Asosiy Xavfsizlik Axloqiy xakerlik asoslari

Axloqiy xakerlik asoslari

Ushbu blog post Penetration Testing va axloqiy xakerlik haqida ma'lumot. Biz Pen testining asoslarini ko'rib chiqamiz va penetratsion test tashkilotlarga nima uchun muhimligini tushuntiramiz.

Shuningdek, biz penetratsiyani sinash bosqichlarini ko'rib chiqamiz va har bir bosqichda nima bo'lishini tushuntiramiz.

Va nihoyat, biz Penetratsion testda tez-tez ishlatiladigan ba'zi vositalarni ko'rib chiqamiz.




Penetratsion test - axloqiy xakerlik asoslari

Axloqiy xakerlik nima?

Hack haqida o'ylaganimizda, biz uni ko'pincha noqonuniy yoki jinoiy harakatlar bilan bog'laymiz. Hacker tizimga hujum qilganda, ular tizim egasining bilimi va roziligisiz buni amalga oshiradilar. Oddiy qilib aytganda, bu egasining to'liq ruxsatisiz va oldindan kelishuvisiz birovning uyiga kirishga o'xshaydi.

Boshqa tomondan axloqiy xakerlik hanuzgacha buzilmoqda. Bu tizim haqida ma'lumot to'plashni, bo'shliqlarni topishni va ulardan foydalanishni o'z ichiga oladi. Biroq, axloqiy buzishda qalam sinovchisi has_ to'liq rozilik va ruxsat tizim egasining _. Shuning uchun, faoliyat axloqiy bo'ladi, ya'ni yaxshi niyat bilan amalga oshiriladi.


Xavfsizlikni yaxshilash uchun xaridorlar axloqiy xakerlardan foydalanadilar.

Penetratsion test nima?

Penetratsiya testi xavfsizlikni buzilishi bilan bog'liq xavfni baholash uchun haqiqiy hujumlarni simulyatsiya qilishni o'z ichiga oladi.

Qalamlarni sinash paytida sinovchilar zaifliklarni aniqlash uchun turli xil vositalar va metodikalardan foydalanadilar. Keyinchalik ular muvaffaqiyatli ekspluatatsiyadan keyin tajovuzkorlar nimaga ega bo'lishlarini baholash uchun zaifliklardan foydalanishga harakat qilishadi.

Penetratsion test nima uchun kerak?

O'tgan yillar davomida Axborot texnologiyalari bilan bog'liq bo'lgan kiber tahdidlar va jinoiy harakatlar soni doimiy ravishda o'sib bordi. Korxonalar o'z tizimlaridagi zaif tomonlarni aniqlash uchun muntazam ravishda zaifliklarni baholash va penetratsion sinovlarni o'tkazishlari kerak. Keyinchalik ular o'z tizimlarini zararli xakerlardan himoya qilish uchun samarali choralardan foydalanishlari mumkin.


Kim qalam sinovini o'tkazadi?

Axloqiy xakerlar odatda Penetration Testingni amalga oshiradigan odamlardir.

O'g'rini ushlash uchun, xuddi shunday o'ylash kerak.

Xuddi shu narsa axloqiy buzishda ham amal qiladi.

Kompyuter tizimidagi xavfsizlik teshiklarini topish va ularni tuzatish uchun siz zararli xakerlar kabi o'ylashingiz kerak. Siz ular ishlatishi mumkin bo'lgan bir xil taktika, vositalar va jarayonlardan foydalanasiz.


Axloqiy xaker jinoyatchidan foydalanishi mumkin bo'lgan vositalar va texnikalardan foydalanadi. Ammo ular buni mijozning to'liq qo'llab-quvvatlashi va tasdiqlashi bilan, tarmoq yoki tizim xavfsizligini ta'minlashga yordam berish uchun qilishadi.

Penetratsiya testi va zaifliklarni baholash

Xavfsizlikni baholash ochiq aktivlarni (tarmoq, server, dasturlar) zaifliklarni tekshiradi. Zaif tomonlarni skanerlashning salbiy tomoni shundaki, u tez-tez noto'g'ri ijobiy narsalar haqida xabar beradi. Noto'g'ri ijobiy mavjud nazorat to'liq samarali emasligining belgisi bo'lishi mumkin.

Penetratsiya testi bir qadam oldinga boradi va zaif tomonlarni ko'rib chiqadi va ulardan foydalanishga harakat qiladi.



Penetratsion test turlari

Qora qutiga kirish uchun sinov

Qora qutilarga kirishni sinab ko'rishda sinovchi maqsad haqida oldindan ma'lumotga ega emas. Bu haqiqiy hujumlarni yaqindan taqlid qiladi va noto'g'ri ijobiy narsalarni kamaytiradi.


Ushbu turdagi testlar maqsadli tizim / tarmoq bo'yicha keng qamrovli tadqiqotlar va ma'lumotlarni to'plashni talab qiladi. Odatda qora qutiga kirish testini o'tkazish uchun ko'proq vaqt, kuch va xarajat sarflanadi.

Kulrang qutiga kirib borishni sinash

Kulrang qutiga kirish sinovlarida sinovchi maqsadli infratuzilma haqida cheklangan yoki qisman ma'lumotlarga ega. Ular xavfsizlik mexanizmlari to'g'risida ma'lum bir ma'lumotga ega.

Bu insayder yoki tashqi hacker tomonidan qilingan hujumni simulyatsiya qiladi biroz maqsadli tizimdagi bilim yoki imtiyozlar.

Oq qutiga kirish uchun sinov

Oq qutidagi penetratsion sinovlarda sinovchilar maqsadli infratuzilma to'g'risida to'liq bilimga ega. Ular mavjud xavfsizlik mexanizmlari haqida biladilar. Bu testni tezroq, osonroq va arzonroq qiladi.


Bu maqsadli tizimda to'liq bilim va imtiyozlarga ega bo'lgan insayder tomonidan sodir etilishi mumkin bo'lgan hujumni simulyatsiya qiladi.

Sinovni e'lon qildi

Ushbu turdagi testlarda har kim test qachon boshlanishini biladi. IT xodimlari tarmoq jamoasi va menejment jamoasi qalamni sinash faoliyati to'g'risida oldindan ma'lumotga ega.

Kutilmagan sinovlar

Ushbu turdagi testlarda IT xodimlari va yordamchi guruhlar qalamni sinash faoliyati to'g'risida oldindan ma'lumotga ega emaslar.

Sinovlar jadvalidan faqat yuqori rahbariyat xabardor. Bunday sinovlar xavfsizlik hujumi sodir bo'lgan taqdirda AT va yordamchi xodimlarning javobgarligini aniqlashga yordam beradi.

Avtomatlashtirilgan penetratsion sinov

Penetratsiyani sinovdan o'tkazish ko'plab vazifalarni o'z ichiga olganligi va hujum yuzasi ba'zan ham murakkab bo'lganligi sababli, ba'zida ko'plab vazifalarni avtomatlashtirish uchun vositalardan foydalanish kerak bo'ladi.

Ushbu vosita muntazam ravishda infratuzilma bilan ishlaydi va keyin muammolarni hal qilish uchun tegishli jamoalar bilan hisobotlarni almashadi.

Avtomatlashtirilgan vositalardan foydalanishning salbiy tomoni shundaki, ular faqat oldindan aniqlangan zaifliklarni tekshirib ko'rishadi, shuning uchun yolg'on ijobiy holatlar haqida xabar berishadi.

Shuningdek, arxitektura va tizim integratsiyasini xavfsizlik nuqtai nazaridan ko'rib chiqa olmaydi. Biroq, bu bir nechta maqsadlarni qayta-qayta skanerlash va qo'lda sinovlarni to'ldirish uchun javob beradi.

Penetratsiyani qo'lda tekshirish

Qo'lda sinovdan o'tkazishda maqsadli tizimga kirish uchun sinovchi o'zining tajribasi va ko'nikmalaridan foydalanadi. Sinovchi tegishli jamoalar bilan kelishilgan holda arxitektura va boshqa protsessual jihatlarni ham ko'rib chiqishi mumkin. Xavfsizlikni yaxlit sinovdan o'tkazish uchun avtomatlashtirilgan va qo'lda sinovlarning kombinatsiyasidan foydalanish yaxshidir.



Penetratsion sinovlarning bosqichlari

Qalamni sinovdan o'tkazish oldin ulanish bosqichidan boshlanadi. Bu mijoz bilan qalam sinovi uchun ularning maqsadlari to'g'risida suhbatlashish va test doirasini xaritada tasvirlashni o'z ichiga oladi.

Mijoz va qalam sinovchisi savol sifatida va taxminlarni belgilaydi.

Ba'zi mijozlar faoliyat doirasiga chegaralar qo'yadilar.

Masalan, mijoz tekshiruvchiga ma'lumotlar bazasining zaif tomonlarini topish uchun ruxsat beradi, lekin sezgir ma'lumotlarni olish uchun emas.

Uchrashuvdan oldingi bosqich test tafsilotlari, aloqa ma'lumotlari va to'lov shartlari kabi boshqa ma'lumotlarni ham qamrab oladi.

Ma'lumot yig'ish

Axborot yig'ish bosqichida qalam testerlari mijoz haqida ommaga ma'lum bo'lgan ma'lumotlarni qidiradi va mijoz tizimlariga ulanishning potentsial usullarini aniqlaydi.

Sinovchilar ichki tarmoqdagi qaysi tizimlar va qanday dasturiy ta'minot ishlayotganligi haqida ma'lumot olish uchun port-skanerlar kabi vositalardan foydalanishni boshlaydilar.

Tahdidni modellashtirish

Tahdidlarni modellashtirish bosqichida sinovchilar avvalgi bosqichda to'plangan ma'lumotlardan foydalanib, har bir topilmaning qiymatini va agar topilma tajovuzkorning tizimga kirishiga imkon bergan bo'lsa, mijozga ta'sirini aniqlaydilar.

Ushbu baho pentesterga harakat rejasini va hujum usullarini ishlab chiqishga imkon beradi.

Zaiflik tahlili

Pen Testers tizimga hujum qilishni boshlashdan oldin, ular zaiflik tahlilini o'tkazadilar. Bu erda Pen Testers keyingi bosqichda foydalanish mumkin bo'lgan tizimlarning zaif tomonlarini aniqlashga harakat qilmoqda.

Ishlash

Ekspluatatsiya bosqichida Pen Testers maqsadli tizimga qarshi ekspluatatsiyani boshlaydi. Ular mijoz tizimlariga kirishga urinishda ilgari aniqlangan zaifliklardan foydalanadilar. Ular tizimga kirish uchun turli xil vositalar va usullarni sinab ko'rishadi.

Post ekspluatatsiya

Ekspluatatsiyadan so'ng, sinovchilar ma'lum bir ekspluatatsiya orqali etkazilishi mumkin bo'lgan zararni baholaydilar. Boshqacha qilib aytganda, ular xatarlarni baholaydilar.

Masalan, qalamni sinash paytida testerlar mijoz tizimini buzgan. Haqiqatan ham bu tajovuz mijoz uchun nimanidir anglatadimi?

Agar siz tajovuzkorni qiziqtiradigan biron bir muhim ma'lumotlarni oshkor qilmaydigan tizimni buzgan bo'lsangiz, unda nima bo'ladi? Ushbu zaiflik xavfi, mijozning rivojlanish tizimidan foydalana olganingizdan sezilarli darajada past.

Hisobot berish

Penetratsiyani sinovdan o'tkazishning yakuniy bosqichi hisobot berishdir. Ushbu bosqichda qalam sinovchilari o'zlarining topilmalarini xaridorga mazmunli tarzda etkazishadi. Hisobot mijozga nimani to'g'ri bajarayotgani va xavfsizlik holatini yaxshilash uchun qaerga kerakligi to'g'risida xabar beradi.

Hisobotda har bir ekspluatatsiya tafsilotlari va ularni tuzatish choralari bo'lishi mumkin.



Penetratsion sinov uchun ishlatiladigan umumiy vositalar

Qalamlarni sinash paytida ishlatiladigan eng keng tarqalgan vositalardan ikkitasi Nmap va Metasploit .

Ikkala vosita ham maqsadli tizim haqida juda ko'p ma'lumot berishi mumkin.

Xavfsiz xavfsizlik tizimidagi Kali Linux boshqa ko'plab narsalarni o'z ichiga oladi vositalar sinovning turli bosqichlarida ishlatiladi.

Tahririyatdan Tanlash

Qiziqarli Maqolalar

Best Buy AT&T va Sprint mijozlari uchun 300 dollarlik Galaxy Note 8 tejash imkoniyatini taqdim etadi
Best Buy AT&T va Sprint mijozlari uchun 300 dollarlik Galaxy Note 8 tejash imkoniyatini taqdim etadi
AppleCare va boshqalar Samsung Premium va SquareTrade va boshqalar
AppleCare va boshqalar Samsung Premium va SquareTrade va boshqalar
Amazon Prime Video endi Android TV va Chromecast-da mavjud
Amazon Prime Video endi Android TV va Chromecast-da mavjud
Zamonaviy smartfon yoki vintage superkompyuter: qaysi biri kuchliroq?
Zamonaviy smartfon yoki vintage superkompyuter: qaysi biri kuchliroq?
Kamida bir million Verizon mijozi ushbu nosoz qurilmani yonib ketguncha qaytarib berishi kerak
Kamida bir million Verizon mijozi ushbu nosoz qurilmani yonib ketguncha qaytarib berishi kerak
Samsung-ning Galaxy Buds Pro haqiqiy simsiz quloqchinlari endi rasmiy hisoblanadi
Samsung-ning Galaxy Buds Pro haqiqiy simsiz quloqchinlari endi rasmiy hisoblanadi
400 dollargacha bo'lgan eng yaxshi telefonlar
400 dollargacha bo'lgan eng yaxshi telefonlar
Galaxy S20 Ultra 108MP va boshqalar 12MP va S20 + 64MP va boshqalar 12MP - Yuqori megapiksellarda suratga olish bunga loyiqmi?
Galaxy S20 Ultra 108MP va boshqalar 12MP va S20 + 64MP va boshqalar 12MP - Yuqori megapiksellarda suratga olish bunga loyiqmi?
IPhone uchun eng yaxshi Spigen ishi. Spigen sizning Olmalaringizni yaxshi yopiq holda saqlaydi
IPhone uchun eng yaxshi Spigen ishi. Spigen sizning Olmalaringizni yaxshi yopiq holda saqlaydi
2021 yildagi eng yaxshi byudjetli 5G telefonlari
2021 yildagi eng yaxshi byudjetli 5G telefonlari