Paso 1: Formulación de su Plan de
Aprobación para el hacking ético es esencial. Hacer lo que estás haciendo conocido y visible, por lo menos a los responsables. El primer paso es obtener patrocinio del proyecto. Esto podría ser su administrador, un ejecutivo, su cliente o incluso a ti mismo si eres el jefe. Necesita alguien que te respalde y firmar su plan. De lo contrario, la prueba puede ser llamada apagado inesperadamente si alguien alega que nunca autorizaron a realizar las pruebas. La autorización puede ser tan simple como un memo interno o correo electrónico de su jefe si está realizando estas pruebas en sus propios sistemas. Si estás probando para un cliente, tener un contrato firmado, indicando el apoyo y autorización del cliente. Obtener aprobación por escrito de este patrocinio tan pronto como sea posible para asegurar que ninguno de su tiempo o esfuerzo se pierde. Esta documentación es tu tarjeta haz de cárcel libre si alguien cuestiona lo que estás haciendo, o peor aún, si las autoridades vienen llamando.Un desliz puede fallar sus sistemas — no necesariamente lo que alguien quiere. Necesitas un plan detallado, pero eso no significa que necesita volúmenes de procedimientos de prueba. Un ámbito bien definido incluye la siguiente información:
Sistemas de ●specific a probar: al seleccionar sistemas para probar, comenzar con los sistemas más críticos y procesos o la sospecha de ser los más vulnerables. Por ejemplo, puede probar contraseñas del ordenador, una aplicación Web a Internet, o intentar ataques de ingeniería social antes de taladrar por todos sus sistemas.
●Risks involucrados: vale la pena tener un plan de contingencia para el proceso de hacking ético en caso de que algo va mal. ¿Qué pasa si usted está evaluando su firewall o una aplicación Web y hacerla caer? Esto puede causar falta de disponibilidad de sistema, que puede reducir productividad rendimiento o empleado del sistema. Peor aún, podría causar pérdida de la integridad de los datos, pérdida de datos y hasta mala publicidad. ¡ Sin duda Marque una persona o dos y hacerte lucir mal. Manejar la ingeniería social y los ataques cuidadosamente. Determinar cómo pueden afectar los sistemas que está probando y toda la organización.
● Cuando se realizarán las pruebas y la línea de tiempo general: determinar cuándo se realizan las pruebas es algo que usted debe pensar largo y tendido sobre. ¿Realizar pruebas durante el horario normal? ¿Cuanto tarde en la noche o temprano por la mañana para que no afectaron los sistemas de producción? Involucrar a otros para asegurarse de que se apruebe de su tiempo. El mejor enfoque es un ataque sin límite, en donde es posible cualquier tipo de prueba a cualquier hora del día. Los malos no rompe en sus sistemas dentro de un alcance limitado, así que ¿por qué se debe? Algunas excepciones a este enfoque están realizando ataques DoS, ingeniería social y pruebas de seguridad física.
● Cómo mucho conocimiento de los sistemas que tienes antes de comenzar la prueba: no necesitas amplios conocimientos de los sistemas que está probando, sólo un conocimiento básico. Esta comprensión básica ayuda a protegerlo a usted y a los sistemas probados.
● Qué acción será tomada cuando se descubre una vulnerabilidad importante: no se detenga cuando haya encontrado un agujero de seguridad. Esto puede conducir a una falsa sensación de seguridad. Seguir yendo a ver qué más se puede descubrir. No tienes que seguir Pirateando hasta el final de los tiempos o hasta que se desplome todos sus sistemas; simplemente seguir el camino que vas hacia abajo hasta que usted no puede hackear ya (valga la redundancia). Si no has encontrado cualquier vulnerabilidad, no han mirado lo suficiente.
● Los entregables específicos: Esto incluye los informes de evaluación de seguridad y un alto nivel Informe exponiendo la vulnerabilidad general a abordar, junto con las contramedidas que deben implementarse.
