विषय
- क्या आपको वास्तव में एथिकल हैकर्स की आवश्यकता है?
- हैकर्स के तरीकों का ज्ञान
- पेनेट्रेटिव परीक्षण
- कमजोरियों की पहचान करना
- हमलों के लिए तैयारी
- नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
- निष्कर्ष
स्रोत: कैममेराडेव / ड्रीमस्टाइम डॉट कॉम
ले जाओ:
हैकिंग संगठनों के लिए एक बड़ा खतरा है, यही वजह है कि एथिकल हैकर्स अक्सर सुरक्षा अंतराल खोजने के लिए सबसे अच्छा समाधान होते हैं।
साइबर सुरक्षा खतरों की प्रकृति विकसित होती रहती है। जब तक सिस्टम इन खतरों का प्रबंधन करने के लिए विकसित नहीं होता, तब तक वे बैठे हुए बतख होंगे। जबकि पारंपरिक सुरक्षा उपाय आवश्यक हैं, ऐसे लोगों के दृष्टिकोण को प्राप्त करना महत्वपूर्ण है जो सिस्टम, या हैकर्स को संभावित रूप से धमकी दे सकते हैं। संगठन हैकर्स की एक श्रेणी को नैतिक या सफेद टोपी हैकर्स के रूप में जाना जाता है, जो सिस्टम भेद्यताओं की पहचान करने और उन्हें ठीक करने के लिए सुझाव प्रदान करने की अनुमति देता है। एथिकल हैकर्स, सिस्टम मालिकों या हितधारकों की व्यक्त सहमति के साथ, कमजोरियों की पहचान करने के लिए सिस्टम में घुसते हैं और विकासशील उपायों पर सिफारिशें प्रदान करते हैं। एथिकल हैकिंग सुरक्षा को समग्र और व्यापक बनाती है।
क्या आपको वास्तव में एथिकल हैकर्स की आवश्यकता है?
नैतिक हैकरों की सेवाओं को नियोजित करना निश्चित रूप से अनिवार्य नहीं है, लेकिन पारंपरिक सुरक्षा प्रणालियां बार-बार आकार और विविधता में बढ़ने वाले दुश्मन के खिलाफ पर्याप्त सुरक्षा प्रदान करने में विफल रही हैं। स्मार्ट और जुड़े उपकरणों के प्रसार के साथ, सिस्टम लगातार खतरे में हैं। वास्तव में, हैकिंग को वित्तीय रूप से एक आकर्षक एवेन्यू के रूप में देखा जाता है, बेशक संगठनों की कीमत पर। जैसा कि "प्रोटेक्ट योर मैकिंटोश" पुस्तक के लेखक ब्रूस श्नेयर ने कहा, "हार्डवेयर को सुरक्षित करना आसान है: इसे एक कमरे में बंद करें, इसे एक डेस्क पर जंजीर दें, या एक अतिरिक्त खरीद लें। सूचना एक समस्या का अधिक हिस्सा है। यह मौजूद हो सकती है। एक से अधिक स्थानों पर, आधे सेकेण्ड में पूरे ग्रह पर पहुँचाया जा सकता है, और आपकी जानकारी के बिना चोरी हो सकती है। " आपका आईटी विभाग, जब तक कि आपके पास एक बड़ा बजट नहीं है, तब तक हैकर्स के हमले से हीन साबित हो सकते हैं, और बहुमूल्य जानकारी चोरी हो सकती है, इससे पहले कि आप इसे महसूस कर सकें। इसलिए, यह नैतिक हैकरों को ब्लैक हैट हैकर्स के तरीकों को जानने के लिए अपनी आईटी सुरक्षा रणनीति में एक आयाम जोड़ने के लिए समझ में आता है। अन्यथा, आपका संगठन अनजाने में सिस्टम में खामियों को खुला रखने का जोखिम उठा सकता है।
हैकर्स के तरीकों का ज्ञान
हैकिंग को रोकने के लिए, यह समझना जरूरी है कि हैकर्स कैसे सोचते हैं। सिस्टम सुरक्षा में पारंपरिक भूमिकाएं केवल इतना ही कर सकती हैं जब तक कि हैकर की मानसिकता को पेश नहीं किया जाना चाहिए। जाहिर है, हैकर्स के तरीके पारंपरिक प्रणाली सुरक्षा भूमिकाओं को संभालने के लिए अद्वितीय और कठिन हैं। यह एक नैतिक हैकर को काम पर रखने के मामले को सेट करता है जो सिस्टम को एक दुर्भावनापूर्ण हैकर की तरह एक्सेस कर सकता है, और रास्ते में, किसी भी सुरक्षा खामियों की खोज कर सकता है।
पेनेट्रेटिव परीक्षण
पेन परीक्षण के रूप में भी जाना जाता है, सिस्टम कमजोरियों की पहचान करने के लिए मर्मज्ञ परीक्षण का उपयोग किया जाता है जो एक हमलावर को लक्षित कर सकता है। मर्मज्ञ परीक्षण के कई तरीके हैं। संगठन अपनी आवश्यकताओं के आधार पर विभिन्न तरीकों का उपयोग कर सकता है।
- लक्षित परीक्षण में संगठन के लोग और हैकर शामिल होते हैं। हैकिंग के प्रदर्शन के बारे में संगठन के कर्मचारी सभी जानते हैं।
- बाहरी परीक्षण वेब सर्वर और DNS जैसे सभी बाहरी रूप से उजागर सिस्टम में प्रवेश करता है।
- आंतरिक परीक्षण पहुँच विशेषाधिकार के साथ आंतरिक उपयोगकर्ताओं के लिए कमजोरियों को उजागर करता है।
- ब्लाइंड टेस्टिंग हैकर्स के असली हमलों का अनुकरण करती है।
परीक्षकों को लक्ष्य के बारे में सीमित जानकारी दी जाती है, जिससे उन्हें हमले से पहले टोही प्रदर्शन करना पड़ता है। एथिकल हैकर्स को काम पर रखने के लिए पेनेट्रेटिव टेस्टिंग सबसे मजबूत मामला है। (अधिक जानने के लिए, पेनेट्रेशन परीक्षण और सुरक्षा और जोखिम के बीच नाजुक संतुलन देखें।)
कमजोरियों की पहचान करना
कोई भी सिस्टम हमलों के लिए पूरी तरह से प्रतिरक्षा नहीं है। फिर भी, संगठनों को बहुआयामी सुरक्षा प्रदान करने की आवश्यकता है। एथिकल हैकर का प्रतिमान एक महत्वपूर्ण आयाम जोड़ता है। एक अच्छा उदाहरण विनिर्माण क्षेत्र में एक बड़े संगठन के मामले का अध्ययन है। संगठन सुरक्षा व्यवस्था के संदर्भ में अपनी सीमाओं को जानता था, लेकिन अपने दम पर बहुत कुछ नहीं कर सकता था। इसलिए, उसने अपनी प्रणाली सुरक्षा का आकलन करने और अपने निष्कर्षों और सिफारिशों को प्रदान करने के लिए एथिकल हैकर्स को काम पर रखा। रिपोर्ट में निम्नलिखित घटक शामिल थे: अधिकांश कमजोर बंदरगाह जैसे कि Microsoft RPC और दूरस्थ प्रशासन, सिस्टम सुरक्षा सुधार सिफारिशें जैसे कि एक घटना प्रतिक्रिया प्रणाली, एक भेद्यता प्रबंधन कार्यक्रम की पूर्ण तैनाती और सख्त दिशानिर्देशों को और अधिक व्यापक बनाना।
हमलों के लिए तैयारी
अटैक अपरिहार्य है चाहे कोई भी सिस्टम कितना भी मजबूत क्यों न हो। आखिरकार एक हमलावर को एक भेद्यता मिलेगी या दो। यह लेख पहले ही कह चुका है कि सिस्टम चाहे कितना भी गढ़ा हुआ क्यों न हो, साइबर अटैक अपरिहार्य है। इसका मतलब यह नहीं है कि संगठनों को अपनी प्रणाली सुरक्षा को रोकना चाहिए - वास्तव में, इसके विपरीत। साइबर हमले विकसित हो रहे हैं और क्षति को रोकने या कम करने का एकमात्र तरीका अच्छी तैयारी है। हमलों के खिलाफ सिस्टम तैयार करने का एक तरीका नैतिक हैकरों को पहले से कमजोरियों की पहचान करने की अनुमति देना है।
इसके कई उदाहरण हैं और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी (डीएचएस) के उदाहरण पर चर्चा करना उचित है। डीएचएस एक बहुत बड़ी और जटिल प्रणाली का उपयोग करता है जो गोपनीय डेटा के विशाल संस्करणों को संग्रहीत और संसाधित करता है। डेटा उल्लंघन एक गंभीर खतरा है, और राष्ट्रीय सुरक्षा के लिए खतरा है। DHS ने महसूस किया कि ब्लैक हैट हैकर्स के द्वारा एथिकल हैकर्स को अपने सिस्टम में सेंध लगाने के लिए तैयार करने के स्तर को बढ़ाने के लिए एक स्मार्ट तरीका था। इसलिए, हैक डीएचएस अधिनियम पारित किया गया था, जो चुनिंदा एथिकल हैकर्स को डीएचएस सिस्टम में तोड़ने की अनुमति देगा। अधिनियम में विस्तार से बताया गया है कि पहल कैसे काम करेगी। नैतिक हैकरों के एक समूह को डीएचएस सिस्टम में सेंध लगाने और कमजोरियों की पहचान करने के लिए काम पर रखा जाएगा, यदि कोई हो। पहचान की गई किसी भी नई भेद्यता के लिए, एथिकल हैकर्स को आर्थिक रूप से पुरस्कृत किया जाएगा। नैतिक हैकर अपने कार्यों के कारण किसी भी कानूनी कार्रवाई के अधीन नहीं होंगे, हालांकि उन्हें कुछ बाधाओं और दिशानिर्देशों के तहत काम करना होगा। इस अधिनियम ने सभी नैतिक हैकरों के लिए कार्यक्रम में भाग लेने के लिए पूरी तरह से पृष्ठभूमि की जाँच के माध्यम से जाना अनिवार्य कर दिया। डीएचएस की तरह, प्रतिष्ठित संगठन लंबे समय से सिस्टम सुरक्षा तैयारियों के स्तर को बढ़ाने के लिए एथिकल हैकर्स को काम पर रख रहे हैं। (सामान्य रूप से सुरक्षा पर अधिक जानकारी के लिए, आईटी सुरक्षा के 7 मूल सिद्धांत देखें।)
नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
जब कोई भी सॉफ़्टवेयर गुणवत्ता की परवाह नहीं करता है तो आप अपने प्रोग्रामिंग कौशल में सुधार कर सकते हैं।
निष्कर्ष
उद्यम प्रणालियों की सुरक्षा के लिए नैतिक हैकिंग और पारंपरिक आईटी सुरक्षा दोनों को एक साथ काम करने की आवश्यकता है। हालांकि, उद्यमों को एथिकल हैकिंग की दिशा में अपनी रणनीति बनाने की जरूरत है। वे शायद एथिकल हैकिंग की ओर डीएचएस नीति से एक पत्ता निकाल सकते हैं। नैतिक हैकरों की भूमिका और कार्यक्षेत्र को स्पष्ट रूप से परिभाषित करने की आवश्यकता है; यह महत्वपूर्ण है कि उद्यम चेक और बैलेंस बनाए रखे ताकि हैकर नौकरी के दायरे से अधिक न हो या सिस्टम को कोई नुकसान न पहुंचाए। उद्यम को नैतिक हैकर्स को यह आश्वासन देने की भी आवश्यकता है कि उनके अनुबंध द्वारा परिभाषित उल्लंघन के मामले में कोई कानूनी कार्रवाई नहीं की जाएगी।