出於书本 Chapter 1. Introduction to Ethical Hacking
骇客 (hackers) 最一开始指那些喜欢探索挖掘电脑系统运作的原理的人。後来才演进到指某些想藉由各种方式破坏系统的以获取丰厚利润的人。他们窜改、删除以及窃取关键资讯,常造成其他人的惨剧。
恶意使用者 (malicious internal users, or internal attackers) 指的是组织内部的成员,滥用自己被授权的身份,泄漏或是破坏敏感资讯与机密。
恶意攻击者 (malicious attackers) ,就是骇客与恶意使用者总称。作者在书里会根据思考模式以及使用技术的不同,才会将恶意攻击者分别以骇客或是恶意使用者称之。
伦理骇客(Ethical Hacker)必须具备骇客的技能、思考方式以及工具,而且是要能被信任的喔!因为他们需要使用这些替系统做安全性测试,保护系统免於恶意使用以及被攻击。
安全性稽核,组织内的用来验证是否有做安全性管控的流程,最直觉的会有一张检点表 (Checking List) 来检查组织内有哪些安全性策略 (Security Policy) 有被采用。
相较於安全性稽核是透过列举已知的安全性项做检查与确认,伦理骇客行为,则是专注在组织内是否有任何的弱点可能会被攻击,探索还有哪些安全性项目是没有被管理到的。
若一但公司打算采用伦理骇客的方式测试降低各种面向的风险,作者认为一份安全性测试策略文件是必须的,文件包含
安全性策略还会有一些项目需要考虑,比如组织所属的产业,像是信用卡业或保险业等等,其所在的地区、甚至是否有全球性的法规需要遵守。这些法规对於安全性稽核的程度与要求会不同,还有甚至需要定期提供安全性报告。
想要抓贼,就必须使用他们的方式思考
法律在大部分对抗安全性是有效的。但是,随着骇客的数目越来越多、骇客学习的新知越来越多,无论是组织或是系统存在的弱点也会越来越多。为了保护系统,除了大家熟知的弱点项目,更要学习骇客的手法,也就是怎麽找到系统的弱点。
读到这,原来耳熟能详的像是防火墙、加密、与密码会创造一种安全性的错觉。我想作者不是要说这些东西不需要,而是提醒大家,除了有这些基本的存取控制 ( basic access control ) 外,使用骇客的思考模式来验证系统的安全程度,有机会提早发现提早治疗。否则,就像是潜在因子般,被攻击可能只是时间的问题。
但是,不可能保护所有的东西,除非断网路线且永世隔离在某处。能做的且重要的,就是透过已知的弱点以及骇客手法保护系统,这就是伦理骇客。
伦理骇客的目标
有够长的第一章,明天继续
对於习惯使用windows在开发大部分工作的开发者来说,如果想要同时开发适合在Linux-based...
【前言】 本系列为个人前端学习之路的学习笔记,在过往的学习过程中累积了很多笔记,如今想藉着IT邦帮忙...
面包屑 为提供网站里的导航,让使用者容易了解当下所在的位置 刚好也呼应前一天使用 router 的部...
今天也是跟昨天一样,要来练习比较难的题目,就是APCS啦,今天要来练习的题目是APCS 106年3月...
找了30篇奇葩奖素材,最吸引废宅的就是着一篇新闻惹 资料来源:ithome 日本资安战略大臣樱田义孝...