Ernst & Young’s 2010 Global Information Security Survey.
However, while recognition is growing, organisations may still face challenges in determining how to approach the issue, including both the scope and the conduct of testing. As previously indicated, penetration tests ought to extend beyond technology to encompass the wider organisation and the people in it. However, the non-technical aspects often tend to receive less attention.
For example, according to Ernst & Young survey findings from 2008, while 85 per cent of respondents claimed to perform ‘internet testing’, only 46 per cent tested ‘physical access to secure areas’, and just 19 per cent tried ‘social engineering attempts’ against their staff.
Ideally, a holistic approach should be considered by any organisation that regards itself as a possible focus of targeted attacks, as determined attackers would be likely to use any avenue open to them (with the exploitation of human weaknesses being likely to be a desirable fallback if confronted with robust technical defences, or indeed a preferred starting point for some attackers anyway).
A job for the pros
In addition to illustrating its general growth, past findings have also highlighted penetration testing as the most commonly outsourced aspect of security, with Ernst & Young’s 2009 findings revealing that 55 per cent already outsourced it, while a further 18 per cent were considering it according to Ernst & Young’s 2010 survey.
With this in mind, organisations need to be very sure about who they are bringing in, and will rightly wish to look for suitable certifications or qualifications that can signify a professional capability. Luckily, there are a variety of schemes in the industry that can provide such assurance.
For example, there are two related options within the SANS Global Information Assurance Certification series; namely GIAC Certified Penetration Tester (GPEN) and GIAC Web Application Penetration Tester (GWAPT).
Further examples from other sources include the Information Assurance Certification Review Board’s Certified Penetration Tester (CPT), the EC-Council’s Certified Ethical Hacker, and the various registrations available to both individuals and service providers through the Council of Registered Ethical Security Testers (CREST).
Of course, evidencing a professional capability should be about more than just having the technical skills. An understanding and acceptance of ethical practice is crucial, and some assurance of the candidate’s background is also useful. For example, EC-Council’s requirements for granting Licensed Penetration Tester status require candidates to provide documentation to show a clean criminal background check.
Indeed, the idea of pen testing is somewhat more worrisome in the poacher-turned-gamekeeper scenario of ex-hackers offering their services to test and secure systems, and we need to be fairly sure that anyone being taught the techniques has a properly aligned moral compass and is not going to go running off to use them inappropriately.
What’s in a name?
Having mentioned ethics, one potentially confusing aspect is that penetration testing is often used interchangeably with the term ethical hacking.
Although there is clearly some validity to the label (i.e. we are looking to leverage the same creativity and skills that hackers might employ, but without the accompanying harmful motives or disruptive impacts that might normally accompany them), referring to ethical hacking can also seem a somewhat uncomfortable choice - still playing off the 'glamour' associated with the term hacking, plus perhaps muddying the waters around its legitimacy (especially given that some hackers have been known to defend unsanctioned actions by claiming that they were helping to expose security weaknesses).
So, while there might be a clearly intended professional interpretation, it is easy to see how the term could be misrepresented to justify cyber vigilantism and other unsanctioned activities, with the perpetrators claiming they were operating with ethical intent.
Of course, we should not get too hung up on the name. Regardless of the label, penetration testing can clearly make a valuable contribution to system, network and physical security. The key issue is to ensure that the parameters are defined and agreed, and that the testing is therefore conducted with the full sanction of the organisation concerned.
Even then, it is not without risk, and systems could conceivably be disrupted as a result of the activities. However, the use of professional testers under controlled conditions means that things are likely to be up and running again far more quickly than if the same thing occurred thanks to a real attack.
0/5000
Papadaki มาเรียจากศูนย์รักษาความปลอดภัย การสื่อสาร และเครือข่ายวิจัย มหาวิทยาลัยของพลีมัธและ Steven Furnell อธิบายสิ่งที่ต้องค้นหาในการทดสอบการเจาะตรวจสอบไอเสียมักจะพบว่า พวกเขาสามารถมีการป้องกันได้ถ้าถูกต้องทดสอบความปลอดภัย แน่นอน หลายเหตุการณ์เกิดขึ้นเนื่องจากผู้โจมตีได้รับในตำแหน่งแล้วมีหลุม และจะได้รับจริง avoidable อื่น ๆ ได้ทำ การระบุที่อยู่เหล่านี้ล่วงหน้าตัวอย่าง ดูล่าสุดสำรวจพบจากสถาบันความปลอดภัยคอมพิวเตอร์ (CSI), ได้อย่างมีนัยสำคัญที่พบมากที่สุดดำเนินการต่อเหตุการณ์เสี่ยงซอฟต์แวร์ปรับปรุง (ร้อยละ 62) และ เพื่อแก้ไข หรือสำรองฮาร์ดแวร์เสี่ยงหรือโครงสร้างพื้นฐาน (ร้อยละ 49) ตาม 15 อาชญากรรมคอมพิวเตอร์ประจำปี 2010/2011 และสำรวจความปลอดภัยของ สถาบันความปลอดภัยคอมพิวเตอร์ในขณะที่ส่วนหนึ่งของปัญหาอาจเอาชนะผ่านระบอบการปรับปรุงความแข็งแกร่ง บริหารความเสี่ยงออกกว้างเกิน rectifying ข้อผิดพลาดนำมาจัดจำหน่าย และยัง มีจุดอ่อนเพิ่มเติมที่อาจเกิดข้อผิดพลาดการตั้งค่าคอนฟิกภายใน โครงสร้างพื้นฐานแวดล้อม และพฤติกรรมของผู้ใช้นี้ไม่เพียงแต่ใช้ผลิตซอฟต์แวร์ แต่ การควบคุมความปลอดภัยและเครื่องมือในการตรวจสอบเช่น มันเป็นสิ่งสำคัญ เพื่อค้นพบข้อผิดพลาดการกำหนดค่าใด ๆ ที่อาจมีอยู่ในโครงสร้างพื้นฐานด้านความปลอดภัยที่มีอยู่ และ เพื่อให้มั่นใจเสถียรภาพของพวกเขา ไขข้อจึงอยู่ในองค์กรเพื่อให้แน่ใจว่า จะอยู่ด้านบนของปัญหา และอาจจะมีประโยชน์จริงที่ได้รับจากโครงการเชิงรุกของการทดสอบความปลอดภัย ในขณะที่วิธีการพื้นฐานจะดำเนินการตรวจสอบ ให้แน่ใจว่า การควบคุมความปลอดภัยและปฏิบัติตามมาตรฐานที่คาดไว้ ความมั่นใจมากขึ้นอาจเกิดขึ้นจากการประเมินงานที่พยายามจำลองผลกระทบของการโจมตีเกิดขึ้นจริงดัง บุกรุกเป็นด้านที่รับการยอมรับอย่างกว้างขวางของความปลอดภัย มีแบบสำรวจ CSI ดังกล่าวเปิดเผยว่า บาง 34 ร้อยละของผู้ตอบใช้บริการภายนอกเพื่อประเมินระบบของพวกเขา ในขณะที่ร้อยละ 41 อ้างว่า การดำเนินกิจกรรมดังกล่าวภายใน นอกจากนี้ เพิ่มการจัดสรร กับอีกผลการวิจัยที่บ่งชี้ว่า มากกว่า หนึ่งในสามขององค์กรที่คาดว่าจะเพิ่มรายจ่ายของพวกเขาที่เกี่ยวข้องตามแอนด์สาวของ 2010 โลกข้อมูลรักษาความปลอดภัยแบบสำรวจอย่างไรก็ตาม ในขณะที่การรับรู้ที่มีการเติบโต องค์กรอาจยังคงเผชิญกับความท้าทายในการกำหนดวิธีการพบปัญหา ขอบเขตและจรรยาบรรณของการทดสอบ ที่ระบุไว้ก่อนหน้านี้ การทดสอบการเจาะควรจะขยายเกินเทคโนโลยีรอบกว้างองค์กรและประชาชนในการ อย่างไรก็ตาม ลักษณะทางเทคนิคมักมักจะ ได้รับความสนใจน้อยลงตัวอย่าง ตามแอนด์ยังสำรวจพบจาก 2008 ในขณะที่ 85 ร้อยละของผู้ตอบที่อ้างว่า การ 'อินเทอร์เน็ตการทดสอบ' 'เข้าถึงพื้นที่รักษาความปลอดภัย' ทดสอบเฉพาะ 46 ร้อยละ และเพียงร้อยละ 19 พยายาม 'วิศวกรพยายาม' กับพนักงานของตนดาว วิธีการแบบองค์รวมควรพิจารณา โดยองค์กรใด ๆ ที่พิจารณาตัวเองเป็นไปได้ของการโจมตีเป้าหมาย เป็นผู้โจมตีที่ตั้งใจจะไปเปิดอเวนิวใด ๆ พวกเขา (ด้วยการเอารัดเอาเปรียบของมนุษย์อ่อนมีแนวโน้มที่จะเป็นการย้อนกลับต้องเผชิญ defences การทางเทคนิคที่แข็งแกร่ง หรือแท้จริงเป็นจุดเริ่มต้นผู้โจมตีบางหรือ)งานสำหรับผู้เชี่ยวชาญด้านนอกจากแสดงความเจริญเติบโตทั่วไป ผลการวิจัยที่ผ่านมาได้ยังถูกเน้นบุกรุกเป็นที่ผลิตนอกบริษัทด้านรักษาความปลอดภัย มีแอนด์สาวของ 2009 ผลการวิจัยเปิดเผยว่า ร้อยละ 55 แล้วผลิตนอกบริษัท ในขณะที่ร้อยละ 18 เพิ่มเติมถูกพิจารณามันตามสำรวจ 2010 แอนด์สาวของทั่วไปนี้ในจิตใจ องค์กรต้องมีมากแน่ใจว่าเกี่ยวกับการที่ พวกเขานำใน และเรื่องจะต้องหาใบรับรองที่เหมาะสมหรือคุณสมบัติที่สามารถความสามารถระดับมืออาชีพที่มีความหมาย โชคดี มีความหลากหลายของรูปแบบในอุตสาหกรรมที่สามารถให้การรับรองดังกล่าวตัวอย่าง มีสองตัวเลือกที่เกี่ยวข้องภายใน SANS รับรองประกันข้อมูลสากลชุด คือ GIAC รับรองการเจาะทดสอบ (GPEN) และ GIAC เว็บแอพลิเคชันการเจาะทดสอบ (GWAPT)ตัวอย่างเพิ่มเติมจากแหล่งอื่น ๆ ได้แก่ข้อมูลประกันรับรองตรวจสอบของคณะกรรมการรับรองการเจาะทดสอบ (CPT), แฮ กเกอร์จริยธรรมรับรอง EC-สภาของ และการลงทะเบียนต่าง ๆ ที่พร้อมใช้งานสำหรับบุคคลและผู้ให้บริการผ่านสภาของลงทะเบียนจริยธรรมความปลอดภัยทดสอบ (ยอด)แน่นอน ขอความมืออาชีพควรจะเกี่ยวกับการมีทักษะด้านเทคนิคมากกว่า มีความเข้าใจและยอมรับปฏิบัติจริยธรรมเป็นสิ่งสำคัญ และยังใช้ประกันบางของพื้นหลังของผู้สมัคร ตัวอย่าง ความต้องการ EC สภาที่ได้รับใบอนุญาตเจาะทดสอบสถานะต้องสมัครให้เอกสารแสดงการตรวจสอบพื้นสะอาดอาชญากรรมแน่นอน ความคิดของปากกาทดสอบเป็นค่อนข้างน่าวิตกกว่าในสถานการณ์พอร์ชเชอร์เปิดเกมคีปของการบริการการทดสอบทางระบบแฮกเกอร์อดีต และค่อนข้างแน่ใจว่า ใครจะสอนเทคนิคต่าง ๆ มีทิศทางศีลธรรมจัดตำแหน่งอย่างถูกต้อง และจะไม่ไปทำงานจากการใช้สมคือชื่ออะไรมีกล่าวถึงจริยธรรม ด้านหนึ่งอาจสับสนได้ว่า บุกรุกมักใช้สลับกันกับคำว่าจริยธรรมแฮ็คแม้จะมีบางอย่างชัดเจนตั้งแต่ป้ายชื่อ (เช่นเรากำลังใช้ความคิดสร้างสรรค์กัน และทักษะ ว่าแฮกเกอร์อาจจ้าง แต่ ไม่มาไม่สนคำครหาเป็นอันตรายหรือส่งผลกระทบต่อขวัญที่อาจปกติพร้อมกับพวกเขา), อ้างอิงถึงการแฮ็คจริยธรรมสามารถยังดูเหมือน เป็นทางเลือกที่ค่อนข้างอึดอัด - ยัง เล่นปิด 'รับ' เกี่ยวข้องกับการแฮ็คระยะ บวกบางที muddying น้ำสถานที่ชอบธรรม (โดยเฉพาะอย่างยิ่งที่ได้รู้จักแฮกเกอร์บางเพื่อปกป้องการดำเนินการ unsanctioned โดย อ้างว่า พวกเขาได้ช่วยเปิดเผยจุดอ่อนด้านความปลอดภัย)จึง ในขณะที่อาจมีการตีความระดับมืออาชีพอย่างตั้งใจ อย่างง่าย ๆ เพื่อดูว่าสามารถ misrepresented คำให้ไซเบอร์ vigilantism และกิจกรรมอื่น ๆ unsanctioned กับความผิดที่อ้างว่า พวกเขาได้ทำงานกับจริยธรรมแน่นอน เราควรไม่ได้เกินไปแขวนขึ้นชื่อ โดยป้ายชื่อ บุกรุกสามารถอย่างชัดเจนให้เป็นผลงานที่มีคุณค่าระบบ เครือข่าย และการรักษาความปลอดภัย ประเด็นหลักคือเพื่อ ให้แน่ใจว่า พารามิเตอร์จะกำหนดตกลง และว่า การทดสอบจึงดำเนินไปเต็มรูปแบบขององค์กรที่เกี่ยวข้องกับได้แล้ว มันไม่ได้อยู่ไม่ มีความเสี่ยง และระบบสามารถดักรออยู่ระหว่างสองวันจากกิจกรรม อย่างไรก็ตาม ใช้มืออาชีพทดสอบภายใต้เงื่อนไขการควบคุมหมายถึง สิ่งจะกู้มากขึ้นรวดเร็วกว่าถ้าเกิดสิ่งเดียวกันด้วยการโจมตีที่แท้จริง
การแปล กรุณารอสักครู่..
สตีเว่นและมาเรีย Furnell Papadaki จากศูนย์รักษาความปลอดภัยสำหรับการสื่อสารและเครือข่ายการวิจัยมหาวิทยาลัยพลีมั ธ อธิบายสิ่งที่จะมองหาในการทดสอบการเจาะ. การตรวจสอบของไอทีละเมิดมักจะแสดงให้เห็นว่าพวกเขาจะได้รับการป้องกันได้ถ้าการรักษาความปลอดภัยได้รับการทดสอบอย่างถูกต้อง อันที่จริงหลายเหตุการณ์ที่เกิดขึ้นเพราะการโจมตีก็สามารถที่จะได้รับในการที่มีอยู่แล้วหลุมและที่จริงจะได้รับการหลีกเลี่ยงได้ถ้ามีได้รับการดำเนินการในการระบุและที่อยู่เหล่านี้ล่วงหน้า. ยกตัวอย่างเช่นมองไปที่ผลสำรวจล่าสุดจากการรักษาความปลอดภัยคอมพิวเตอร์ สถาบัน (CSI) มันมีความหมายว่าการดำเนินการที่พบมากที่สุดดำเนินการดังต่อไปนี้เหตุการณ์ที่เกิดขึ้นจะแก้ไขซอฟแวร์ที่มีช่องโหว่ (62 เปอร์เซ็นต์) และการแก้ไขหรือ remediate ฮาร์ดแวร์ที่มีช่องโหว่หรือโครงสร้างพื้นฐาน (49 เปอร์เซ็นต์) ตามสถาบันการรักษาความปลอดภัยของคอมพิวเตอร์ที่ 15 ประจำปี 2010 / 2011 อาชญากรรมคอมพิวเตอร์และความปลอดภัยการสำรวจ. ในขณะที่ส่วนหนึ่งของปัญหาอาจจะเอาชนะผ่านระบอบการปกครองปะที่มีประสิทธิภาพ, ปัญหาที่กว้างขึ้นของการจัดการช่องโหว่ขยายเกินการแก้ไขข้อผิดพลาดในการดำเนินงานของผู้ขายที่มาและยังมีจุดอ่อนเพิ่มเติมที่อาจจะเกิดขึ้นต้องขอบคุณข้อผิดพลาดการตั้งค่าในท้องถิ่น โครงสร้างพื้นฐานโดยรอบและพฤติกรรมของผู้ใช้. นี้ไม่เพียง แต่นำไปใช้กับซอฟแวร์การผลิต แต่ในการควบคุมความปลอดภัยและเครื่องมือการตรวจสอบเช่นกัน มันเป็นสิ่งสำคัญที่จะค้นพบข้อผิดพลาดการตั้งค่าใด ๆ ที่อาจจะมีอยู่ในโครงสร้างพื้นฐานที่มีอยู่ในการรักษาความปลอดภัยและเพื่อให้แน่ใจว่าพวกเขามีสุขภาพดี ความรับผิดชอบจึงเป็นองค์กรเพื่อให้แน่ใจว่าพวกเขาจะอยู่ด้านบนของปัญหาและอาจจะมีประโยชน์จริงที่จะได้รับจากโปรแกรมเชิงรุกของการทดสอบการรักษาความปลอดภัย. ในขณะที่วิธีการพื้นฐานที่จะดำเนินการตรวจสอบเพื่อให้แน่ใจว่าการควบคุมความปลอดภัย และการปฏิบัติที่สอดคล้องกับมาตรฐานที่คาดหวังความมั่นใจมากขึ้นอาจเกิดขึ้นจากการประเมินผลที่ใช้งานที่พยายามที่จะจำลองผลกระทบของการโจมตีที่เกิดขึ้นจริง. เป็นผลให้การทดสอบการเจาะตอนนี้เป็นลักษณะที่ได้รับการยอมรับกันอย่างแพร่หลายในการรักษาความปลอดภัยที่มีการสำรวจ CSI ดังกล่าวเผยให้เห็นว่าบางส่วน ร้อยละ 34 ของผู้ตอบแบบสอบถามที่ใช้บริการภายนอกในการประเมินระบบของพวกเขาในขณะที่ร้อยละ 41 อ้างในการดำเนินกิจกรรมดังกล่าวภายใน นอกจากนี้การใช้จะเพิ่มขึ้นกับผลการวิจัยต่อไปแสดงให้เห็นว่ากว่าหนึ่งในสามขององค์กรที่คาดว่าจะเพิ่มค่าใช้จ่ายที่เกี่ยวข้องตาม Ernst & Young 2010 ข้อมูลทั่วโลกการสำรวจการรักษาความปลอดภัย. อย่างไรก็ตามในขณะที่ได้รับการยอมรับมีการเจริญเติบโตขององค์กรอาจจะยังคงเผชิญกับความท้าทายในการกำหนดวิธี ที่จะเข้าใกล้ปัญหารวมทั้งขอบเขตและการดำเนินการของการทดสอบ ตามที่ระบุไว้ก่อนหน้านี้การทดสอบการเจาะควรจะขยายเกินเทคโนโลยีรวมไปถึงองค์กรที่กว้างขึ้นและผู้คนที่อยู่ในนั้น แต่ในด้านที่ไม่ใช่ด้านเทคนิคที่มักจะมีแนวโน้มที่จะได้รับความสนใจน้อย. ตัวอย่างเช่นตามเอิร์นส์และผลสำรวจหนุ่มสาวจากปี 2008 ในขณะที่ร้อยละ 85 ของผู้ตอบแบบสอบถามอ้างว่าการดำเนินการ 'การทดสอบอินเทอร์เน็ต' เพียงร้อยละ 46 การทดสอบการเข้าถึงทางกายภาพ พื้นที่ปลอดภัย 'และเพียงร้อยละ 19 พยายาม' พยายามวิศวกรรมทางสังคม 'กับพนักงานของตน. จะเป็นการดีที่วิธีการแบบองค์รวมที่ควรได้รับการพิจารณาโดยองค์กรที่นับถือตัวเองเป็นโฟกัสเป็นไปได้ของการโจมตีเป้าหมายใด ๆ ตามที่กำหนดโจมตีจะมีแนวโน้มที่จะใช้ใด ๆ ถนนที่เปิดให้พวกเขา (ที่มีการใช้ประโยชน์จากจุดอ่อนของมนุษย์มีแนวโน้มที่จะเป็นทางเลือกที่น่าพอใจถ้าเผชิญหน้ากับการป้องกันทางเทคนิคที่แข็งแกร่งหรืออันที่จริงเป็นจุดเริ่มต้นที่ต้องการสำหรับการโจมตีบางอยู่แล้ว). งานสำหรับข้อดีนอกเหนือจากที่แสดงการเจริญเติบโตทั่วไป, ผลการวิจัยที่ผ่านมาได้ยังเน้นการทดสอบการเจาะเป็นแง่มุมมากที่สุด outsourced ทั่วไปของการรักษาความปลอดภัยกับ Ernst & Young 2009 ผลการวิจัยแสดงให้เห็นว่าร้อยละ 55 แล้วเอาต์ซอร์มันในขณะที่อีกร้อยละ 18 ได้รับการพิจารณาตามที่เอินส์ทแอนด์ยังปี 2010 การสำรวจ. ด้วยวิธีนี้ ในใจขององค์กรจะต้องมีมากว่าเกี่ยวกับการที่พวกเขาจะนำในและถูกต้องจะต้องการที่จะมองหาการรับรองที่เหมาะสมหรือมีคุณสมบัติที่สามารถมีความหมายว่าความสามารถในการเป็นมืออาชีพ โชคดีที่มีความหลากหลายของรูปแบบในอุตสาหกรรมที่สามารถให้ความเชื่อมั่นดังกล่าว. ยกตัวอย่างเช่นมีสองตัวเลือกที่เกี่ยวข้องภายใน SANS ข้อมูลทั่วโลกประกันชุดรับรอง; คือ GIAC ได้รับการรับรองเจาะทดสอบ (GPEN) และ GIAC Web Application Penetration Tester (GWAPT). นอกจากนี้ตัวอย่างจากแหล่งอื่น ๆ รวมถึงการประกันข้อมูลการรับรองความคิดเห็นของคณะกรรมการได้รับการรับรองการเจาะทดสอบ (CPT) ที่ EC-Council ของ Hacker จริยธรรมได้รับการรับรองและสมาชิกต่างๆที่มีอยู่ ทั้งบุคคลและผู้ให้บริการผ่านสภาที่ลงทะเบียนทดสอบการรักษาความปลอดภัยทางจริยธรรม (CREST). แน่นอนหลักฐานแสดงความสามารถระดับมืออาชีพควรจะเป็นอะไรที่มากกว่าเพียงแค่มีทักษะทางเทคนิค ความเข้าใจและการยอมรับของการปฏิบัติทางจริยธรรมเป็นสิ่งสำคัญและความเชื่อมั่นของพื้นหลังของผู้สมัครบางคนก็จะเป็นประโยชน์ ยกตัวอย่างเช่น EC-Council ต้องการของสำหรับการอนุญาตให้สถานะเจาะทดสอบได้รับใบอนุญาตต้องมีผู้สมัครที่จะให้เอกสารที่จะแสดงให้ตรวจสอบประวัติอาชญากรรมสะอาด. อันที่จริงความคิดของการทดสอบปากกาค่อนข้างน่าเป็นห่วงมากขึ้นในสถานการณ์ลอบล่าสัตว์แล้วหันมาดูแลสัตว์ของแฮ็กเกอร์อดีตที่นำเสนอ บริการของพวกเขาในการทดสอบและระบบรักษาความปลอดภัยและเราจะต้องค่อนข้างแน่ใจว่าทุกคนที่ได้รับการสอนเทคนิคที่มีเข็มทิศสอดคล้องถูกต้องทางศีลธรรมและจะไม่ไปทำงานออกไปใช้พวกเขาอย่างไม่เหมาะสม. อะไรอยู่ในชื่อ? มีจริยธรรมที่กล่าวถึงอย่างใดอย่างหนึ่ง ด้านความสับสนที่อาจเกิดขึ้นคือการทดสอบการเจาะมักจะใช้สลับกันได้กับคำว่าแฮ็คจริยธรรม. แม้ว่าจะมีให้เห็นอย่างชัดเจนถึงความถูกต้องบางอย่างที่จะฉลาก (เช่นเรากำลังมองหาที่จะยกระดับความคิดสร้างสรรค์เดียวกันและทักษะที่แฮกเกอร์อาจจะจ้าง แต่ไม่มีแรงจูงใจที่เป็นอันตรายประกอบหรือ ผลกระทบก่อกวนที่ปกติอาจมากับพวกเขา) หมายถึงการลักลอบจริยธรรมนอกจากนี้ยังสามารถดูเป็นทางเลือกที่ไม่สบายใจบ้าง - ยังคงเล่นออกจาก 'ความเย้ายวนใจ' ที่เกี่ยวข้องกับการลักลอบระยะบวกอาจ muddying น่านน้ำรอบ ๆ ถูกต้องตามกฎหมาย (โดยเฉพาะอย่างยิ่งที่แฮกเกอร์บางคนได้รับ ที่รู้จักกันที่จะปกป้องการกระทำ unsanctioned โดยอ้างว่าพวกเขาได้รับการช่วยเผยให้เห็นจุดอ่อนด้านความปลอดภัย). ดังนั้นในขณะที่อาจจะมีการตีความเป็นมืออาชีพที่ตั้งใจไว้อย่างชัดเจนมันเป็นเรื่องง่ายที่จะเห็นว่าคำว่าอาจจะมีการบิดเบือนที่จะปรับ vigilantism ไซเบอร์และกิจกรรม unsanctioned อื่น ๆ ที่มี กระทำผิดอ้างว่าพวกเขามีการดำเนินงานด้วยความตั้งใจจริยธรรม. แน่นอนเราไม่ควรได้รับการแขวนเกินไปที่ชื่อ โดยไม่คำนึงถึงฉลากการทดสอบการเจาะอย่างชัดเจนสามารถทำให้ผลงานที่มีคุณค่าให้กับระบบเครือข่ายและความปลอดภัยทางกายภาพ ปัญหาที่สำคัญคือเพื่อให้แน่ใจว่าพารามิเตอร์ที่กำหนดไว้และเห็นด้วยและว่าการทดสอบจะดำเนินการจึงมีการอนุมัติเต็มรูปแบบขององค์กรที่เกี่ยวข้อง. แล้วถึงแม้มันไม่ได้โดยไม่มีความเสี่ยงและระบบการกลัวจะถูกรบกวนเป็นผลจากการที่ กิจกรรม อย่างไรก็ตามการใช้มืออาชีพของการทดสอบภายใต้สภาวะควบคุมหมายความว่าสิ่งที่มีแนวโน้มที่จะขึ้นและทำงานได้อีกครั้งอย่างรวดเร็วมากขึ้นกว่าถ้าสิ่งเดียวกันที่เกิดขึ้นต้องขอบคุณการโจมตีจริง
การแปล กรุณารอสักครู่..
สตีเว่น furnell และมาเรีย papadaki จากศูนย์รักษาความปลอดภัย การสื่อสาร และเครือข่ายวิจัยของมหาวิทยาลัย Plymouth อธิบายสิ่งที่มองหาในการเจาะทดสอบ
สอบมันละเมิดมักจะพบว่าพวกเขาอาจจะถูกป้องกันได้ถ้ามีการรักษาความปลอดภัยถูกทดสอบ แน่นอน เหตุการณ์หลายอย่างเกิดขึ้นเพราะผู้โจมตีสามารถได้รับในที่นั้นก็เป็นรูและ จะได้หลีกเลี่ยงได้ ถ้าได้กระทำเพื่อระบุและที่อยู่เหล่านี้ล่วงหน้า
ตัวอย่าง ดูจากผลสำรวจล่าสุดจากสถาบันความปลอดภัยคอมพิวเตอร์ ( CSI )มันเป็นสิ่งสำคัญที่พบมากที่สุดการกระทำต่อไปนี้เหตุการณ์ที่เกิดขึ้นจะแก้ไขช่องโหว่ซอฟต์แวร์ ( 62 เปอร์เซ็นต์ ) และแพทช์หรือรักษาโครงสร้างพื้นฐานฮาร์ดแวร์หรือเสี่ยง ( ร้อยละ 49 ) ตามการสำรวจการรักษาความปลอดภัยคอมพิวเตอร์ของสถาบัน ครั้งที่ 15 ประจำปี 2010 / 2011 ปราบปรามอาชญากรรมคอมพิวเตอร์และความปลอดภัย
ในขณะที่ส่วนหนึ่งของปัญหาอาจจะเอาชนะ ผ่านทางเว็บซึ่งระบอบการปกครองปัญหาของการจัดการช่องโหว่กว้างเกินแก้ไขข้อผิดพลาดและผู้ขายที่มายังรวมถึงการเพิ่มจุดอ่อนที่อาจเกิดขึ้นเพราะความผิดพลาดแบบท้องถิ่น โดยโครงสร้างพื้นฐาน และพฤติกรรมของผู้ใช้
นี้ไม่เพียงแต่ใช้กับการผลิตซอฟต์แวร์ แต่การควบคุมการรักษาความปลอดภัยและการตรวจสอบเครื่องมือเป็นอย่างดีมันเป็นสิ่งสำคัญที่จะค้นพบการตั้งค่าข้อผิดพลาดใด ๆที่อาจมีอยู่ในการรักษาความปลอดภัยโครงสร้างพื้นฐานที่มีอยู่ และเพื่อให้มั่นใจเสถียรภาพของตน ความรับผิดชอบต่อองค์กร ดังนั้น เพื่อให้แน่ใจว่าพวกเขาจะอยู่ด้านบนของปัญหา และอาจจะมีประโยชน์ที่แท้จริงที่จะได้รับจากโครงการเชิงรุกของการทดสอบความปลอดภัย
ส่วนพื้นฐานวิธีการที่จะดำเนินการตรวจสอบเพื่อให้แน่ใจว่า การควบคุมความปลอดภัยและการปฏิบัติตามมาตรฐานที่คาดหวัง ความมั่นใจมากขึ้นอาจเกิดขึ้นจากงานประเมินที่แสวงหาเพื่อจำลองผลกระทบของการโจมตีที่เกิดขึ้นจริง
ผลการทดสอบการเจาะเป็นยอมรับอย่างกว้างขวางด้านการรักษาความปลอดภัยกับ CSI สำรวจดังกล่าวเปิดเผยว่าบาง 34 ร้อยละของผู้ตอบแบบสอบถามที่ใช้บริการภายนอก เพื่อประเมินระบบของพวกเขา ในขณะที่ร้อยละ 41 อ้างว่าดำเนินการกิจกรรมดังกล่าวภายใน นอกจากนี้ การใช้จะเพิ่มกับข้อมูลเพิ่มเติมระบุว่า มากกว่าหนึ่งในสามขององค์กรคาดหวังที่จะเพิ่มค่าใช้จ่ายที่เกี่ยวข้องตามของเอินส์ท &ยอง 2010 ทั่วโลกการรักษาความปลอดภัยข้อมูลการสำรวจ
อย่างไรก็ตาม ในขณะที่การรับรู้การเติบโต องค์กรอาจจะยังคงเผชิญกับความท้าทายในการกำหนดวิธีการเข้าหาปัญหา ทั้งขอบเขตและการปฏิบัติของการทดสอบ โดยระบุการทดสอบการเจาะควรจะขยายเกินเทคโนโลยีเพื่อความกว้างองค์กรและบุคคลใน อย่างไรก็ตาม ด้านฐานข้อมูลมักจะมีแนวโน้มที่จะได้รับความสนใจน้อย
ตัวอย่าง ตาม&ยังสำรวจพบจากหนึ่งปี 2008 ในขณะที่ 85 เปอร์เซ็นต์ของผู้ตอบแบบสอบถามอ้างว่าการ ' ทดสอบ ' อินเทอร์เน็ตเพียง 46 ร้อยละทดสอบการเข้าถึงทางกายภาพเพื่อรักษาความปลอดภัยพื้นที่ 'และเพียง 19 เปอร์เซ็นต์ พยายามพยายาม ' วิศวกรรมทางสังคม ' กับพนักงานของพวกเขา .
ใจกลาง เป็นวิธีการแบบองค์รวมที่ควรพิจารณาโดยองค์กรใด ๆที่พิจารณาตัวเองเป็นจุดสนใจที่สุดของการโจมตีเป้าหมายตามที่กําหนด ผู้โจมตีจะเป็นแนวโน้มที่จะใช้ถนนเปิดให้พวกเขา ( ที่มีการใช้ประโยชน์จากจุดอ่อนของมนุษย์มีแนวโน้มที่จะเป็นทางเลือกที่พึงปรารถนา ถ้าเผชิญหน้ากับการป้องกันทางเทคนิคที่แข็งแกร่ง หรือเป็นจุดเริ่มต้นสำหรับบางคนที่ต้องการโจมตีอยู่แล้ว )
งานดี
นอกจากที่แสดงการเจริญเติบโตทั่วไปของผลการวิจัยที่ผ่านมายังเน้นการเจาะทดสอบ outsourced บ่อยที่สุดด้านความปลอดภัยกับเอินส์ท &หนุ่ม 2009 เปิดเผยว่า พบร้อยละ 55 แล้วถูกต้อง ในขณะที่อีกร้อยละ 18 พิจารณาตามของเอินส์ท &ยอง 2010 การสำรวจ
กับนี้ในจิตใจ องค์กรต้องแน่ใจมากเกี่ยวกับ ที่เขานำในและจะได้อยากหาที่เหมาะสมรับรองหรือคุณสมบัติที่สามารถบ่งบอกความสามารถระดับมืออาชีพ โชคดีที่ มีความหลากหลายของรูปแบบในอุตสาหกรรมที่สามารถให้เช่นประกัน
เช่น มีสองตัวเลือกที่เกี่ยวข้องภายในการงานทั่วโลกข้อมูลประกันรับรองชุดคือการเจาะทดสอบการรับรองหยัก ( gpen ) และหยักเว็บการเจาะทดสอบ ( gwapt )
อย่างเพิ่มเติมจากแหล่งอื่น ๆรวมถึงข้อมูลประกันรับรองคณะกรรมการได้รับการรับรองของการเจาะทดสอบ ( CPT ) , EC Council เป็น Hacker จริยธรรมได้รับการรับรอง ,และสมาชิกต่าง ๆ ที่สามารถใช้ได้กับบุคคลทั้งสองและผู้ให้บริการผ่านคณะกรรมการจริยธรรมการลงทะเบียนทดสอบ ( ยอด ) .
แน่นอน evidencing ความสามารถระดับมืออาชีพควรจะเกี่ยวกับมากกว่าเพียงแค่มีทักษะทางเทคนิค ความเข้าใจและการยอมรับของการปฏิบัติทางจริยธรรมเป็นสิ่งสำคัญ และประกันของพื้นหลังของผู้สมัครยังเป็นประโยชน์ตัวอย่างเช่น ความต้องการ EC สภาทำให้สถานะใบอนุญาตทดสอบการเจาะต้องการผู้สมัครต้องมีเอกสารแสดงการตรวจสอบประวัติอาชญากรรมที่สะอาด
จริงๆ ความคิดของปากกาทดสอบค่อนข้างน่าเป็นห่วงมากกว่าในกระทะเปิดเบาหวานสืบเนื่องสถานการณ์ของอดีตแฮกเกอร์เสนอบริการของพวกเขาเพื่อทดสอบและการรักษาความปลอดภัยระบบและเราต้องแน่ใจว่าทุกคนที่ได้รับการสอนเทคนิคมีชิดอย่างถูกต้องทางศีลธรรม เข็มทิศ และ ไม่ไปวิ่ง ไปใช้ไม่เหมาะสม
ในชื่ออะไร ?
มีกล่าวถึงจริยธรรม ความสับสนด้านหนึ่งอาจเป็นที่ทดสอบการเจาะมักจะใช้สลับกับคำว่าจริยธรรมแฮ็ค
แม้ว่าจะชัดเจนบางมีผลบังคับใช้ฉลาก ( เช่นเรากำลังมองหาการใช้ประโยชน์จากเดียวกันสร้างสรรค์และทักษะที่แฮกเกอร์อาจใช้ แต่ไม่มีอันตรายหรือผลกระทบกับแรงจูงใจก่อกวนที่ปกติอาจมากับพวกเขา ) หมายถึงจริยธรรม hacking ยังดูค่อนข้างอึดอัดทางเลือก - ยังคงเล่นออก ' เสน่ห์ ' เกี่ยวข้องกับคำว่าแฮ็กแถมบางที muddying น้ำรอบถูกต้องตามกฎหมาย ( โดยเฉพาะอย่างยิ่งที่ได้รับบางแฮกเกอร์ได้รับทราบเพื่อปกป้องการกระทำ unsanctioned โดยอ้างว่าพวกเขาได้ช่วยเปิดเผยจุดอ่อนความปลอดภัย )
ดังนั้น ในขณะที่มันอาจจะชัดเจนวัตถุประสงค์อาชีพล่าม , มันง่ายที่จะเห็นวิธีการที่ระยะอาจจะ misrepresented ว่าศาลเตี้ย ไซเบอร์ และกิจกรรมต่างๆ unsanctioned อื่น ๆกับผู้ที่อ้างว่าพวกเขาปฏิบัติการกับจริยธรรมความตั้งใจ
แน่นอน เราไม่ควรเอาไปแขวนขึ้นในชื่อ ไม่ว่าฉลาก การทดสอบการเจาะอย่างชัดเจนสามารถสร้างผลงานที่มีคุณค่าต่อระบบ , เครือข่ายและความปลอดภัยทางกายภาพ ปัญหาที่สำคัญคือเพื่อให้แน่ใจว่าพารามิเตอร์ที่กำหนดและตกลงกันและการทดสอบจึงดำเนินการด้วยการสนับสนุนเต็มรูปแบบขององค์กรที่เกี่ยวข้อง .
ก็เป็นไม่ได้โดยไม่มีความเสี่ยง และระบบที่น่ากลัวจะถูกทำลายเป็นผลของกิจกรรม อย่างไรก็ตามใช้ทดสอบมืออาชีพควบคุมสภาพหมายความว่าสิ่งที่มีแนวโน้มที่จะได้รับและทำงานอีกครั้งที่ไกลมากขึ้นอย่างรวดเร็วกว่าถ้าเรื่องแบบนี้เกิดขึ้นเพราะการต่อสู้ที่แท้จริง
สอบมันละเมิดมักจะพบว่าพวกเขาอาจจะถูกป้องกันได้ถ้ามีการรักษาความปลอดภัยถูกทดสอบ แน่นอน เหตุการณ์หลายอย่างเกิดขึ้นเพราะผู้โจมตีสามารถได้รับในที่นั้นก็เป็นรูและ จะได้หลีกเลี่ยงได้ ถ้าได้กระทำเพื่อระบุและที่อยู่เหล่านี้ล่วงหน้า
ตัวอย่าง ดูจากผลสำรวจล่าสุดจากสถาบันความปลอดภัยคอมพิวเตอร์ ( CSI )มันเป็นสิ่งสำคัญที่พบมากที่สุดการกระทำต่อไปนี้เหตุการณ์ที่เกิดขึ้นจะแก้ไขช่องโหว่ซอฟต์แวร์ ( 62 เปอร์เซ็นต์ ) และแพทช์หรือรักษาโครงสร้างพื้นฐานฮาร์ดแวร์หรือเสี่ยง ( ร้อยละ 49 ) ตามการสำรวจการรักษาความปลอดภัยคอมพิวเตอร์ของสถาบัน ครั้งที่ 15 ประจำปี 2010 / 2011 ปราบปรามอาชญากรรมคอมพิวเตอร์และความปลอดภัย
ในขณะที่ส่วนหนึ่งของปัญหาอาจจะเอาชนะ ผ่านทางเว็บซึ่งระบอบการปกครองปัญหาของการจัดการช่องโหว่กว้างเกินแก้ไขข้อผิดพลาดและผู้ขายที่มายังรวมถึงการเพิ่มจุดอ่อนที่อาจเกิดขึ้นเพราะความผิดพลาดแบบท้องถิ่น โดยโครงสร้างพื้นฐาน และพฤติกรรมของผู้ใช้
นี้ไม่เพียงแต่ใช้กับการผลิตซอฟต์แวร์ แต่การควบคุมการรักษาความปลอดภัยและการตรวจสอบเครื่องมือเป็นอย่างดีมันเป็นสิ่งสำคัญที่จะค้นพบการตั้งค่าข้อผิดพลาดใด ๆที่อาจมีอยู่ในการรักษาความปลอดภัยโครงสร้างพื้นฐานที่มีอยู่ และเพื่อให้มั่นใจเสถียรภาพของตน ความรับผิดชอบต่อองค์กร ดังนั้น เพื่อให้แน่ใจว่าพวกเขาจะอยู่ด้านบนของปัญหา และอาจจะมีประโยชน์ที่แท้จริงที่จะได้รับจากโครงการเชิงรุกของการทดสอบความปลอดภัย
ส่วนพื้นฐานวิธีการที่จะดำเนินการตรวจสอบเพื่อให้แน่ใจว่า การควบคุมความปลอดภัยและการปฏิบัติตามมาตรฐานที่คาดหวัง ความมั่นใจมากขึ้นอาจเกิดขึ้นจากงานประเมินที่แสวงหาเพื่อจำลองผลกระทบของการโจมตีที่เกิดขึ้นจริง
ผลการทดสอบการเจาะเป็นยอมรับอย่างกว้างขวางด้านการรักษาความปลอดภัยกับ CSI สำรวจดังกล่าวเปิดเผยว่าบาง 34 ร้อยละของผู้ตอบแบบสอบถามที่ใช้บริการภายนอก เพื่อประเมินระบบของพวกเขา ในขณะที่ร้อยละ 41 อ้างว่าดำเนินการกิจกรรมดังกล่าวภายใน นอกจากนี้ การใช้จะเพิ่มกับข้อมูลเพิ่มเติมระบุว่า มากกว่าหนึ่งในสามขององค์กรคาดหวังที่จะเพิ่มค่าใช้จ่ายที่เกี่ยวข้องตามของเอินส์ท &ยอง 2010 ทั่วโลกการรักษาความปลอดภัยข้อมูลการสำรวจ
อย่างไรก็ตาม ในขณะที่การรับรู้การเติบโต องค์กรอาจจะยังคงเผชิญกับความท้าทายในการกำหนดวิธีการเข้าหาปัญหา ทั้งขอบเขตและการปฏิบัติของการทดสอบ โดยระบุการทดสอบการเจาะควรจะขยายเกินเทคโนโลยีเพื่อความกว้างองค์กรและบุคคลใน อย่างไรก็ตาม ด้านฐานข้อมูลมักจะมีแนวโน้มที่จะได้รับความสนใจน้อย
ตัวอย่าง ตาม&ยังสำรวจพบจากหนึ่งปี 2008 ในขณะที่ 85 เปอร์เซ็นต์ของผู้ตอบแบบสอบถามอ้างว่าการ ' ทดสอบ ' อินเทอร์เน็ตเพียง 46 ร้อยละทดสอบการเข้าถึงทางกายภาพเพื่อรักษาความปลอดภัยพื้นที่ 'และเพียง 19 เปอร์เซ็นต์ พยายามพยายาม ' วิศวกรรมทางสังคม ' กับพนักงานของพวกเขา .
ใจกลาง เป็นวิธีการแบบองค์รวมที่ควรพิจารณาโดยองค์กรใด ๆที่พิจารณาตัวเองเป็นจุดสนใจที่สุดของการโจมตีเป้าหมายตามที่กําหนด ผู้โจมตีจะเป็นแนวโน้มที่จะใช้ถนนเปิดให้พวกเขา ( ที่มีการใช้ประโยชน์จากจุดอ่อนของมนุษย์มีแนวโน้มที่จะเป็นทางเลือกที่พึงปรารถนา ถ้าเผชิญหน้ากับการป้องกันทางเทคนิคที่แข็งแกร่ง หรือเป็นจุดเริ่มต้นสำหรับบางคนที่ต้องการโจมตีอยู่แล้ว )
งานดี
นอกจากที่แสดงการเจริญเติบโตทั่วไปของผลการวิจัยที่ผ่านมายังเน้นการเจาะทดสอบ outsourced บ่อยที่สุดด้านความปลอดภัยกับเอินส์ท &หนุ่ม 2009 เปิดเผยว่า พบร้อยละ 55 แล้วถูกต้อง ในขณะที่อีกร้อยละ 18 พิจารณาตามของเอินส์ท &ยอง 2010 การสำรวจ
กับนี้ในจิตใจ องค์กรต้องแน่ใจมากเกี่ยวกับ ที่เขานำในและจะได้อยากหาที่เหมาะสมรับรองหรือคุณสมบัติที่สามารถบ่งบอกความสามารถระดับมืออาชีพ โชคดีที่ มีความหลากหลายของรูปแบบในอุตสาหกรรมที่สามารถให้เช่นประกัน
เช่น มีสองตัวเลือกที่เกี่ยวข้องภายในการงานทั่วโลกข้อมูลประกันรับรองชุดคือการเจาะทดสอบการรับรองหยัก ( gpen ) และหยักเว็บการเจาะทดสอบ ( gwapt )
อย่างเพิ่มเติมจากแหล่งอื่น ๆรวมถึงข้อมูลประกันรับรองคณะกรรมการได้รับการรับรองของการเจาะทดสอบ ( CPT ) , EC Council เป็น Hacker จริยธรรมได้รับการรับรอง ,และสมาชิกต่าง ๆ ที่สามารถใช้ได้กับบุคคลทั้งสองและผู้ให้บริการผ่านคณะกรรมการจริยธรรมการลงทะเบียนทดสอบ ( ยอด ) .
แน่นอน evidencing ความสามารถระดับมืออาชีพควรจะเกี่ยวกับมากกว่าเพียงแค่มีทักษะทางเทคนิค ความเข้าใจและการยอมรับของการปฏิบัติทางจริยธรรมเป็นสิ่งสำคัญ และประกันของพื้นหลังของผู้สมัครยังเป็นประโยชน์ตัวอย่างเช่น ความต้องการ EC สภาทำให้สถานะใบอนุญาตทดสอบการเจาะต้องการผู้สมัครต้องมีเอกสารแสดงการตรวจสอบประวัติอาชญากรรมที่สะอาด
จริงๆ ความคิดของปากกาทดสอบค่อนข้างน่าเป็นห่วงมากกว่าในกระทะเปิดเบาหวานสืบเนื่องสถานการณ์ของอดีตแฮกเกอร์เสนอบริการของพวกเขาเพื่อทดสอบและการรักษาความปลอดภัยระบบและเราต้องแน่ใจว่าทุกคนที่ได้รับการสอนเทคนิคมีชิดอย่างถูกต้องทางศีลธรรม เข็มทิศ และ ไม่ไปวิ่ง ไปใช้ไม่เหมาะสม
ในชื่ออะไร ?
มีกล่าวถึงจริยธรรม ความสับสนด้านหนึ่งอาจเป็นที่ทดสอบการเจาะมักจะใช้สลับกับคำว่าจริยธรรมแฮ็ค
แม้ว่าจะชัดเจนบางมีผลบังคับใช้ฉลาก ( เช่นเรากำลังมองหาการใช้ประโยชน์จากเดียวกันสร้างสรรค์และทักษะที่แฮกเกอร์อาจใช้ แต่ไม่มีอันตรายหรือผลกระทบกับแรงจูงใจก่อกวนที่ปกติอาจมากับพวกเขา ) หมายถึงจริยธรรม hacking ยังดูค่อนข้างอึดอัดทางเลือก - ยังคงเล่นออก ' เสน่ห์ ' เกี่ยวข้องกับคำว่าแฮ็กแถมบางที muddying น้ำรอบถูกต้องตามกฎหมาย ( โดยเฉพาะอย่างยิ่งที่ได้รับบางแฮกเกอร์ได้รับทราบเพื่อปกป้องการกระทำ unsanctioned โดยอ้างว่าพวกเขาได้ช่วยเปิดเผยจุดอ่อนความปลอดภัย )
ดังนั้น ในขณะที่มันอาจจะชัดเจนวัตถุประสงค์อาชีพล่าม , มันง่ายที่จะเห็นวิธีการที่ระยะอาจจะ misrepresented ว่าศาลเตี้ย ไซเบอร์ และกิจกรรมต่างๆ unsanctioned อื่น ๆกับผู้ที่อ้างว่าพวกเขาปฏิบัติการกับจริยธรรมความตั้งใจ
แน่นอน เราไม่ควรเอาไปแขวนขึ้นในชื่อ ไม่ว่าฉลาก การทดสอบการเจาะอย่างชัดเจนสามารถสร้างผลงานที่มีคุณค่าต่อระบบ , เครือข่ายและความปลอดภัยทางกายภาพ ปัญหาที่สำคัญคือเพื่อให้แน่ใจว่าพารามิเตอร์ที่กำหนดและตกลงกันและการทดสอบจึงดำเนินการด้วยการสนับสนุนเต็มรูปแบบขององค์กรที่เกี่ยวข้อง .
ก็เป็นไม่ได้โดยไม่มีความเสี่ยง และระบบที่น่ากลัวจะถูกทำลายเป็นผลของกิจกรรม อย่างไรก็ตามใช้ทดสอบมืออาชีพควบคุมสภาพหมายความว่าสิ่งที่มีแนวโน้มที่จะได้รับและทำงานอีกครั้งที่ไกลมากขึ้นอย่างรวดเร็วกว่าถ้าเรื่องแบบนี้เกิดขึ้นเพราะการต่อสู้ที่แท้จริง
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ตัวเล็ก
- ทวีป
- exhausted
- The research problem in analysis regards
- รู้จัก
- Recommended commercial production practi
- Einfache Unterkunft landestippisch
- American meal and a cold drink celebrati
- I am noe a separate
- 较为
- I can't it first
- อาชีพในอนาคตของฉัน
- ใช่, ฉันจะไปศึกษาต่อและหางานทำ
- อุปสรรค
- wages
- Sensory and instrumental analyses were u
- เพราะราคามันค่อนข้างแพง
- ฉันมองหาสำหรับคู่ชีวิตที่ดี และยาวนานตลอ
- สภาพแวดล้อมในโรงเรียนมักจะมีการสอนที่ไม่
- ในโรงเรียนสอนให้จำแต่ไม่เข้าใจอย่างแท้จร
- bab
- i had gone tailad at 3months agoare you
- Early mechanizationK2Steam power andrail
- จริงๆฉันควรนอนได้แล้ว
