منظور از هک اخلاقی در امنیت سایبری چیست؟

4 دقیقه خواندن شاهو 570 Views

 

همانطور که دنیای دیجیتال به توسعه و پیشرفت سریع ادامه می‌دهد، جرایم سایبری نیز انجام می‌شود. مجرمان، به ویژه مجرمان سایبری، دیگر نیازی به ترک منطقه امن خود برای ارتکاب جرم ندارند. آنها تنها با چند کلیک ماوس و یک اتصال اینترنتی قوی به نتایج دلخواه می‌رسند. برای مبارزه با این روند زشت، نیاز به هکرهای اخلاقی و درک درستی از هک اخلاقی وجود دارد.

 

هک یک رشته بسیار گسترده است و طیف گستردهای از موضوعات مانند:

  • هک وب‌سایت
  • هک ایمیل
  • هک کامپیوتر
  • هک اخلاقی
  • و غیره.

بخوانید : درباره فیشینگ (phishing) و هرزنامه (Spam) و راه های جلوگیری از آنها ؟

منظور از هک اخلاقی چیست؟

هک اخلاقی که به عنوان تست نفوذ نیز شناخته می‌شود، عمل ورود/نفوذ به سیستم‌ها یا شبکه‌ها با رضایت کاربر است. هدف ارزیابی امنیت یک سازمان با بهره برداری از آسیب پذیری‌ها به گونه‌ای است که مهاجمان بتوانند از آنها سوء استفاده کنند. بدین ترتیب روند حمله برای جلوگیری از چنین مواردی در آینده مستند می‌شود.

به عبارت ساده، به تلاش مجاز برای دسترسی به سیستم‌های رایانه ای، برنامه‌ها یا داده‌ها با استفاده از تاکتیک‌های به کار گرفته شده توسط هکرهای مخرب اشاره دارد. این فرآیند به سازمان‌ها کمک می‌کند تا آسیب پذیری‌ها را در سیستم‌های خود شناسایی کرده و اقدامات امنیتی خود را برای جلوگیری از حملات آینده افزایش دهند. هک اخلاقی نقش مهمی در حفاظت از اطلاعات حساس ایفا می‌کند.

تست نفوذ را می‌توان بیشتر به سه نوع طبقه بندی کرد.

1] جعبه سیاه

به تستر نفوذ هیچ جزئیاتی در رابطه با شبکه یا زیرساخت شبکه ارائه نمی‌شود.

2] جعبه خاکستری

تستر نفوذ دارای جزئیات محدودی در مورد سیستم‌هایی است که باید آزمایش شوند.

3] جعبه سفید

تستر نفوذ نیز هکر اخلاقی نامیده می‌شود. او از جزئیات کامل زیرساختی که باید آزمایش شود آگاه است.

هکرهای اخلاقی در اکثر موارد از همان روش‌ها و ابزارهای مورد استفاده هکرهای مخرب استفاده می‌کنند اما با اجازه شخص مجاز. هدف نهایی کل تمرین بهبود امنیت و دفاع از سیستم‌ها در برابر حملات کاربران مخرب است.

در طول تمرین، یک هکر اخلاقی ممکن است تلاش کند تا حد ممکن اطلاعات بیشتری در مورد سیستم هدف جمع آوری کند تا راه‌هایی برای نفوذ به سیستم پیدا کند. این روش با نام Footprinting یا ردپا نیز شناخته می‌شود.

دو نوع Footprinting یا ردپا وجود دارد –

  1. فعال – برقراری ارتباط مستقیم با هدف برای جمع آوری اطلاعات. به عنوان مثال. استفاده از ابزار Nmap برای اسکن هدف
  2. غیرفعال – جمع آوری اطلاعات در مورد هدف بدون ایجاد ارتباط مستقیم. این شامل جمع آوری اطلاعات از رسانه‌های اجتماعی، وب‌سایت‌های عمومی و غیره است.

مراحل مختلف هک اخلاقی

مراحل مختلف هک اخلاقی عبارتند از:

1] شناسایی

اولین قدم هک این مانند Footprinting است، یعنی مرحله جمع آوری اطلاعات. در اینجا معمولاً اطلاعات مربوط به سه گروه جمع آوری می‌شود.

  1. شبکه
  2. میزبان
  3. افراد درگیر.

هکرهای اخلاقی همچنین برای تأثیرگذاری بر کاربران نهایی و به دست آوردن اطلاعات در مورد محیط محاسباتی سازمان، بر تکنیک‌های مهندسی اجتماعی تکیه می‌کنند. با این حال، آنها نباید به اعمال نامتعارف مانند تهدید فیزیکی برای کارکنان یا انواع دیگر تلاش‌ها برای اخاذی دسترسی یا اطلاعات متوسل شوند.

2] اسکن

این مرحله شامل-

  1. اسکن پورت : اسکن هدف برای اطلاعاتی مانند پورت‌های باز، سیستم‌های زنده و سرویس‌های مختلف در حال اجرا در میزبان.
  2. پویش آسیب‌پذیری : عمدتاً از طریق ابزارهای خودکار برای بررسی نقاط ضعف یا آسیب‌پذیری قابل سوء استفاده انجام می‌شود.
  3. نقشه برداری شبکه: توسعه نقشه‌ای که به عنوان راهنمای قابل اعتماد برای هک عمل می‌کند. این شامل یافتن توپولوژی شبکه و اطلاعات میزبان و ترسیم نمودار شبکه با اطلاعات موجود است.
  4. دستیابی به دسترسی: این مرحله جایی است که مهاجم موفق می‌شود وارد یک سیستم شود. مرحله بعدی شامل بالا بردن امتیاز او به سطح مدیر است تا بتواند برنامه‌ای را که برای اصلاح داده‌ها یا مخفی کردن داده‌ها نیاز دارد نصب کند.
  5. حفظ دسترسی: دسترسی به هدف را تا پایان کار برنامه ریزی شده ادامه دهید.

یک هکر اخلاقی که هکر کلاه سفید نیز نامیده می‌شود، برای ارزیابی امنیت سازمان، نقض‌های مجاز رایانه و شبکه را انجام می‌دهد. برخلاف هکرهای مخرب، هکرهای اخلاقی مهارت‌های مشابهی دارند اما به جای ایجاد آسیب، برای بهبود سازمان‌ها کار می‌کنند. تلاش‌های آنها به افزایش اقدامات امنیتی کلی کمک می‌کند.

نقش یک هکر اخلاقی در امنیت سایبری مهم است زیرا افراد بد همیشه در آنجا هستند و سعی می‌کنند شکاف‌ها، درهای پشتی و دیگر راه‌های مخفی را برای دسترسی به داده‌هایی که نباید پیدا کنند، پیدا کنند.

برای تشویق به انجام هک اخلاقی، یک گواهینامه حرفه‌ای خوب برای هکرهای اخلاقی وجود دارد – هکر اخلاقی معتبر (CEH)  این گواهینامه بیش از 270 فناوری حمله را پوشش می‌دهد. این یک گواهینامه از نوع vendor-neutral (بدون مالکیت فروشنده) از EC-Council، یکی از نهادهای صدور گواهینامه پیشرو است.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *