Isi
- Apakah Anda Benar-Benar Membutuhkan Peretas Etis?
- Pengetahuan Metode Peretas
- Pengujian Penetrative
- Identifikasi Kerentanan
- Kesiapan untuk Serangan
- Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
- Kesimpulan
Sumber: Cammeraydave / Dreamstime.com
Bawa pulang:
Peretasan adalah ancaman besar bagi organisasi, itulah sebabnya peretas etis seringkali merupakan solusi terbaik untuk menemukan celah keamanan.
Sifat ancaman keamanan siber terus berkembang. Kecuali jika sistem berevolusi untuk mengelola ancaman ini, mereka akan menjadi bebek. Sementara langkah-langkah keamanan konvensional diperlukan, penting untuk mendapatkan perspektif orang yang berpotensi mengancam sistem, atau peretas. Organisasi telah memungkinkan kategori peretas, yang dikenal sebagai peretas etis atau white hat, untuk mengidentifikasi kerentanan sistem dan memberikan saran untuk memperbaikinya. Peretas etis, dengan persetujuan tegas dari pemilik sistem atau pemangku kepentingan, menembus sistem untuk mengidentifikasi kerentanan dan memberikan rekomendasi untuk meningkatkan langkah-langkah keamanan. Peretasan etis menjadikan keamanan holistik dan komprehensif.
Apakah Anda Benar-Benar Membutuhkan Peretas Etis?
Tentu saja tidak wajib menggunakan layanan peretas etis, tetapi sistem keamanan konvensional telah berulang kali gagal memberikan perlindungan yang memadai terhadap musuh yang tumbuh dalam ukuran dan variasi. Dengan menjamurnya perangkat pintar dan terhubung, sistem terus-menerus terancam. Sebenarnya, peretasan dipandang sebagai jalan yang menguntungkan secara finansial, tentu saja dengan mengorbankan organisasi. Seperti yang dikatakan Bruce Schneier, penulis buku "Protect Your Macintosh", "Perangkat keras mudah dilindungi: kunci di kamar, rantainya di meja, atau beli cadangan. Informasi menimbulkan lebih banyak masalah. Itu bisa ada di lebih dari satu tempat; diangkut setengah jalan melintasi planet ini dalam hitungan detik; dan dicuri tanpa sepengetahuan Anda. " Departemen TI Anda, kecuali Anda memiliki anggaran yang besar, dapat terbukti kalah dengan serangan peretas, dan informasi berharga dapat dicuri sebelum Anda menyadarinya. Karena itu, masuk akal untuk menambahkan dimensi pada strategi keamanan TI Anda dengan mempekerjakan peretas etis yang mengetahui cara peretas topi hitam. Jika tidak, organisasi Anda mungkin berisiko tanpa sadar membuat celah terbuka di sistem.
Pengetahuan Metode Peretas
Untuk mencegah peretasan, penting untuk memahami bagaimana peretas berpikir. Peran konvensional dalam keamanan sistem hanya dapat melakukan banyak hal sampai pola pikir hacker harus diperkenalkan. Jelas, cara-cara peretas itu unik dan sulit untuk ditangani oleh peran keamanan sistem konvensional. Ini menetapkan alasan untuk mempekerjakan peretas etis yang dapat mengakses sistem seperti peretas jahat, dan dalam perjalanan, menemukan celah keamanan apa pun.
Pengujian Penetrative
Juga dikenal sebagai pengujian pena, pengujian penetrasi digunakan untuk mengidentifikasi kerentanan sistem yang dapat ditargetkan oleh penyerang. Ada banyak metode pengujian penetrasi. Organisasi dapat menggunakan metode yang berbeda tergantung pada persyaratannya.
- Pengujian yang ditargetkan melibatkan organisasi orang dan peretas. Staf organisasi semua tahu tentang peretasan yang dilakukan.
- Pengujian eksternal menembus semua sistem yang terpapar eksternal seperti server web dan DNS.
- Pengujian internal mengungkap kerentanan yang terbuka untuk pengguna internal dengan hak akses.
- Pengujian buta mensimulasikan serangan nyata dari peretas.
Penguji diberi informasi terbatas tentang target, yang mengharuskan mereka untuk melakukan pengintaian sebelum serangan. Pengujian penetrasi adalah kasus terkuat untuk mempekerjakan peretas etis. (Untuk mempelajari lebih lanjut, lihat Pengujian Penetrasi dan Keseimbangan Halus Antara Keamanan dan Risiko.)
Identifikasi Kerentanan
Tidak ada sistem yang sepenuhnya kebal terhadap serangan. Namun, organisasi perlu memberikan perlindungan multidimensi. Paradigma hacker etis menambah dimensi penting. Contoh yang baik adalah studi kasus dari sebuah organisasi besar dalam domain manufaktur. Organisasi tahu keterbatasannya dalam hal keamanan sistem, tetapi tidak bisa berbuat banyak sendiri. Jadi, ia merekrut peretas etis untuk menilai keamanan sistemnya dan memberikan temuan serta rekomendasinya. Laporan tersebut terdiri dari komponen-komponen berikut: pelabuhan paling rentan seperti Microsoft RPC dan administrasi jarak jauh, rekomendasi peningkatan keamanan sistem seperti sistem respons insiden, penyebaran penuh program manajemen kerentanan dan membuat pedoman pengerasan menjadi lebih komprehensif.
Kesiapan untuk Serangan
Serangan tidak terhindarkan tidak peduli seberapa kuat sistem itu. Akhirnya penyerang akan menemukan satu atau dua kerentanan. Artikel ini telah menyatakan bahwa serangan dunia maya, terlepas dari sejauh mana suatu sistem diperkuat, tidak dapat dihindari. Itu tidak berarti organisasi harus berhenti memperkuat keamanan sistem mereka - justru sebaliknya. Serangan cyber telah berkembang dan satu-satunya cara untuk mencegah atau meminimalkan kerusakan adalah kesiapan yang baik. Salah satu cara untuk mempersiapkan sistem melawan serangan adalah dengan memungkinkan peretas etis mengidentifikasi kerentanan sebelumnya.
Ada banyak contoh tentang hal ini dan terkait untuk membahas contoh Departemen Keamanan Dalam Negeri AS (DHS) A.S. DHS menggunakan sistem yang sangat besar dan kompleks yang menyimpan dan memproses data rahasia dalam jumlah besar. Pelanggaran data merupakan ancaman serius, dan sama dengan mengancam keamanan nasional. DHS menyadari bahwa membuat peretas etis membobol sistemnya sebelum peretas topi hitam melakukannya adalah cara cerdas untuk meningkatkan tingkat kesiapsiagaan. Jadi, Hack DHS Act disahkan, yang akan memungkinkan peretas etis terpilih untuk masuk ke sistem DHS. Undang-undang itu menjabarkan secara rinci bagaimana inisiatif itu akan bekerja. Sekelompok peretas etis akan disewa untuk masuk ke sistem DHS dan mengidentifikasi kerentanan, jika ada. Untuk setiap kerentanan baru yang diidentifikasi, peretas etis akan diberi imbalan finansial. Peretas etis tidak akan dikenakan tindakan hukum apa pun karena tindakan mereka, meskipun mereka harus bekerja di bawah batasan dan pedoman tertentu. Undang-undang itu juga mewajibkan semua peretas etis yang berpartisipasi dalam program harus melalui pemeriksaan latar belakang menyeluruh. Seperti DHS, organisasi terkenal telah merekrut peretas etis untuk meningkatkan tingkat kesiapan keamanan sistem untuk waktu yang lama. (Untuk lebih lanjut tentang keamanan secara umum, lihat 7 Prinsip Dasar Keamanan TI.)
Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda
Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.
Kesimpulan
Baik peretasan etis dan keamanan TI konvensional perlu bekerja bersama untuk melindungi sistem perusahaan. Namun, perusahaan perlu memikirkan strategi mereka menuju peretasan etis. Mereka mungkin dapat mengambil langkah keluar dari kebijakan DHS menuju peretasan etis. Peran dan ruang lingkup peretas etis perlu didefinisikan dengan jelas; adalah penting bahwa perusahaan memelihara pemeriksaan dan keseimbangan sehingga peretas tidak melebihi ruang lingkup pekerjaan atau menyebabkan kerusakan pada sistem. Perusahaan juga perlu memberi jaminan kepada peretas etis bahwa tidak ada tindakan hukum yang akan diambil jika terjadi pelanggaran sebagaimana ditentukan oleh kontrak mereka.