pen testerga maqsadlarining tarmoq infratuzilmasiga kirishga yordam beradigan vositalar kerak bo'ladi. Bizning eng yaxshi tanlovlarimizdan Kali Linux, nmap, Metasploit, Wireshark, Jon the Ripper va Burp Suite bu toifaga kiradi.
Xulosa
Xuloas o’rnida shuni aytish kerakki, xozirda eng qimmatli narsa bu axborotdir. Judayam ko’p kompaniyalar va davlat tashkilotlari uzlarini faoliyatlarini yanada samarli qilish uchun esa turli xil web ilovalardan foydalanib kelmoqda. Va albatta ushbu davlat tashkilotlariga va kompaniyalarga zarar yetkazish maqsadida ularni websaytlariga xujumlar yoki malumotlari saqlangan serverlarga xujumlar uyushtirilmoqda. Ushbu xolatlarni oldini olish uchun alabatta penetration testing va pen tester larning o’rni beqiyosdir. Chunki pen testerlar yuqorida aytilganidek pen testing orqali uyushtirilishi mumkin bo’lgan xujumlarni va tizim zayifliklarini oldindan aniqlab bartaraf etiladi.
Metasploit
Metasploit penetratsion test uchun ishlatiladigan eng kuchli vositalardan biridir.
Metasploit-ni o'rnatish uchun hardware talablari:
2 GHz + processor
1 GB RAM available
1 GB + available disk space
Metasploitdan kaliy linuxda foydalanish
Metasploitni ochganimizdan keyin quyidagi oynqa chiqadi.
Metasploitni ochganimizdan keyin quyidagi oynqa chiqadi.
Penetratsion test nima
Penetratsion test, shuningdek, qalam testi sifatida ham tanilgan, foydalaniladigan zaifliklarni tekshirish uchun kompyuter tizimingizga qarshi simulyatsiya qilingan kiberhujumdir. Veb-ilovalar xavfsizligi kontekstida kirish testi odatda veb-ilovalar xavfsizlik devorini (WAF) oshirish uchun ishlatiladi.
Qalamni sinovdan o'tkazish har qanday miqdordagi dastur tizimlarini (masalan, dastur protokoli interfeyslari (API), frontend/backend serverlari) buzishga urinishlarni o'z ichiga olishi mumkin, masalan, kodni kiritish hujumlariga moyil bo'lgan, tozalanmagan kirishlar kabi zaifliklarni aniqlash.
Penetratsiya testi tomonidan taqdim etilgan ma'lumotlardan WAF xavfsizlik siyosatlarini sozlash va aniqlangan zaifliklarni tuzatish uchun foydalanish mumkin.
Penetratsiyani tekshirish bosqichlari
Qalamni sinovdan o'tkazish jarayonini besh bosqichga bo'lish mumkin.
Penetratsiya testining besh bosqichi
1. Rejalashtirish va razvedka
Birinchi bosqich quyidagilarni o'z ichiga oladi:
Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
Maqsad qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).
2. Skanerlash
Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usuli, chunki u real vaqt rejimida dasturning ishlashini ko'rish imkonini beradi.
3. Kirish huquqiga ega bo'lish
Ushbu bosqich maqsadning zaif tomonlarini ochish uchun saytlararo skript, SQL in'ektsiyasi va orqa eshiklar kabi veb-ilova hujumlaridan foydalanadi. Keyin sinovchilar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda imtiyozlarni oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchun.
4. Kirish imkoniyatini saqlab qolish
Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir - yomon aktyor chuqur kirish huquqiga ega bo'lishi uchun etarlicha uzoq. G'oya tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.
5. Tahlil
Keyin kirish testi natijalari batafsil bayon qilingan hisobotga tuziladi:
Foydalanilgan maxsus zaifliklar
Kiritilgan maxfiy maʼlumotlar
Qalam testerining tizimda aniqlanmay qolishi mumkin bo'lgan vaqt miqdori
Ushbu ma'lumotlar zaifliklarni tuzatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik xodimlari tomonidan tahlil qilinadi.
Penetratsiyani tekshirish usullari
Tashqi sinov
Tashqi kirish testlari kompaniyaning internetda ko'rinadigan aktivlariga, masalan, veb-ilovaning o'zi, kompaniya veb-saytiga, elektron pochta va domen nomlari serverlariga (DNS) qaratilgan. Maqsad qimmatli ma'lumotlarga kirish va olishdir.
Ichki test
Ichki testda xavfsizlik devori orqasidagi ilovaga kirish huquqiga ega bo'lgan tester zararli insayder hujumini simulyatsiya qiladi. Bu yolg'on xodimni taqlid qilish shart emas. Umumiy boshlang'ich stsenariy hisob ma'lumotlari fishing hujumi tufayli o'g'irlangan xodim bo'lishi mumkin.
Ko'r-ko'rona sinov
Ko'r-ko'rona testda sinovchiga faqat maqsadli korxona nomi beriladi. Bu xavfsizlik xodimlariga haqiqiy dastur hujumi qanday sodir bo'lishini real vaqt rejimida ko'rish imkonini beradi.
Ikki marta ko'r-ko'rona sinov
Ikki marta ko'r-ko'rona sinovda xavfsizlik xodimlari simulyatsiya qilingan hujum haqida oldindan ma'lumotga ega emaslar. Haqiqiy dunyoda bo'lgani kabi, buzg'unchilikka urinish oldidan ularning himoyasini mustahkamlash uchun vaqtlari bo'lmaydi.
Maqsadli test
Ushbu stsenariyda sinovchi va xavfsizlik xodimlari birgalikda ishlaydi va bir-birlarini harakatlarini baholaydilar. Bu xavfsizlik guruhiga xakerlar nuqtai nazaridan real vaqt rejimida fikr-mulohazalarni taqdim etadigan qimmatli o'quv mashqidir.
Imperva Web Application Firewall veb-sayt xavfsizligini ta'minlashda sizga qanday yordam berishi mumkinligini ko'ring.
Demo talab qiling
Batafsil ma'lumot
Penetratsiya testi va veb-ilovalar xavfsizlik devorlari
Penetratsion testlar va WAFlar eksklyuziv, ammo o'zaro manfaatli xavfsizlik choralari hisoblanadi.
Ko'p turdagi qalam sinovlari uchun (ko'r va ikki marta ko'r testlar bundan mustasno), sinovchi dasturning zaif joylarini aniqlash va ulardan foydalanish uchun jurnallar kabi WAF ma'lumotlaridan foydalanishi mumkin.
O'z navbatida, WAF ma'murlari qalam sinovlari ma'lumotlaridan foydalanishlari mumkin. Sinov tugagandan so'ng, WAF konfiguratsiyasi testda aniqlangan zaif nuqtalardan himoyalanish uchun yangilanishi mumkin.
Nihoyat, qalam testi xavfsizlik auditi tartib-qoidalariga, jumladan, PCI DSS va SOC 2 muvofiqlik talablariga javob beradi. PCI-DSS 6.6 kabi ayrim standartlar faqat sertifikatlangan WAF-dan foydalanish orqali qondirilishi mumkin. Shunday qilish, yuqorida aytib o'tilgan afzalliklari va WAF konfiguratsiyasini yaxshilash qobiliyati tufayli qalam testini unchalik foydali qilmaydi.
Jamoalashish nima?
Teaming - bu korxonalar o'zlarining kiberxavfsizlik ma'lumotlarini tashkil qilish va yaxshilash uchun foydalanadigan penetratsion test metodologiyasi. Ishtirokchilar ikkita jamoaga bo'lingan - qizil va ko'k - bir jamoa faol ravishda zaifliklarni qidiradi va sinab ko'radi, ikkinchisi esa bu xavflarni tuzatishga va xavf ostida qolishdan qochishga harakat qiladi.
Bu imkon qadar ko'proq zaifliklarni fosh qilish haqida emas, balki tahdid va zaif tomonlarga javob berish samaradorligini o'lchash haqida. Jamoaviy mashg'ulotlardan olingan ma'lumotlar biznesning xavfli zamonaviy kibermakonda o'zini tez va samarali himoya qilish qobiliyatini yaxshilash uchun mo'ljallangan.
Jamoaviy mashqlar uchta turdagi jamoalarni o'z ichiga olishi mumkin:
Qizil jamoalar - odatda tashqarida joylashgan qizil jamoalar tashkilotning mavjud xavfsizlik infratuzilmasi samaradorligini tekshiradi. Qizil guruhlar bir vaqtning o'zida butun atrof-muhitni emas, balki alohida masalalarni maqsad qilib olgan holda, kirish testiga o'xshash testlarni o'tkazadilar.
Moviy jamoalar - bu biznesning ichki xavfsizlik jamoasi. Kompaniyada xavfsizlikni kuchaytirish uchun ishlaydiganlar to'satdan tahdidlarga tez va sifatli javob berishni ta'minlash uchun qizil guruh tomonidan sinovdan o'tkaziladi va ogohlantiriladi.
Binafsharang jamoalar - qizil va ko'k jamoalar birlashgan birlikni yaratish uchun birgalikda ishlaganda hosil bo'ladi. Binafsharang jamoa potentsial tahdidlar haqida ko'proq ma'lumot va fikr-mulohazalarni taqdim etish orqali kiberxavfsizlik choralarini yaxshilashga qaratilgan. Binafsha rangli jamoalar mashqdan olingan bilimlarni ko'rib chiqish va baholash uchun ham foydalidir.
Qalam sinovidan keyin nima qilish kerak?
Penetratsiya testi haqiqiy dunyoda sinovdan o'tgan zaifliklarni tuzatishga asoslangan uzoq muddatli xavfsizlik strategiyangizni o'stirish va rivojlantirish bilan bog'liq.
Qalam sinovlari natijalariga tezkorlik bilan harakat qilish kiberxavfsizlik buzilishi bilan bog'liq bo'lgan ishlamay qolish va uzilishlar, shuningdek, ma'lumotlarni himoya qilish qoidalarini buzganlarga nisbatan katta miqdorda jarima solishning oldini olish uchun juda muhimdir.
Kirish testidan so'ng siz:
Yakuniy hisobotni ko'rib chiqing va natijalarni tashqi qalam sinovlari guruhi va ichki kiberxavfsizlik bo'yicha guruhingiz bilan muhokama qiling
Kiberxavfsizlik bo'yicha keng qamrovli strategiya va topilmalarni bartaraf etish rejasini ishlab chiqing
Yamoqlaringiz va yangilanishlaringizning muvaffaqiyati va rivojlanishini uzoq muddatli kuzatish uchun takroriy testlar va zaifliklarni skanerlashdan foydalaning.
Qalam sinovlari dizayni bo'yicha keng qamrovli. Ular sizning muhitingizdagi har qanday mumkin bo'lgan zaiflikning ko'lami va jiddiyligi haqida batafsil ma'lumot beradi. Shunday qilib, sizning xavfsizligingizni mustahkamlashga yordam beradigan har doim ko'plab amaliy topilmalar bo'ladi.
Xulosa
Xulosa qilib aytganda Penetratsion test yoki axloqiy xakerlik deb ataladi, bu tashkilotning kiberxavfsizlik imkoniyatlarini sinab ko'rish va zaifliklarni fosh qilish uchun real dunyodagi kiberhujumni simulyatsiya qilishdir. Ba'zilar qalam testlarini faqat moslik talabi bo'yicha katakchani belgilash uchun mo'ljallangan zaiflikni skanerlash deb hisoblashlari mumkin, ammo mashq aslida ko'proq bo'lishi kerak.
Foydalanilgan adabiyotlar
https://www.crowdstrike.com/cybersecurity-101/penetration-testing/
https://brightsec.com/blog/penetration-testing/
https://www.techtarget.com/searchsecurity/definition/penetration-testing
|
