视频: 中国蜥蜴人共产党本质就是蜥蜴人杀人党(脑控暗杀2亿人中国人类) 2024
你的测试计划需要目标。道德黑客行动的主要目标是从坏人的角度来发现系统中的漏洞,以便让您的环境更加安全。然后,您可以更进一步:
-
定义更具体的目标。 将这些目标与您的业务目标对齐。你和管理层试图从这个过程中得到什么?您将使用哪些性能标准来确保您从测试中获得最大收益?
<! - 1 - > -
创建一个具有开始日期和结束日期的具体时间表以及您的测试发生的时间。 这些日期和时间是整个计划的重要组成部分。
在开始任何测试之前,您绝对需要一切必要的书面和批准。记录一切,并在这个过程中涉及管理。在您的测试工作中,您最好的盟友是支持您正在做的事情的经理。
<!当您定义道德黑客计划的目标时,以下问题可以开始小心:您的测试是否支持业务及其IT和安全部门的使命?
-
执行道德黑客行为能够达到什么样的商业目标?
-
这些目标可能包括以下内容: 通过关于认证参与标准(SSAE)的声明16审核
-
<!符合联邦法规,例如健康保险流通与责任法案(HIPAA)和支付卡行业数据安全标准(PCI DSS)
满足客户或业务合作伙伴的合同要求 -
维护公司形象
-
准备ISO / IEC 27001:2013国际认可的安全标准
-
这项测试将如何提高安全性,IT和整体业务?
-
你要保护哪些信息?
-
-
这可能是个人健康信息,知识产权,机密客户信息或员工的私人信息。
-
您和您的组织愿意花费多少钱,时间和精力进行安全评估? 会有什么特定的交付物?
-
可交付成果
-
可以包含任何内容,从高级执行报告到详细的技术报告,以及您测试的内容,以及测试的结果。您可以提供在测试过程中收集的特定信息,例如密码和其他机密信息。 你想要什么特定的结果?期望的结果包括聘用或外包安全人员的理由,增加安全预算,满足合规要求或增强安全系统。 在了解了自己的目标之后,记下到达目标的步骤。例如,如果一个目标是发展竞争优势以保留现有客户并吸引新客户,请确定这些问题的答案:
-
您何时开始测试? 您的测试方法是否是
盲注,
-
其中您对测试系统一无所知,或
-
知识为基础, 你正在测试的系统,如IP地址,主机名,甚至用户名和密码? 您的测试是技术性的,涉及物理安全评估,甚至是使用社交工程? 你会成为一个更大的道德黑客团队的一部分,有时被称为 虎队
-
或
-
红队? 你会通知受影响的各方你在做什么以及什么时候做?如果是这样,怎么样?客户通知是一个关键问题。许多客户都很欣赏你正在采取措施来保护他们的信息。以积极的方式进行测试。不要说,“我们正在打入我们自己的系统,看看哪些信息容易受到黑客的攻击”,即使这就是你正在做的。相反,说你正在评估你的网络环境的整体安全性,以便信息尽可能安全。 您怎么知道客户是否关心您在做什么? 您如何通知客户本组织正在采取措施加强其信息的安全性?什么测量可以确保这些努力得到回报?确定你的目标需要时间,但是你不会后悔的。这些目标是你的路线图。如果您有任何疑虑,请参阅这些目标以确保您保持正轨。
