Eisen voor een Security Consultant
Er zijn bepaalde eisen waaraan je moet voldoen om een effectieve penetratie tester in een freelance consultant rol. De eisen gaan met uw niveau van veiligheid vaardigheden, uw systemen en netwerk kennis, de diepte en breedte van hulpmiddelen tot uw beschikking, en het OS en de hardware waarop je ze gebruikt. Ook kritisch is uw aandacht voor het bijhouden van gegevens en het onderhoud van de ethiek van de veiligheid. Potentiële werkgevers van security consultants verrichten penetratie diensten moeten de volgende lijst overwegen voordat het inhuren van een consultant. Skill SetEen security consultant moet ten minste op het niveau van systeembeheerder (tier-twee hacker) om effectief om de veiligheid adviesdiensten verlenen. Dit wil niet zeggen dat script kiddies niet erkennen beveiligingsfouten of niet kan hack-zoals eerder gezegd, doen ze vaak meer schade dan hackers op een ander niveau. Script kiddies over het algemeen niet over een volledig inzicht in de tools en exploits die zij gebruiken, en daarom missen kritische gaten of potentieel schade-systemen. Als een betaalde adviseur, wordt u naar verwachting definitief bevestigen wat je doet en alle mogelijke gevolgen van uw acties kunnen hebben. Concreet moet u in staat om uw keuze van gereedschap, waarom je het gebruikt, en wat je gebruiken voor tijdens het testen te verdedigen. U bent ook verwacht te beantwoorden en alle vragen met betrekking tot een configuratie tool. Sommige van deze security tools kunnen veroorzaken aanzienlijke schade of uitval tot netwerken, zo niet goed gebruikt. Aan het einde van de test wordt u gevraagd om articuleren de methode gebruikt om de systemen te dringen en om aanbevelingen te leveren over hoe de beveiligingslekken die tijdens het testen vast te stellen. KennisSuccesvolle security consultants moet bekend zijn met verschillende stukken van de technologie, zoals firewalls, intrusion detection systemen, sniffers, audit tools, authenticatie-mechanismen van de lijst gaat maar door. Hoewel het zeker aan te raden is om een expert in zo veel mogelijk technologieën, de tester moet op zijn minst vertrouwd zijn met hoe de technologie werkt (en de producten die de uitvoering van de technologie) om te zoeken naar manieren om de veiligheid die deze systemen bieden. De tester moet worden deskundig in alle belangrijke besturingssystemen (Windows, UNIX, Mac OS, Novell en mogelijk) en een deskundige in een. Diepgaande kennis van TCP / IP-protocollen en netwerken is vereist. Kennis van de toepassing programmeren of in het verleden programmering ervaring kan ook nuttig zijn, omdat veel nieuwe exploits voortdurend worden vrijgegeven als "werkende" code met af en toe gebreken. Die ervaring komt goed van pas bij het schrijven van diverse aanvallen, zoals buffer overflows. De tester moet in staat zijn verschillende hacking-tools, scripts en exploits gebruiken om te testen voor bekende bugs en kwetsbaarheden. Voorts dient de tester toegang hebben tot diensten die kwetsbaarheid kan houden hem of haar de hoogte van de nieuwste hacking-tools, scripts en exploits evenals nieuwe security bugs ontdekt in alle grote hardware, software en besturingssystemen. Dit heeft niet te zijn een betaalde dienst, maar het moet betrouwbaar zijn en up-to-date, en het moet informatie geven over hoe de exploitatie van bekende bugs en een uitgebreide verzameling van exploits en tools aan te bieden. Houden van de huidige op de laatste ontwikkelingen en trends is essentieel voor een succesvolle security consultant. De security consultant moet zich abonneren op en deel te nemen in een verzameling van veiligheid e-mail lijsten. Naast het lezen van technisch materiaal moet, security consultants op gezette tijden wat wordt geplaatst op "ondergrondse" websites. De beste manier om te verdedigen tegen bedreigingen of te exploiteren is te begrijpen zijn. GereedschapskitConsultants ontwikkelen van een verzameling van nuttige software, een tool kit, met tools en scripts voor het uitvoeren van alle vormen van zekerheid, zoals het testen van de kwetsbaarheid, penetratie testen, dial-in penetratie, internetpenetratie, denial of service, password cracking, buffer overflows, en risicobeoordelingen. Deze tool set moet betrekking hebben op zowel de Windows (9x/NT/2000) en de UNIX (met inbegrip van de varianten, Linux, HP / UX, AIX, IRIX, DG / UX, de BSD's, enzovoort) besturingssystemen. Als uw eigen techniek is ontwikkeld, kan je tools die beter voor uw stijl. HardwarePenetratie testen gebruikt vaak veel CPU-tijd en bandbreedte. Hoe krachtiger de machine, hoe beter het rendement. Wij hebben geconstateerd dat een dual-boot Linux / NT laptop (met de nieuwste CPU, de meest RAM, en zo snel als mogelijk) voor een adequate configuratie worden. Een laptop is vaak beter dan een desktop omdat is mogelijk voor mobiliteit. Running VMWare kunt u beide besturingssystemen tegelijk draaien. Dit voegt gemak, in het algemeen dat er instrumenten beschikbaar zijn voor ten minste een van deze omgevingen, maar het kost meer in termen van processor snelheid en geheugen. Bovendien, het runnen van een toetsaanslag capture utility is een effectieve manier om de test log. Deze hulpprogramma's opnemen en tijdstempel van alle activiteiten op de toetsaanslag niveau, tot op zekere hoogte verlading het bijhouden last van u naar de laptop. BijhoudenKeeping accurate, gedetailleerde documentatie is een kritieke activiteit voor een penetratie tester. Wij raden uw gegevens bieden voldoende gedetailleerd zijn om opnieuw de penetratie test stappen. In het ongelukkige geval dat een bedrijf moet claim dat een consultant verantwoordelijk is voor schade als gevolg van de penetratie testen, de herziening van de dossiers zal de eerste stap bij het oplossen van het probleem. Het record moet detail alles dat werd uitgevoerd tijdens het testen, met inbegrip van gebruikte elk instrument en elke uitgegeven commando en de systemen of IP-adressen waartegen ze werden gebruikt. Een nuttige praktijk is om uw procedures document als je ze te voeren en het laatste deel van de dag gebruiken om het type van uw notities en uw resultaten. Af en toe een systeembeheerder kan beschuldigen van een tester verantwoordelijk voor aanslagen die plaatsvonden vóór of na het werk werd uitgevoerd. Om te verdedigen tegen deze beschuldigingen, wordt gedetailleerde documentatie vereist. Logs van een toetsaanslag capture utility evenals uw eigen notities vormen de basis van de verdediging. Niet alleen is het belangrijk op te sporen van de acties die zijn uitgevoerd gedurende de penetratie testen te houden, is het ook belangrijk om bij te houden van alle informatie verzameld over uw klant. Dit kan informatie bevatten over de tekortkomingen in het netwerk van de cliënt, wachtwoord bestanden, het bedrijfsproces, en alle intellectuele eigendom, zoals documentatie over gepatenteerde processen. Het is belangrijk om deze informatie te bewaren, zodat u kan presenteren aan de klant te controleren of u in staat waren om deze te openen en om het belang van de zwakke punten die mag u het verkrijgen van stress. Maar alle informatie verkregen van de cliënt moet worden behandeld als zeer vertrouwelijk. Als deze informatie was om eruit te komen, om een hacker of een concurrerend bedrijf, kan het stellen van de klant op belangrijke nadelige concurrentiepositie, wat leidt tot een verlies van kapitaal. Bovendien is het nieuws van een succesvolle penetratie test kan ook leiden tot een daling van het consumentenvertrouwen. EthiekPenetratie testen engagementen zijn gebonden door de omvang en de lengte vastgelegd in de regels van het engagement. Deze regels zijn gespecificeerd door de klant en de organisatie in staat te voelen comfortabel genoeg om de tests te laten gaan. Deze regels om kwesties van denial of service, contactgegevens, de reikwijdte van het project, en tijdschema's. Deze informatie geeft de grenzen van de betrokkenheid en kan niet verkeerd worden geïnterpreteerd. Het gaat hier om vertrouwen. Een van de belangrijkste dingen security consultants hebben aan hun klanten bieden is zekerheid en het vertrouwen dat, terwijl de adviseur onderzoekt de veiligheid van de cliënt, worden ze niet aanplant terug deuren of afbreuk te doen aan het netwerk van de cliënt. Helaas is er geen script of tool dat de integriteit van de consultant garanties. Elke consultant moet zorgvuldig bescherming van zijn of haar integriteit op elke betrokkenheid en opdracht. Als je integriteit in twijfel wordt getrokken, zelfs een keer, zul je niet herstellen van de beschuldiging. Er is weinig ruimte voor fouten, ongelukken of problemen. Penetratie test vereist dat de klant naar een veel vertrouwen te geven aan een consultant. Dat vertrouwen moet worden beschermd. een artikel afkomstig van Abraham Humphrey
|
|||||
|