விரிவான ஊடுருவல் சோதனை. ஊடுருவல் சோதனை என்றால் என்ன? வலைப் பயன்பாட்டில் தாக்குதலைச் செயல்படுத்துதல்
ஊடுருவல் சோதனை என்பது பல்வேறு கணினி சிக்கல்கள் மற்றும் சோதனைகள், பகுப்பாய்வு மற்றும் தீர்வுகளை வழங்கும் முறைகளின் கலவையாகும். இது கட்டமைக்கப்பட்ட செயல்முறையை அடிப்படையாகக் கொண்டது, இது படிப்படியாக ஊடுருவல் சோதனை செய்கிறது. ஊடுருவல் சோதனையின் ஏழு படிகள் கீழே உள்ளன:
திட்டமிடல் மற்றும் தயாரிப்பு
ஊடுருவல் சோதனையின் இலக்குகள் மற்றும் நோக்கங்களை வரையறுப்பதில் திட்டமிடல் மற்றும் தயாரிப்பு தொடங்குகிறது.
வாடிக்கையாளரும் சோதனையாளரும் கூட்டாக இலக்குகளை வரையறுக்கிறார்கள், இதனால் இரு தரப்பினரும் ஒரே குறிக்கோள்களையும் புரிதலையும் கொண்டுள்ளனர். பொதுவான ஊடுருவல் சோதனை நோக்கங்கள்:
- பாதிப்புகளைக் கண்டறிந்து தொழில்நுட்ப அமைப்புகளின் பாதுகாப்பை மேம்படுத்தவும்.
- வெளிப்புற மூன்றாம் தரப்பினரால் IT பாதுகாப்பை உறுதிப்படுத்தவும்.
- நிறுவன/HR உள்கட்டமைப்பின் பாதுகாப்பை மேம்படுத்துதல்.
படிப்பு
நுண்ணறிவு என்பது பூர்வாங்க தகவல்களின் பகுப்பாய்வை உள்ளடக்கியது. பல சமயங்களில், சோதனையாளரிடம் பூர்வாங்கத் தகவலைத் தவிர, அதாவது ஐபி முகவரி அல்லது ஐபி முகவரிகளின் தொகுதி போன்ற பல தகவல்கள் இல்லை. சோதனையாளர் கிடைக்கக்கூடிய தகவல்களை பகுப்பாய்வு செய்வதன் மூலம் தொடங்குகிறார், தேவைப்பட்டால், பெறுவதற்கு பயனரிடமிருந்து கோரிக்கைகளை கோருகிறார் கூடுதல் தகவல், சிஸ்டம் விளக்கங்கள், நெட்வொர்க் திட்டங்கள் போன்றவை. இந்த படி ஒரு செயலற்ற ஊடுருவல் சோதனை. அமைப்புகளைப் பற்றிய முழுமையான மற்றும் விரிவான தகவல்களைப் பெறுவதே ஒரே குறிக்கோள்.
திறப்பு
இந்த கட்டத்தில், ஊடுருவல் சோதனையாளர் பாதிப்புகளைக் கண்டறிய இலக்கு சொத்துக்களை ஸ்கேன் செய்ய தானியங்கு கருவிகளைப் பயன்படுத்துவார். இந்த கருவிகள் பொதுவாக சமீபத்திய பாதிப்புகள் பற்றிய தகவல்களை வழங்கும் அவற்றின் சொந்த தரவுத்தளங்களைக் கொண்டுள்ளன. இருப்பினும், சோதனையாளர் கண்டுபிடித்தார்
- நெட்வொர்க் கண்டுபிடிப்பு- எடுத்துக்காட்டாக, திறப்பு கூடுதல் அமைப்புகள், சர்வர்கள் மற்றும் பிற சாதனங்கள்.
- ஹோஸ்ட் டிஸ்கவரி- வரையறுக்கிறது திறந்த துறைமுகங்கள்இந்த சாதனங்களில்.
- சேவை விசாரணை- வாக்குச் சாவடிகள் அவற்றில் இயங்கும் உண்மையான சேவைகளைக் கண்டறியும்.
தகவல் மற்றும் ஆபத்து பகுப்பாய்வு
இந்த கட்டத்தில், சோதனையாளர் கணினியில் மாறும் வகையில் ஊடுருவி சோதனை நிலைகளுக்கு முன் சேகரிக்கப்பட்ட தகவல்களை பகுப்பாய்வு செய்து மதிப்பீடு செய்கிறார். அதிக எண்ணிக்கையிலான அமைப்புகள் மற்றும் உள்கட்டமைப்பின் அளவு காரணமாக, இது நீண்ட நேரம் எடுக்கும். பகுப்பாய்வு செய்யும் போது, சோதனையாளர் பின்வரும் கூறுகளை கருதுகிறார்:
- ஊடுருவல் சோதனையின் குறிப்பிட்ட நோக்கங்கள்.
- கணினிக்கு சாத்தியமான அபாயங்கள்.
- அடுத்தடுத்த செயலில் ஊடுருவல் சோதனைக்கு சாத்தியமான பாதுகாப்பு குறைபாடுகளை மதிப்பிடுவதற்கு மதிப்பிடப்பட்ட நேரம் தேவை.
இருப்பினும், அடையாளம் காணப்பட்ட அமைப்புகளின் பட்டியலிலிருந்து, சாத்தியமான பாதிப்புகள் உள்ளவற்றை மட்டுமே சோதனையாளர் தேர்வு செய்ய முடியும்.
செயலில் படையெடுப்பு முயற்சிகள்
இது மிக முக்கியமான படியாகும் மற்றும் சரியான கவனத்துடன் செய்யப்பட வேண்டும். இந்த படியானது, உண்மையான அபாயங்களை ஏற்படுத்தும் கண்டுபிடிப்பு கட்டத்தில் எந்த அளவிற்கு சாத்தியமான பாதிப்புகள் கண்டறியப்பட்டன என்பதை உள்ளடக்கியது. சாத்தியமான பாதிப்புகள் சரிபார்க்கப்பட வேண்டியிருக்கும் போது இந்த படி செய்யப்பட வேண்டும். மிக உயர்ந்த ஒருமைப்பாடு தேவைகளைக் கொண்ட அந்த அமைப்புகளுக்கு, முக்கியமான துப்புரவு நடைமுறைகளைச் செய்வதற்கு முன், சாத்தியமான பாதிப்புகள் மற்றும் அபாயங்களைக் கவனமாகக் கருத்தில் கொள்ள வேண்டும்.
இறுதி பகுப்பாய்வு
இந்த நடவடிக்கை முதலில் இது வரை எடுக்கப்பட்ட அனைத்து நடவடிக்கைகளையும் (மேலே விவாதிக்கப்பட்டது) மற்றும் சாத்தியமான இடர்களின் வடிவத்தில் இருக்கும் பாதிப்புகளை மதிப்பீடு செய்கிறது. கூடுதலாக, சோதனையாளர் பாதிப்புகள் மற்றும் அபாயங்களை அகற்ற பரிந்துரைக்கிறார். முதலில், சோதனையாளர் சோதனைகளின் வெளிப்படைத்தன்மை மற்றும் கண்டறியப்பட்ட பாதிப்புகளை உறுதி செய்ய வேண்டும்.
அறிக்கை தயாரித்தல்
அறிக்கை தயாரிப்பு பொது சோதனை நடைமுறைகளுடன் தொடங்க வேண்டும், பின்னர் பாதிப்புகள் மற்றும் அபாயங்களை பகுப்பாய்வு செய்ய வேண்டும். அதிக அபாயங்கள் மற்றும் முக்கியமான பாதிப்புகளுக்கு முன்னுரிமை அளிக்கப்பட வேண்டும், அதைத் தொடர்ந்து குறைந்த வரிசை.
இருப்பினும், இறுதி அறிக்கையை ஆவணப்படுத்தும் போது, பின்வரும் புள்ளிகளைக் கருத்தில் கொள்ள வேண்டும்:
- ஊடுருவல் சோதனையின் பொதுவான கண்ணோட்டம்.
- விரிவான தகவல்ஒவ்வொரு படி மற்றும் பேனா சோதனையின் போது சேகரிக்கப்பட்ட தகவல்கள்.
- கண்டறியப்பட்ட அனைத்து பாதிப்புகள் மற்றும் அபாயங்கள் பற்றிய விரிவான தகவல்.
- சுத்தம் மற்றும் கட்டுதல் அமைப்புகளுக்கான பாகங்கள்.
- எதிர்கால பாதுகாப்பிற்கான முன்மொழிவுகள்.
ஒவ்வொரு வணிக உரிமையாளரும், IT நிபுணர் மற்றும் சாதாரண கணினி பயனரும் குறைந்தது ஒரு முறை இணைய அச்சுறுத்தல்களை எதிர்கொண்டுள்ளனர். IN நவீன உலகம்அவர்கள் பெருகிய முறையில் சக்திவாய்ந்தவர்களாகவும், வணிகத்திற்கு மட்டுமின்றி அரசுக்கு பெரும் சேதத்தை ஏற்படுத்தக்கூடியவர்களாகவும் மாறி வருகின்றனர்.
ஹேக்கர்களில் இரண்டு பிரிவுகள் உள்ளன:
வெள்ளை தொப்பிகள்- பாதுகாப்பை உறுதி செய்வதற்கும், சட்டவிரோத ஊடுருவல்களை எதிர்ப்பதற்கும் வேலை.
கருப்பு ஹேக்கர்கள் (கருப்பு தொப்பி)- சட்டத்தை மீறுதல், தனிப்பட்ட தரவைத் திருடுதல், வங்கிக் கணக்குகள் காலி.
உங்கள் கார்ப்பரேட் அலுவலக நெட்வொர்க்கில், உங்கள் இணையதளங்கள் மற்றும் பயன்பாடுகளில் உள்ள பாதிப்புகளைக் கண்டறிய சோதனைகளை நடத்தும் பணியை எங்கள் குழு மேற்கொள்ளும். மற்றும் உதவியுடன் சமூக பொறியியல்உங்கள் நிறுவனத்தில் மிகவும் மோசமாகப் பாதுகாக்கப்பட்ட துறைகளை நாங்கள் அடையாளம் கண்டு, பாதுகாப்பை எவ்வாறு வலுப்படுத்துவது என்பது குறித்த பரிந்துரைகளை வழங்க முடியும்.
பென்டெஸ்டிங்கில் (பாதுகாப்பு சோதனை) என்ன சேர்க்கப்பட்டுள்ளது?
நிறுவனத்தின் பாதுகாப்பு சோதனையில் பின்வருவன அடங்கும்:- வெளிப்புற நெட்வொர்க் மற்றும் சுற்றளவு பகுப்பாய்வு
- பெண்டெஸ்ட் (ஊடுருவல் சோதனை)
- உள் நெட்வொர்க் சோதனை
- பாதிப்புகள் மற்றும் சுரண்டல்களைத் தேடுங்கள்
- சமூக பொறியியல்
- நிறுவன இணையதளங்களைச் சோதித்தல்
- சோதனை மொபைல் பயன்பாடுகள்நிறுவனங்கள்
- சோதனை அறிக்கை மற்றும் பரிந்துரைகள்
வாடிக்கையாளரின் தேவைகளைப் படித்த பிறகு, சோதனைகளின் சரியான பட்டியல் பேச்சுவார்த்தை கட்டத்தில் தீர்மானிக்கப்படுகிறது.
ஊடுருவல் சோதனை செலவு
வெளிப்புற கார்ப்பரேட் நெட்வொர்க் சோதனை
கோரிக்கை மீதான விலை
ஊடுருவல் சோதனை (பென்டெஸ்ட்)
கோரிக்கை மீதான விலை
இணையம் மற்றும் மொபைல் பயன்பாடுகளை சோதிக்கிறது
கோரிக்கை மீதான விலை
சமூக பொறியியல்
கோரிக்கை மீதான விலை
ஆயத்த தயாரிப்பு பாதுகாப்பு சோதனை
கோரிக்கை மீதான விலை
சைபர் கிரைம் விசாரணை
கோரிக்கை மீதான விலை
முக்கியமான
"துரதிர்ஷ்டவசமாக, பெரும்பாலும் நிறுவனங்கள் சிந்திக்கத் தொடங்குகின்றன தகவல் பாதுகாப்புஅவர்கள் ஏற்கனவே பாதிக்கப்பட்ட போது. ஹேக்கர்கள் உங்கள் நிறுவனத்தின் அளவு மற்றும் அதன் வருவாய் பற்றி கவலைப்படுவதில்லை, ஹேக் செய்யப்பட்ட நிறுவனங்களின் எண்ணிக்கையைப் பற்றி அவர்கள் கவலைப்படுகிறார்கள்.
இணைய அச்சுறுத்தல்களிலிருந்து உங்கள் நிறுவனத்தைப் பாதுகாக்கவும்!
எனவே பெண்டெஸ்ட் என்றால் என்ன?
சோதனை என்பது ஒரு தேடலாகும், மேலும் மூன்றாம் தரப்பு வளங்கள் மற்றும் பயனர்களின் ஊடுருவலுக்கான பல்வேறு அளவிலான பாதிப்புகளைக் கொண்ட அதிகபட்ச புள்ளிகள் மற்றும் பகுதிகளுக்கான மிகவும் ஆழமான மற்றும் பயனுள்ள தேடலின் வகைகளில் ஊடுருவல் சோதனையும் ஒன்றாகும். இத்தகைய ஊடுருவல்கள் தீங்கிழைக்கும் வகையில் அல்லது மறைமுகமாக சில தரவுகளை உள்ளிடவோ அல்லது பெறவோ மேற்கொள்ளப்படலாம்.
இந்த நுட்பம் தனித்தனியாக மேற்கொள்ளப்படலாம் மற்றும் மூன்றாம் தரப்பு தாக்குதல்கள் மற்றும் ஊடுருவல்களுக்கு எதிராக பயனுள்ள பாதுகாப்பு நடவடிக்கைகளை உருவாக்க வழக்கமான அல்லது ஒரு முறை சோதனை அமைப்புகளில் சேர்க்கப்படலாம்.
அமைப்பின் பாதிப்புக்கான காரணவியல்
எந்தவொரு அமைப்பின் செயல்பாட்டின் வெவ்வேறு கட்டங்களில் பாதுகாப்பு இழப்பு ஏற்படலாம், ஆனால் எந்தவொரு சந்தர்ப்பத்திலும் இது போன்ற காரணிகளின் செல்வாக்கைப் பொறுத்தது:
- வடிவமைப்பு பிழை,
- கணினியுடன் தொடர்புடைய மென்பொருள் மற்றும் உபகரணங்களின் கலவையின் குறைந்த செயல்பாட்டு உள்ளமைவைத் தேர்ந்தெடுக்கும்போது தவறான உள்ளமைவு செயல்முறை,
- பிணைய வெளியீட்டு அமைப்பில் பாதுகாப்பு குறைபாடுகள். அதிக பாதுகாப்பு நிலை பிணைய இணைப்பு, எதிர்மறை தாக்கம் மற்றும் அமைப்பில் தீங்கிழைக்கும் செல்வாக்கு ஊடுருவல் சாத்தியம் குறைவு,
- மனித காரணி, தனிப்பட்ட அல்லது குழு வேலையின் போது நெட்வொர்க்கின் வடிவமைப்பு, பயன்பாடு அல்லது பராமரிப்பில் தீங்கிழைக்கும் அல்லது தற்செயலான பிழை ஏற்பட்டால் வெளிப்படுத்தப்படுகிறது,
- தகவல்தொடர்பு கூறு, ரகசியத் தரவின் பாதுகாப்பற்ற பரிமாற்றத்தில் வெளிப்படுத்தப்படுகிறது,
- அமைப்பின் சிக்கலான அதிக அளவு நியாயமற்றது. அதிலிருந்து தரவு கசிவின் சேனல்களைக் கண்காணிப்பதை விட அதன் பாதுகாப்பின் அளவைக் கட்டுப்படுத்துவது எப்போதும் எளிதானது. சிக்கலான சகாக்களை விட எளிய மற்றும் செயல்பாட்டு அமைப்புகளில் என்ன செய்வது மிகவும் எளிதானது,
- அறிவு குறைபாடு. அமைப்பின் பயன்பாட்டுடன் நேரடியாகவோ அல்லது மறைமுகமாகவோ தொடர்புடைய நிபுணர்களிடையே பாதுகாப்பு சிக்கல்களில் போதுமான அளவிலான தொழில்முறை பயிற்சி இல்லாதது.
பாதிப்பு மதிப்பீட்டில் இருந்து சோதனை வேறுபட்டது
அவற்றின் பயன்பாட்டின் நோக்கத்தின் ஒற்றுமை இருந்தபோதிலும். அதாவது, மிகவும் பாதுகாப்பான மென்பொருள் தயாரிப்பைத் தேடி ஒழுங்குபடுத்துதல். அவர்கள் வித்தியாசமாக வேலை செய்கிறார்கள்.
ஊடுருவல் சோதனை உண்மையான கண்காணிப்பு மூலம் மேற்கொள்ளப்படுகிறது, கைமுறையாக மற்றும் சில சிறப்பு வாய்ந்த அமைப்புகள் மற்றும் கருவிகளைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது. தீங்கிழைக்கும் தாக்கங்களின் முன்மாதிரி மூலம் என்ன செய்யப்படுகிறது, இது பாதிக்கப்படக்கூடிய பகுதிகளை அடையாளம் காண அனுமதிக்கிறது.
சில வகையான தாக்குதல்களின் போது தரவு தப்பிக்கக்கூடிய சாத்தியமான இடைவெளிகளை அடையாளம் காண பணிப்பாய்வுகளை கவனமாக ஆராய்வதன் மூலம் பாதிப்பின் அளவைத் தீர்மானித்தல். இது ஹேக்கர் தாக்கத்தால் பாதிக்கப்படக்கூடிய பகுதிகளைக் கண்டறிய உதவுகிறது, இது சோதனையில் உள்ள கணினியின் ஒட்டுமொத்த பாதுகாப்பின் அளவை தீர்மானிக்கிறது. அதன் செயல்பாட்டின் போது, அடையாளம் காணப்பட்ட "பலவீனங்கள்" அடையாளம் காணப்பட்டு, சரி செய்யப்பட்டு அகற்றப்படுகின்றன.
எனவே, பாதிப்பின் அளவை தீர்மானிப்பது ஒரு நிறுவப்பட்ட பணிப்பாய்வு ஆகும். மற்றும் ஊடுருவல் சோதனை "சூழ்நிலைக்கு ஏற்ப" செயல்படுகிறது பொதுவான இலக்குஅதன் பாதுகாப்பில் உள்ள இடைவெளிகளை அடையாளம் காண, கணினியை முடிந்தவரை வலுவாக பாதிக்கிறது.
இது எதற்காக
நீங்கள் பயன்படுத்தும் நிரலின் பாதுகாப்பு அமைப்பில் உள்ள இடைவெளிகளைக் கண்டறிந்து சரிசெய்ய இது உங்களை அனுமதிக்கிறது. எதிர்மறையான மூன்றாம் தரப்பு தாக்கங்கள் அதன் இலக்குகள் மற்றும் செயல்படுத்தும் நிலைகளைப் பொருட்படுத்தாமல் ஊடுருவிச் செல்வதற்கான சாத்தியக்கூறுகளைத் தடுக்க இது ஒரு செயலூக்கமான வேலை. வெளியில் இருந்து வரும் அச்சுறுத்தல்களுக்கு எதிராக எதிர்பார்க்கப்படும், மற்றும் தற்போதுள்ள அச்சுறுத்தல்களுக்கு எதிராக மிகவும் திறமையான பாதுகாப்பு அமைப்பை உருவாக்க இது உதவுகிறது.
இத்தகைய கண்காணிப்பு அனுமதிக்கிறது:
- கணினியில் உள்ள பலவீனங்கள்/பாதிப்புகள் வெளிப்புற எதிர்மறை தாக்கங்களுக்கு ஆளாவதற்கு முன்பு அவற்றைக் கண்டறிந்து தரவுக் கசிவுக்கு வழிவகுக்கும். இது ஒரு சிறந்த மாற்று அடிக்கடி மேம்படுத்தல்கள்அமைப்புகள். ஏனெனில் பிந்தையது, முன்னர் பிழைத்திருத்தப்பட்ட கணினியின் இணக்கத்தன்மை மற்றும் செயல்பாட்டின் வேகத்தை கணக்கில் எடுத்துக் கொள்ளாமல் பாதிக்கிறது. புதுப்பிப்புகளை கட்டுப்பாடில்லாமல் செயல்படுத்துவதை விட அவற்றைக் கட்டுப்படுத்துவது நல்லது;
- செயல்பாட்டில் உள்ள பாதுகாப்பு கருவியை மதிப்பீடு செய்யவும். டெவலப்பர்கள் தங்கள் திறனைப் பற்றிய யதார்த்தமான மதிப்பீட்டைப் பெற அனுமதிக்கிறது, அத்துடன் தற்போதைய பாதுகாப்புத் தரங்களுடன் இணங்கும் நிலை. கூடுதலாக, ஊடுருவல் சோதனையானது வணிக அபாயங்கள் மற்றும் பாதுகாப்பின் பிற கூறுகளை அடையாளம் காண உங்களை அனுமதிக்கிறது, இது அங்கீகரிக்கப்பட்ட மற்றும் புதிதாக செயல்படுத்தப்பட்ட மென்பொருள் கூறுகளின் ஒருங்கிணைந்த பயன்பாட்டிற்கு இடையேயான வர்த்தகத்தின் போது குறைக்கப்படலாம். கண்டறியப்பட்ட அபாயங்கள் மற்றும் சாத்தியமான அச்சுறுத்தல்களின் எதிர்மறையான தாக்கத்தின் அளவைக் குறைத்தல் மற்றும் நீக்குதல், கட்டமைத்தல் மற்றும் முன்னுரிமை ஆகியவற்றை சாத்தியமாக்குகிறது;
- தற்போதுள்ள பாதுகாப்புத் தரங்களை மேம்படுத்துவதற்கான அபாயங்களைக் கண்டறியவும்.
கண்காணிப்பு செயல்முறை
இன்று ஊடுருவல் சோதனை பல நுட்பங்களைப் பயன்படுத்தி மேற்கொள்ளப்படலாம், ஆனால் முக்கிய மற்றும் மிகவும் விருப்பமானவை:
கையேடு சோதனை பின்வரும் வழிமுறையின் படி மேற்கொள்ளப்படுகிறது
- தேவைகள், பயன்பாட்டின் நோக்கம், வரவிருக்கும் கண்காணிப்பின் நோக்கங்கள், இருக்கும் பாதுகாப்பின் அளவைக் கணக்கில் எடுத்துக்கொண்டு தரவுகளைத் திட்டமிடுதல் அல்லது கவனமாக சேகரிப்பது. பாதுகாப்பின் அளவைக் கண்காணிப்பதற்கான குறிப்பிட்ட பகுதிகள், விரும்பிய/திட்டமிடப்பட்ட தாக்கத்தின் வகை மற்றும் எதிர்கால கண்காணிப்புக்கான பிற தேவைகளும் இங்கே குறிப்பிடப்படலாம்.
- குறிப்பிட்ட தொகுதிகள் அல்லது முழு அமைப்பிலும் இலக்கு மற்றும் சிறப்பாக ஒழுங்கமைக்கப்பட்ட தாக்குதல்களுக்குத் தேவையான கணினி மற்றும் மூன்றாம் தரப்பு, ஒருங்கிணைந்த, பாதுகாப்பு வழிமுறைகளில் பெறப்பட்ட தரவைத் தேடுவதையும் குவிப்பதையும் நோக்கமாகக் கொண்ட உளவுத்துறை கையாளுதல்கள். குறிக்கோள்: மிகவும் பயனுள்ள சோதனையைப் பெறுதல். எனவே இரண்டு வகைகள் உள்ளன: செயலற்ற மற்றும் செயலில், முதலாவது கணினியில் செயலில் செல்வாக்கு இல்லாமல் மேற்கொள்ளப்படுகிறது, மற்றும் இரண்டாவது அதன் முழுமையான எதிர்.
- அடையாளம் காணப்பட்ட முடிவுகளின் பகுப்பாய்வு. கணினியில் மேலும் ஆக்கிரமிப்பு ஊடுருவலுக்குப் பயன்படுத்தப்படும் மிகவும் பாதிக்கப்படக்கூடிய புள்ளிகளை அடையாளம் காண இந்த நிலை உங்களை அனுமதிக்கிறது,
- பெறப்பட்ட முடிவுகளின் பயன்பாடு. பாதுகாப்பு அமைப்புகளின் "எளிதான ஊடுருவல்" அடையாளம் காணப்பட்ட இடங்களின் அடிப்படையில், வெளிப்புற மற்றும் உள் தாக்குதல்களின் வடிவத்தில் மென்பொருளில் தயாரிக்கப்பட்ட தாக்குதல் மேற்கொள்ளப்படுகிறது. வெளிப்புற தாக்கங்கள் வெளியில் இருந்து கணினிக்கு அச்சுறுத்தலாகும், அங்கு கணினியைப் பாதிக்கும் நேரடி வெளிப்புற அச்சுறுத்தல்கள் மற்றும் இதிலிருந்து பாதுகாக்கப்பட்ட ஒரு கணினியின் தரவை அங்கீகரிக்கப்படாத அணுகலுக்கான சிறப்பு முயற்சிகள் பின்பற்றப்படுகின்றன. உள் தாக்குதல்கள் தாக்கத்தின் இரண்டாம் கட்டத்தைக் குறிக்கின்றன, இது வெளியில் இருந்து கணினியில் வெற்றிகரமாக ஊடுருவிய பிறகு தொடங்குகிறது. அவர்களின் மேலும் செல்வாக்கிற்கான இலக்குகளின் வரம்பு பரந்த மற்றும் மாறுபட்டது. அதில் முக்கியமானது அவர்கள் ஊடுருவிய அமைப்பின் சமரசம்,
- செயல்பாட்டின் முடிவுகள், அடையாளம் காணப்பட்ட ஒவ்வொரு அச்சுறுத்தலின் நோக்கங்களையும் அடையாளம் காணவும், ஒட்டுமொத்த அமைப்பின் உள் வணிக செயல்முறைகள் மற்றும் குறிப்பாக அதன் தனிப்பட்ட கூறுகளுக்கான அதன் திறனைத் தீர்மானிக்கவும் உதவுகிறது.
- ஒரு முடிவு என்பது மேற்கொள்ளப்பட்ட பணி மற்றும் பெறப்பட்ட முடிவுகளின் ஆவணங்களின் தொகுப்பாகும், இது தாக்க இலக்குகளை அடையும்போது சாத்தியமான அச்சுறுத்தல்கள் மற்றும் அவற்றின் எதிர்மறை தாக்கத்தின் அளவை விவரிக்கிறது.
- தொடக்க நடைமுறை, பயன்பாடு மற்றும் மேலும் பராமரிப்பு,
- எளிதாக ஸ்கேன் செய்ய,
- பாதிப்புகளை கண்டறியும் போது தன்னியக்க நிலை,
- வெளிப்புற தாக்குதல்களுக்கு பலவீனமான முன்னர் கண்டுபிடிக்கப்பட்ட பகுதிகளின் சோதனை கிடைக்கும் அளவு,
- நிகழ்த்தப்பட்ட வேலை மற்றும் பெறப்பட்ட முடிவுகள் பற்றிய விரிவான மற்றும் எளிமையான அறிக்கையிடல் ஆவணங்களை உருவாக்கும் திறனின் அளவு.
- சமூகம் அல்லது மனிதர்கள், தொலைவில் அல்லது உள்நாட்டில் தேவையான தகவலைப் பெறக்கூடிய மற்றும் அதைத் தெளிவாகச் செயல்படுத்தக்கூடிய நபர்களை இணைக்கும் இடத்தில்,
- பாதுகாப்பு குறைபாடுகளை அடையாளம் காண பயன்படுத்தப்படும் மென்பொருள் பயன்பாடு. இணைய சலுகைகள் மற்றும் பயன்படுத்தப்படும் சேவையின் சிறப்பு சேவைகள் அல்லது மூன்றாம் தரப்பு ஆதாரங்களுக்கான பல விருப்பங்கள் ஒரே நேரத்தில் பயன்படுத்தப்படுகின்றன,
- அங்கீகரிக்கப்படாத பயனரால் அங்கீகரிக்கப்படாத ஹேக்கர் அணுகல் அல்லது ஊடுருவலின் சாத்தியத்தை அடையாளம் காண உங்களை அனுமதிக்கும் பிணைய ஆதாரம்,
- வாடிக்கையாளர் பகுதி, வேலையில் பயன்படுத்தப்படுகிறது சிறப்பு பயன்பாடுகள்வாடிக்கையாளரின் இணையதளம் அல்லது பயன்பாட்டில் நிறுவப்பட்டது,
- தொலைநிலை அணுகல் VPN சோதனை அல்லது இந்த அமைப்பிற்கு சரியான அணுகலை அனுமதிக்கும் ஒத்த பொருளால் மேற்கொள்ளப்படுகிறது,
- வயர்லெஸ் இணைப்பு, வயர்லெஸ் பயன்பாடுகள், சேவைகள் மற்றும் அவற்றின் கருவிகளை சோதிக்கும் நோக்கம் கொண்டது.
- வெள்ளை, இதில் சோதனையாளருக்கு சோதனை செய்யப்படும் கணினியின் செயல்பாடுகள் மற்றும் கருவிகள் பற்றிய தரவுகளுக்கான அணுகல் உள்ளது. எது அவரது வேலையை முடிந்தவரை பயனுள்ளதாகவும் பயனுள்ளதாகவும் ஆக்குகிறது. ஏனெனில், அத்தகைய தகவல்களை வைத்திருப்பது, சோதனையின் கீழ் உள்ள கணினியின் நுணுக்கங்கள் மற்றும் அம்சங்களைப் புரிந்துகொள்ள உங்களை அனுமதிக்கிறது, எனவே அதிகபட்ச மூழ்கி சோதனையை மேற்கொள்ளுங்கள்,
- கருப்பு அமைப்பு பற்றிய அடிப்படை அல்லது உயர்நிலை தகவல்களுக்கு அணுகலை வழங்குகிறது. கணினியில் இருந்து செயல்படும் பணியாளரை விட சோதனையாளர் ஒரு ஹேக்கராக உணர்கிறார். அதிக அளவு உழைப்பு தீவிரம் இந்த முறைநேரம் மற்றும் முழுமையான அறிவு, அத்துடன் அதை செயல்படுத்துவதில் அனுபவம் தேவை. எனவே, காணாமல் போன அல்லது முழுமையடையாத சோதனைக்கான அதிக நிகழ்தகவு உள்ளது,
- ஒரு உருவகப்படுத்தப்பட்ட வெளிப்புற தாக்குதலை உருவாக்க போதுமான கணினி தகவலுக்கான சாம்பல் அல்லது வரையறுக்கப்பட்ட அணுகல்.
- இந்த நடைமுறையின் அதிக ஆரம்ப செலவுடன் குறுகிய காலம்,
- ஒரு யூனிட் நேரத்திற்கு சோதனைகளின் எண்ணிக்கையில் வரம்பு,
- அமைப்பின் ஒரு பகுதியாக ஊடுருவல் தோல்வி சாத்தியம்,
- பெறப்பட்ட தரவுகளின் பாதிப்பு அதிக அளவு.
தன்னியக்க கருவிகளைக் கொண்டு சோதனை செய்வது பயனுள்ளது மட்டுமல்ல, மிகவும் சிறப்பு வாய்ந்த கருவிகளைப் பயன்படுத்தும் போது மிகவும் பயனுள்ளதாக இருக்கும். இது பயன்படுத்த வசதியானது, தேவையான நேரம் குறைவாக உள்ளது, மேலும் அதன் செயல்திறன் நீங்கள் செய்த வேலையைப் பற்றி "படிக தெளிவான" முடிவுகளை உருவாக்க அனுமதிக்கிறது.
மிகவும் பிரபலமான கருவிகளின் பட்டியலில் பின்வருவன அடங்கும்: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. லினக்ஸ் கணினி சேகரிப்புகள் நிறைய சுவாரஸ்யமான மற்றும் செயல்பாட்டு விஷயங்களை வழங்குகின்றன.
வேலைக்கு, சில தேவைகளைப் பூர்த்தி செய்யும் கருவிகளைத் தேர்ந்தெடுக்கவும், எடுத்துக்காட்டாக:
மேலே உள்ள முறைகளின் கலவை. இது உகந்த ஊடுருவல் சோதனை முறையாகும், ஏனெனில் இது இரண்டு முறைகளின் நன்மைகளையும் இணைத்து முடிந்தவரை விரைவாகவும் விரிவாகவும் முடியும்.
ஊடுருவல் சோதனைகளின் வகைகள்
பயன்படுத்தப்படும் கருவிகள் மற்றும் பொருட்களைக் கண்காணிப்பதைப் பொறுத்து பிரிவு செய்யப்படுகிறது:
கண்காணிப்பு முறைகளின் வகைப்பாடு அதன் செயலாக்கத்திற்கான அணுகுமுறையின் வகையை கணக்கில் எடுத்துக்கொள்கிறது. எது உங்களை முன்னிலைப்படுத்த அனுமதிக்கிறது:
ஊடுருவல் சோதனை வரம்புகள்
அத்தகைய செல்வாக்கின் வரம்பில் பல வரம்புகள் உள்ளன, ஆனால் முக்கியவை பின்வருமாறு:
முடிவுரை
தொடர்ந்து புதுப்பிக்கப்பட்ட நிரல்களின் தொகுப்புடன் நவீன ஹேக்கர்கள் மற்றும் பயனுள்ள கருவிகள்பயனுள்ள தாக்குதல்களை நடத்த வேண்டும். எனவே, நெட்வொர்க்கை சமரசம் செய்யும் அல்லது அதன் வளங்களைப் பயன்படுத்திக் கொள்ளும் நேரடி நோக்கத்துடன் அவர்கள் பெரும்பாலும் ஆர்வமுள்ள அமைப்புகளில் நுழைகின்றனர். எந்தவொரு பாதுகாப்பு அமைப்புகளிலும் உள்ள பாதிப்புகளைக் கண்டறிவதற்கான ஒரு கருவியாக இந்த வழக்கில் ஊடுருவல் கண்காணிப்பு மிகவும் பயனுள்ளதாக இருக்கும். ஒட்டுமொத்த மென்பொருளுக்கு வெளிப்புற அச்சுறுத்தல்களின் திறனைக் குறைக்க இது உங்களை அனுமதிக்கிறது.
கடந்த இரண்டு ஆண்டுகளில் ஹேக்கர் தாக்குதல்கள் என்ற தலைப்பில் பொது ஆர்வத்தை கடுமையாக அதிகரித்த நிகழ்வுகள் நிறைந்துள்ளன. அமெரிக்க ஜனநாயகக் கட்சியின் அமைப்புகளை ஹேக்கிங் செய்த ஊழல், நிதி அமைச்சகம் மற்றும் உக்ரைன் கருவூலத்தின் எரிசக்தி உள்கட்டமைப்பு அமைப்புகளை முடக்கியது, கோப்புகளை குறியாக்கம் செய்வது மட்டுமல்லாமல், தொழில்துறை மற்றும் மருத்துவ உபகரணங்களின் செயல்பாட்டையும் தடுக்கும் ransomware வைரஸ்கள் , MIRAL, இருந்து ஒரு மாபெரும் பாட்நெட் வீட்டு சாதனங்கள், அமெரிக்கா மற்றும் லைபீரியாவின் பாதி பகுதிகளை தகவல் தொடர்பு இல்லாமல் ஆக்கியது, தாக்குதல் நடத்தியவர்கள் பாதுகாப்பற்ற ஆடுகளின் ஓநாய்கள் போல வங்கிகளை மொத்தமாக வெட்டினர்... SWIFT கூட தாக்குதலுக்கு உள்ளானது! திரைப்பட அழகற்றவர்களின் ஹேக்கர்கள் பில்லியன் கணக்கான மக்களின் யதார்த்தத்தின் ஒரு பகுதியாக மாறிவிட்டனர்.
இன்று வணிகமானது நடைமுறைப் பாதுகாப்பில் முதன்மையாக வளங்களை முதலீடு செய்வது மிகவும் இயல்பானது, இது முறைப்படி குறைந்தபட்ச வழிமுறைகளுடன் ஒழுங்குமுறைத் தேவைகளைப் பூர்த்தி செய்வதற்கு மாறாக. ஆன்லைன் சுறாக்களுக்கு எதிராக கட்டமைக்கப்பட்ட பாதுகாப்பு அமைப்பு எவ்வளவு திறம்பட பாதுகாக்கிறது என்பதை அவர் சரிபார்க்க விரும்புவது இயற்கையானது.
இம்முறை கணினித் தாக்குதல்கள் மற்றும் அவற்றிலிருந்து நேரடிப் பாதுகாப்பு தொடர்பான தகவல் பாதுகாப்பின் (IS) நடைமுறை அம்சங்களில் பிரத்தியேகமாக கவனம் செலுத்த முடிவு செய்தோம். "வெள்ளை தொப்பிகளால்" செய்யப்படும் ஹேக்கிங்கிற்கு, அதாவது. தாக்குபவர்களின் செயல்களை சட்டப்பூர்வமாக பின்பற்றும் வல்லுநர்கள் "ஊடுருவல் சோதனை" (பென்டெஸ்ட்) என்ற வார்த்தையைப் பயன்படுத்துகின்றனர். இந்த சொல் பாதுகாப்பு ஆராய்ச்சியின் பல பகுதிகளை மறைக்கிறது, மேலும் அவை ஒவ்வொன்றும் அதன் சொந்த நிபுணர்களைக் கொண்டுள்ளன. இந்த கட்டுரையில் பென்டெஸ்ட் என்றால் என்ன, அது ஏன் தேவைப்படுகிறது மற்றும் ஹேக்கர் தாக்குதலுக்கும் ஊடுருவல் சோதனைக்கும் இடையே உள்ள கோடு எங்கே என்பதைப் புரிந்துகொள்வோம்.
Pentest அடிப்படையில் தகவல் பாதுகாப்பு தணிக்கை வகைகளில் ஒன்றாகும். இது உண்மையான ஹேக்கிங்கிலிருந்து அதன் முக்கிய வேறுபாடு. பாதிக்கப்பட்டவரின் அமைப்புகளைக் கட்டுப்படுத்த ஹேக்கர் குறுகிய வழியைத் தேடுகிறார். சுற்றளவில் ஒரு துளை காணப்பட்டால், தாக்குபவர் தாக்குதலை உள்நோக்கி ஒருங்கிணைத்து மேம்படுத்துவதில் கவனம் செலுத்துகிறார். வெளிப்புற நெட்வொர்க் சோதனையைச் செய்ய உத்தரவிடப்பட்ட ஒரு பெண்டெஸ்டர், ஹோஸ்டுக்குப் பிறகு ஹோஸ்டைத் துல்லியமாக ஆய்வு செய்ய வேண்டும், முழு ஓட்டைகள் ஏற்கனவே கண்டுபிடிக்கப்பட்டிருந்தாலும் கூட. ஹோஸ்ட்கள் ஒரே வகையாக இருந்தால் (உதாரணமாக, 1000 ஒத்த பணிநிலையங்கள்), ஆராய்ச்சியாளர், நிச்சயமாக, ஒரு கட்டுப்பாட்டு மாதிரியை உருவாக்க முடியும், ஆனால் அடிப்படையில் வேறுபட்ட அமைப்புகளைத் தவிர்ப்பது ஏற்றுக்கொள்ள முடியாதது. வாடிக்கையாளருக்கு குறைந்த தரம் வாய்ந்த பென்டெஸ்ட்டைக் கண்டறிய இதுவே எளிதான வழியாகும்.
Pentest ஆனது முழு அளவிலான தகவல் பாதுகாப்பு தணிக்கையை மாற்றாது. இது ஆய்வின் கீழ் உள்ள அமைப்புகளின் குறுகிய கவனம் கொண்ட பார்வையால் வகைப்படுத்தப்படுகிறது. Pentest அடிப்படையில் தகவல் பாதுகாப்பு குறைபாடுகளின் காரணங்களை அல்ல, விளைவுகளைக் கையாள்கிறது. அதை ஏன் முழுவதுமாக செயல்படுத்த வேண்டும்? தொழில்துறை ஒரு புதிய மாதிரி இராணுவ உபகரணங்களை உற்பத்தி செய்யும் போது, பொறியாளர்கள் கவசத்தின் பண்புகள் மற்றும் ஆயுதங்களின் பண்புகளை கவனமாக கணக்கிடுகிறார்கள், ஆனால் இராணுவ ஏற்றுக்கொள்ளும் போது உபகரணங்கள் இன்னும் பயிற்சி மைதானத்திற்கு உருட்டப்படுகின்றன, துப்பாக்கிச் சூடு, வெடித்தல் போன்றவை. பரிசோதனையே உண்மையின் அளவுகோல். நமது தகவல் பாதுகாப்பு செயல்முறைகள் உருவாக்கப்பட்டுள்ளதா, நமது பாதுகாப்பு அமைப்புகள் நம்பகமானவையா, சர்வரில் உள்ள உள்ளமைவு சரியாக உள்ளதா, உண்மையான ஹேக்கர் செல்லும் பாதையை நாம் புரிந்துகொள்கிறோமா என்பதைப் புரிந்துகொள்ள Pentest அனுமதிக்கிறது. இதனால், ஏற்கனவே தகவல் பாதுகாப்பில் அதிக முதலீடு செய்துள்ள நிறுவனங்களுக்கு பெண்டெஸ்டிங் அவசியம் என்ற எண்ணம் வரலாம். கோட்பாட்டில் இது உண்மைதான், ஆனால் நடைமுறையில் இது பெரும்பாலும் வேறுபட்டது.
நான் பின்வரும் பென்டெஸ்ட் சூத்திரத்தைக் கொண்டு வந்தேன்:
ஆராய்ச்சி என்பது பெண்டெஸ்டின் மிகத் தெளிவான பகுதியாகும். திரைப்படங்களைப் போலவே: ஹூடீஸில் உள்ள விசித்திரமான மனிதர்கள் இரவில் தகவல் தொழில்நுட்ப பாதுகாப்பை அழிக்கிறார்கள். உண்மையில், எல்லாமே பெரும்பாலும் ஓரளவு புத்திசாலித்தனமாக இருக்கும், ஆனால் இந்த படம்கார்ப்பரேட் ஆடைக் குறியீட்டிற்கு இணங்காத பெண்டெஸ்டர்களை அனுமதிக்கிறது.
புகாரளிப்பது பொதுவாக ஒரு ஊடுருவல் சோதனையாளருக்கு வேலையின் விருப்பமான பகுதியாக இருக்காது, ஆனால் இது விமர்சன ரீதியாக முக்கியமானது. பணியின் வாடிக்கையாளர் அனைத்து வெற்றிகரமான மற்றும் தோல்வியுற்ற ஊடுருவல் முயற்சிகள் பற்றிய விரிவான விளக்கத்தையும், பாதிப்புகள் பற்றிய தெளிவான விளக்கத்தையும், மிக முக்கியமாக, அவற்றை நீக்குவதற்கான பரிந்துரைகளையும் பெற வேண்டும். கடைசிப் பகுதிக்கு, சிறப்புத் தகவல் பாதுகாப்பு நிபுணர்களை ஈடுபடுத்துவது பகுத்தறிவு ஆகும், ஏனென்றால் அதை உடைப்பது எப்படி என்பதை அறிவது என்பது ஒரு கார்ப்பரேட் ஐடி உள்கட்டமைப்பின் யதார்த்தத்தில் அதை எவ்வாறு சரியாகவும் பாதுகாப்பாகவும் சரிசெய்வது என்பதை அறியாது.
முழு பெண்டெஸ்டும் பெரும்பாலும் ஒழுங்கமைக்கப்பட்ட கடைசி கூறு நிகழ்ச்சி. இத்தகைய தணிக்கையானது தெளிவுத்திறன் அடிப்படையில், குறிப்பாக தொழில் வல்லுநர்கள் அல்லாதவர்களுக்கு, மற்றவற்றை விட உயர்ந்த வரிசையாகும். இது சிறந்த வழிநிபுணர்கள் அல்லாதவர்களுக்கு அணுகக்கூடிய வடிவத்தில் நிறுவனத்தின் நிர்வாகத்திற்கு தகவல் பாதுகாப்பின் குறைபாடுகளை நிரூபிக்கவும். தலைமை நிர்வாக அதிகாரியின் பாஸ்போர்ட்டை ஸ்கேன் செய்து சுருக்கமான (இரண்டு பக்கங்கள்) நிர்வாகச் சுருக்கம், தலைப்பு பக்கம்பின்வரும் முழு 200-பக்க அறிக்கையை விட ஒரு ரகசிய அறிக்கை மற்றும் வாடிக்கையாளர் தளம் நிறுவனத்தின் தகவல் பாதுகாப்பிற்கு அதிக நன்மைகளை கொண்டு வரும். இதனால்தான், இதற்கு முன்னர் தகவல் பாதுகாப்பை உண்மையாகக் கையாளாத நிறுவனங்களால் பென்டெஸ்ட்கள் ஆர்டர் செய்யப்படுகின்றன, மேலும் வணிகம் மற்றும் பெரும்பாலும் தகவல் தொழில்நுட்பம், தற்போதுள்ள அபாயங்களின் தீவிரத்தை புரிந்து கொள்ளவில்லை.
சோதனை அளவுருக்கள்
Pentests மிகவும் வகைப்படுத்தலாம் வெவ்வேறு வழிகளில். உங்களுக்காக ஒரு பென்டெஸ்ட்டை உள்ளமைக்கும்போது நடைமுறை மதிப்புடையவற்றில் மட்டுமே நாங்கள் கவனம் செலுத்துவோம்.
வாடிக்கையாளரால் நிர்ணயிக்கப்பட்ட தாக்குதலின் இலக்கு பென்டெஸ்டிலிருந்து பெண்டெஸ்டுக்கு பெரிதும் மாறுபடும். "எங்களை மட்டும் ஹேக் செய்" என்பது பொதுவாக IT உள்கட்டமைப்பின் கட்டுப்பாட்டைக் கைப்பற்றுவதைக் குறிக்கிறது (டொமைன் நிர்வாகி உரிமைகள், பிணைய உபகரணங்கள்), வணிக அமைப்புகள் மற்றும் ரகசிய தகவல்களின் சமரசம். மற்றும் குறுகிய இலக்கு pentests உள்ளன. எடுத்துக்காட்டாக, பிசிஐ டிஎஸ்எஸ் கார்டு தரவு பாதுகாப்புத் தேவைகளுக்கான சான்றிதழின் ஒரு பகுதியாக, கார்டு தரவை சமரசம் செய்வதே வருடாந்திர கட்டாய பென்டெஸ்டின் நோக்கம். இங்கே, வேலையின் முதல் நாளிலேயே, வங்கியின் நெட்வொர்க் முழுமையாகப் பிடிக்கப்படலாம், ஆனால் இரகசியத் தரவுகளைக் கொண்ட கடைசி கோட்டை விழவில்லை என்றால், நிறுவனம் வெற்றிகரமாக சோதனையில் தேர்ச்சி பெறும்.
அமைப்பு பற்றிய அறிவின் மாதிரியானது ஊடுருவல் சோதனையாளரின் தொடக்க நிலையை தீர்மானிக்கிறது. இருந்து முழுமையான தகவல்அமைப்பு பற்றி ( வெள்ளை பெட்டி) அது முற்றிலும் இல்லாத வரை (கருப்பு பெட்டி). பெரும்பாலும் ஒரு நடுத்தர விருப்பமும் உள்ளது (சாம்பல் பெட்டி), எடுத்துக்காட்டாக, ஒரு பெண்டெஸ்டர் கணினியைப் பற்றிய சில தரவைக் கொண்ட ஒரு சலுகையற்ற பயனரின் செயல்களைப் பின்பற்றுகிறார். இது ஒரு சாதாரண எழுத்தர், ஒரு பங்குதாரர் நிறுவனம், அணுகல் உள்ள கிளையண்ட் ஆக இருக்கலாம் தனிப்பட்ட பகுதிமற்றும் பல. வெள்ளைப் பெட்டியானது ஒரு உன்னதமான பெண்டெஸ்ட்டை விட ஒரு தணிக்கை ஆகும். நீங்கள் ஒரு குறுகிய பகுதியில் பாதுகாப்பை விரிவாக படிக்க வேண்டியிருக்கும் போது இது பயன்படுத்தப்படுகிறது. எடுத்துக்காட்டாக, புதிய வாடிக்கையாளர் போர்டல் சோதனை செய்யப்படுகிறது. ஆராய்ச்சியாளருக்கு கணினியில் உள்ள அனைத்து தகவல்களும் வழங்கப்படுகின்றன, பெரும்பாலும் மூல குறியீடு. இது கணினியை விரிவாகப் படிக்க உதவுகிறது, ஆனால் உண்மையான தாக்குதல்களை உருவகப்படுத்தாது. பிளாக் பாக்ஸ் பென்டெஸ்ட் வாடிக்கையாளர்கள், கணினியைப் பற்றிய உள் தகவல் இல்லாத ஹேக்கரின் தாக்குதலின் முழுமையான உருவகப்படுத்துதலைப் பெற விரும்புகிறார்கள்.
அறிவு மாதிரியானது ஊடுருவும் மாதிரியின் கருத்துடன் வலுவாக மேலெழுகிறது. எங்களைத் தாக்குவது யார்: ஒரு வெளிப்புற ஹேக்கர், ஒரு உள், ஒரு நிர்வாகி? இந்த பிரிவு மிகவும் தன்னிச்சையானது. சமரசம் செய்யுங்கள் பணிநிலையம்தொழில்நுட்பக் கண்ணோட்டத்தில், ஒரு சாதாரண பயனர் அல்லது ஒப்பந்ததாரர் உடனடியாக ஒரு வெளிப்புற ஹேக்கரை உள் ஊடுருவும் நபராக மாற்றுகிறார்.
தகவல் பாதுகாப்பு நிபுணர்களின் விழிப்புணர்வின் நிலை, மேற்கொள்ளப்படும் வேலையைப் பற்றி யாருக்குத் தெரியும், எந்த விவரம் என்பதை தீர்மானிக்கிறது. பெரும்பாலும், உபகரணங்களுக்கு மேலதிகமாக, பணியாளர்களும் சோதிக்கப்படுகிறார்கள், எனவே பணி தகவல் பாதுகாப்பு அல்லது ஐடி இயக்குநரால் ஒருங்கிணைக்கப்படுகிறது, மேலும் நிர்வாகிகள் அவர்கள் உண்மையான ஹேக்கர்களுடன் போராடுகிறார்கள் என்று நம்புகிறார்கள், நிச்சயமாக, அவர்கள் தாக்குதலைக் கூட கவனிக்கிறார்கள். இத்தகைய சைபர் பயிற்சிகள் அமைப்புகளில் பாதிப்புகள் இருப்பதை மட்டுமல்லாமல், தகவல் பாதுகாப்பு செயல்முறைகளின் முதிர்ச்சி, துறைகளுக்கிடையேயான தொடர்பு நிலை போன்றவற்றையும் மதிப்பிடுவதை சாத்தியமாக்குகிறது. பாதுகாப்பு அமைப்புகளைப் பயிற்றுவிப்பதற்காக தாக்குபவர்களின் செயல்களைப் பின்பற்றுவதே இதற்கு நேர் எதிரானது. இந்த வழக்கில், பென்டெஸ்டர் ஒரு சிறிய பகுதியில் வேலை செய்கிறார், மேலும் நிர்வாகிகள் பாதுகாப்பு கருவிகள் மற்றும் தகவல் தொழில்நுட்ப அமைப்புகளின் எதிர்வினைகளை பதிவு செய்கிறார்கள், அமைப்புகளை சரிசெய்து, SIEM க்கான விதிகளை தயார் செய்கிறார்கள். எடுத்துக்காட்டாக, ஒரு ஹேக்கர் ஏற்கனவே மூடிய பிரிவில் ஊடுருவியிருக்கும் போது ஒரு சூழ்நிலை உருவகப்படுத்தப்படுகிறது. அமைப்புகளில் அவர் தனது சிறப்புரிமைகளை எவ்வாறு அதிகரிப்பார்? பாதுகாப்பு அமைப்புகளின் முழுமையான பயிற்சியை உறுதி செய்வதற்காக பென்டெஸ்டர் தனக்குத் தெரிந்த அனைத்து தாக்குதல் திசையன்களிலும் ஒவ்வொன்றாக வேலை செய்கிறார்.
தாக்குதல்களின் வகைகள்
பென்டெஸ்டர்களைப் போலவே தாக்குதல் வகைகளிலும் பல வகைப்பாடுகள் உள்ளன. நாம் பயன்படுத்தும் அடிப்படை தாக்குதல்களின் வகைப்பாட்டைக் கீழே தருகிறேன். நிச்சயமாக, மிகவும் முழுமையான pentest அனைத்து சாத்தியமான திசைகளிலும் தாக்குதல் ஆகும். ஆனால் பட்ஜெட், நேரம், நோக்கம் மற்றும் பென்டெஸ்ட் பணிகளின் வரம்புகள் உங்களை தேர்வு செய்ய கட்டாயப்படுத்துகின்றன.
வெளிப்புற உள்கட்டமைப்பு பென்டெஸ்ட் - இணையத்திலிருந்து பிணைய சுற்றளவு பகுப்பாய்வு. ஒரு பென்டெஸ்டர் கிடைக்கக்கூடிய நெட்வொர்க் சேவைகளை சமரசம் செய்ய முயற்சிக்கிறார், முடிந்தால், நெட்வொர்க்கிற்குள் தாக்குதலை உருவாக்குகிறார். இது ஒரு நிறுவனத்தின் நெட்வொர்க்கை வெளியில் இருந்து ஊடுருவுவதை நோக்கமாகக் கொண்ட உண்மையான தாக்குதலின் பிரதிபலிப்பு என்று பலர் நம்புகிறார்கள். உண்மையில், தாக்குபவர்கள் இன்று சமூக பொறியியல் முறைகளைப் பயன்படுத்தி 80-90% வழக்குகளில் நெட்வொர்க் சுற்றளவைக் கடக்கிறார்கள். கோட்டைச் சுவர்களுக்குக் கீழே ஒரு அற்புதமான சுரங்கப்பாதை இருந்தால் அவற்றை உடைக்க வேண்டிய அவசியமில்லை. இருப்பினும், இங்கும் அடிக்கடி துளைகள் உள்ளன. எடுத்துக்காட்டாக, நாங்கள் சமீபத்தில் ஒரு பெரிய விமான ஆலைக்கான பணியை மேற்கொண்டோம், இதன் போது, தானியங்கி பகுப்பாய்வின் கட்டத்தில் கூட, ஸ்கேனர் கணினிக்கான கடவுச்சொல்லை யூகித்தது தொலையியக்கி APCS. ரிமோட் அணுகலை முடக்க மறந்த ஒப்பந்ததாரரின் அலட்சியம், தொழில்நுட்ப திரவங்களைக் கொண்ட குழாய்களில் அழுத்தத்தை அதிக அளவில் அதிகரிக்க ஹேக்கரை அனுமதித்தது. அது உள்ளடக்கிய அனைத்தையும் கொண்டு, உண்மையில் மற்றும் அடையாளப்பூர்வமாக.
ஒரு பென்டெஸ்ட் என்பது பல் மருத்துவரிடம் ஒரு பரிசோதனை போன்றது: ஆரம்ப கட்டங்களில் சிக்கல்களைத் தடுக்க அதைத் தொடர்ந்து நடத்துவது நல்லது.
நிழல் ஐ.டி
தகவல் தொழில்நுட்பத்தின் ரேடாருக்கு வெளியே விழும் அமைப்புகளைப் பயன்படுத்தி ஊடுருவல்கள் அடிக்கடி நிகழ்கின்றன. சுற்றளவில் உள்ள அனைத்து சேவையகங்களும் புதுப்பிக்கப்பட்டுள்ளன, ஆனால் அவை IP தொலைபேசி அல்லது வீடியோ கண்காணிப்பு அமைப்பு பற்றி மறந்துவிட்டன. மேலும் ஹேக்கர் ஏற்கனவே உள்ளே இருக்கிறார். நிர்வாகிகளின் பார்வையில் இருந்து விழுந்த அத்தகைய உள்கட்டமைப்புக்கு, ஒரு சிறப்பு சொல் உள்ளது - நிழல் ஐடி. கார்ட்னர் 2020 ஆம் ஆண்டளவில், அனைத்து ஹேக்குகளிலும் மூன்றில் ஒரு பங்கு வரை நிழல் IT சம்பந்தப்பட்டதாக இருக்கும் என்று மதிப்பிடுகிறார். எங்கள் கருத்துப்படி, இது முற்றிலும் யதார்த்தமான மதிப்பீடு.
எடுத்துக்காட்டாக, ஒரு நாள் எங்கள் பெண்டெஸ்டர், ஒரு வங்கியின் முழுமையாகப் பாதுகாக்கப்பட்ட சுற்றளவில் புதுப்பிக்கப்படாத கால் சென்டர் அமைப்புகளைக் கண்டறிந்தார், இதன் மூலம் அனைத்து முக்கிய வங்கி AS அமைப்புகளும் 2 நாட்களில் முற்றிலும் சமரசம் செய்யப்பட்டன. அவர்களுக்குப் பொறுப்பு ஐடி துறை அல்ல, டெலிபோன் ஆபரேட்டர்கள்தான் என்று தெரியவந்தது. மற்றொரு சந்தர்ப்பத்தில், ஒரு பெண்டெஸ்ட்டுக்கான நுழைவுப் புள்ளியானது வரவேற்பாளர்களின் வலையமைப்பாகும், கார்ப்பரேட் ஒன்றிலிருந்து முற்றிலும் தனிமைப்படுத்தப்பட்டது. இரண்டு நாட்களுக்குப் பிறகு, நெட்வொர்க் முழுமையாகக் கைப்பற்றப்பட்டதாக பென்டெஸ்டர் தெரிவித்தபோது வாடிக்கையாளரின் ஆச்சரியத்தை கற்பனை செய்து பாருங்கள். அவர் புதுப்பிக்கப்படாத அச்சுப்பொறியை ஹேக் செய்து, அதில் ஒரு ஷெல்லைப் பதிவேற்றி, VLAN பிரிண்டர் மேலாண்மைக்கான அணுகலைப் பெற்றார். அவை அனைத்தையும் சமரசம் செய்ததன் மூலம், பென்டெஸ்டர் நிறுவனத்தின் அனைத்து அலுவலகப் பிரிவுகளுக்கும் அணுகலைப் பெற்றார்.
ஒரு உள் உள்கட்டமைப்பு பெண்டெஸ்ட் நெட்வொர்க்கிற்குள் ஒரு உள் அல்லது பாதிக்கப்பட்ட முனையின் செயல்களை உருவகப்படுத்துகிறது. தனிப்பட்ட பணிநிலையங்கள் அல்லது சேவையகங்களின் சமரசம் பாதுகாப்பின் முழுமையான முறிவுக்கு வழிவகுக்காத வகையில் பிணையம் கட்டமைக்கப்பட வேண்டும். உண்மையில், எங்கள் நடைமுறையில் பாதிக்கும் மேற்பட்ட வழக்குகளில், "ஒரு நெட்வொர்க் அவுட்லெட்டுக்கான அணுகல்" உரிமையிலிருந்து "டொமைன் நிர்வாகி" வரை ஒன்றுக்கு மேற்பட்ட வேலை நாட்கள் கடந்து செல்லாது.
நிறுவனத்தின் நெட்வொர்க் மிகவும் பெரியதாக இருக்கலாம், எனவே சில சமயங்களில் வாடிக்கையாளர் பென்டெஸ்டருக்கான தாக்குதல் இலக்குகளை தெளிவாக வரையறுக்க வேண்டும். எடுத்துக்காட்டாக, "ரகசியம்" எனக் குறிக்கப்பட்ட SAP மற்றும் நிதி ஆவணங்களுக்கான அணுகல். இது பெண்டெஸ்டர் தனது நேரத்தை மிகவும் திறமையாக செலவழிக்கவும், உண்மையான தனிப்பயன் ஹேக்கர் தாக்குதலை உருவகப்படுத்தவும் அனுமதிக்கும்.
வலை வளங்கள் பல்வேறு தொழில்நுட்பங்கள் மற்றும் குறிப்பிட்ட தாக்குதல்களின் ஒரு பெரிய வரம்பில், pentesting பார்வையில் இருந்து ஒரு தனி உலக பிரதிநிதித்துவம். நெட்வொர்க்கிற்கு அணுகல் உள்ள எதையும் வலை புரிந்து கொள்ள முடியும் என்பது தெளிவாகிறது. நெட்வொர்க்கிலிருந்து அணுகக்கூடிய பல்வேறு இணையதளங்கள், போர்ட்டல்கள் மற்றும் குறிப்பிட்ட APIகளை இங்கு குறிப்பிடுகிறோம். சராசரியாக, ஒரு நிறுவனத்திற்கு, அதன் முழு நெட்வொர்க் சுற்றளவையும் பகுப்பாய்வு செய்வது ஒரு வலைத்தளத்தை விட குறைவான நேரத்தை எடுக்கும், குறிப்பாக சில ஊடாடும் கூறுகள், தனிப்பட்ட கணக்கு போன்றவை இருந்தால். இந்த பகுதி உண்மையான ஏற்றத்தை அனுபவித்து வருகிறது, முதன்மையாக வங்கிகளால் இ-பிசினஸின் வளர்ச்சி மற்றும் இணையத்தில் சில்லறை வணிகம் பெருமளவில் நுழைந்தது.
ஒரு வலை வளத்தின் மீதான தாக்குதலின் முக்கிய முடிவுகள் பொதுவாக DBMS இலிருந்து தரவை சமரசம் செய்வது மற்றும் வாடிக்கையாளர்கள் மீதான தாக்குதலின் சாத்தியம் (உதாரணமாக, ஒவ்வொரு இரண்டாவது வங்கியின் வலைத்தளங்களிலும் பல்வேறு வகையான XSS காணப்படுகின்றன). சற்று குறைவாக அடிக்கடி, இணைய சேவையகத்தை சமரசம் செய்வது நிறுவனத்தின் நெட்வொர்க்கிலேயே ஊடுருவ அனுமதிக்கிறது, ஆனால் பெரும்பாலும், நீங்கள் தேடும் தரவு ஏற்கனவே சமரசம் செய்யப்பட்டிருந்தால், தாக்குபவர்களுக்கு இது அவசியமாக இருக்காது.
இணையத்தை பகுப்பாய்வு செய்யும் போது, தொழில்நுட்ப பகுதியை மட்டுமல்ல, வணிக செயல்பாடுகளின் செயல்பாட்டின் தர்க்கத்தையும் செயல்படுத்துவதையும் சரிபார்க்க வேண்டியது அவசியம். நீங்கள் இன்னும் சில நேரங்களில் ஆன்லைன் ஸ்டோரில் 99% தள்ளுபடியைப் பெறலாம் அல்லது வேறொருவரின் சேவையைப் பயன்படுத்தலாம் போனஸ் புள்ளிகள், முகவரிப் பட்டியில் உள்ள சேவையகத்திற்கான கோரிக்கை வரியை சிறிது மாற்றியமைக்கிறது.
வலையில் தாக்குதல்கள் நெட்வொர்க்கிற்குள்ளும் மேற்கொள்ளப்படலாம், ஏனெனில் பாதுகாப்பு உள்ளது உள் வளங்கள்பொதுவாக இது பற்றி சிந்திக்கவில்லை, ஆனால் உண்மையில் பெரும்பாலான ஹேக்கர்கள் உள்கட்டமைப்பை முதலில் தாக்குகிறார்கள், ஏனெனில் இது டொமைன் நிர்வாகிக்கான குறுகிய பாதையாகும். வேறு எதுவும் வேலை செய்யாதபோது அல்லது தனிமைப்படுத்தப்பட்ட நெட்வொர்க் பிரிவுகளுக்குள் செல்ல வேண்டியிருக்கும் போது அவர்கள் வலையை எடுத்துக்கொள்கிறார்கள்.
கடந்த இரண்டு ஆண்டுகளில் DDoS எதிர்ப்பு சோதனையில் அதிகரித்து வரும் ஆர்வம் குறிப்பாக கவனிக்கத்தக்கது. பெரிய தாக்குதல்கள் பற்றிய தகவல்கள் தொடர்ந்து பத்திரிகைகளில் தோன்றும், ஆனால் விஷயம் அவர்களுக்கு மட்டும் அல்ல. ஆன்லைன் சில்லறை விற்பனைப் பிரிவில், எடுத்துக்காட்டாக, உச்ச விற்பனையின் போது (விடுமுறை நாட்களுக்கு முன்பு), தாக்குதல்கள் கிட்டத்தட்ட தொடர்ச்சியாக நிகழ்கின்றன. பெரிய அளவிலான போக்குவரத்தை அனுப்புவதன் மூலம் தகவல்தொடர்பு சேனல் அல்லது சேவையக வளங்களை வெளியேற்றுவதை நோக்கமாகக் கொண்ட பழமையான தாக்குதல்களை என்ன செய்வது என்பது பொதுவாக தெளிவாக உள்ளது. பயன்பாட்டு நிலை தாக்குதல்களுக்கு ஆதாரத்தின் எதிர்ப்பைப் படிப்பது மிகவும் சுவாரஸ்யமானது. ஒரு கிளையண்ட் கூட ஒரு வலைத்தளத்திற்கு ஒப்பீட்டளவில் சிறிய எண்ணிக்கையிலான குறிப்பிட்ட கோரிக்கைகளை உருவாக்கினால் அதை செயலிழக்கச் செய்யலாம். எடுத்துக்காட்டாக, தளத் தேடல் புலத்தில் உள்ள குறிப்பிட்ட வினவல்கள் பின்-இறுதியை முற்றிலுமாக அழித்துவிடும்.
சமூக பொறியியல், அதாவது. மனிதனின் கவனமின்மை, கவனக்குறைவு அல்லது பயிற்சியின்மை போன்றவற்றை ஹேக் செய்ய பயன்படுத்துவது இன்று ஒரு நிறுவனத்தின் நெட்வொர்க்கில் ஊடுருவுவதற்கான மிகவும் பிரபலமான வழியாகிவிட்டது.
மேலும், இந்த ஸ்கிராப்பால் எந்தப் பயனும் இல்லை என்ற கருத்தும் நிலவுகிறது. ஒரு வசதி அல்லது அமைப்புகளுக்கான அணுகலைப் பெற அஞ்சல், தொலைபேசி மற்றும் தனிப்பட்ட தகவல்தொடர்பு மூலம் மோசடி செய்திகளை அனுப்புதல், பாதிக்கப்பட்ட நிறுவனத்தின் அலுவலகத்திற்கு அருகில் தீங்கிழைக்கும் இணைப்புகளுடன் ஃபிளாஷ் டிரைவ்களை சிதறடித்தல் மற்றும் பல நுட்பங்களை இந்த சொல் ஒருங்கிணைக்கிறது.
வைஃபை மீதான தாக்குதல்கள் உள் ஊடுருவல் காரணமாக தவறாகக் கூறப்படுகிறது. உங்கள் ஸ்மார்ட்ஃபோன் நுழைவாயிலுக்கு வெளியே கார்ப்பரேட் வைஃபை எடுக்கவில்லை என்றால், தாக்குபவர்கள் அதை அடைய முடியாது என்பதற்கு இது உத்தரவாதம் அளிக்காது. ஈபேயில் இருந்து ஒரு திசை ஆண்டெனா $100 விலையில் அணுகல் புள்ளியில் இருந்து ஒரு கிலோமீட்டருக்கும் அதிகமான தூரத்தில் இருந்து வேலை செய்ய அனுமதித்தது. பென்டெஸ்டிங்கில், வைஃபை எப்போதும் நெட்வொர்க்கிற்குள் ஊடுருவும் புள்ளியாக கருதப்படுவதில்லை. பெரும்பாலும் இது பயனர்களைத் தாக்கப் பயன்படுகிறது. எடுத்துக்காட்டாக, வேலை நாள் தொடங்கும் முன் ஒரு நிறுவனத்தின் நுழைவாயிலில் ஒரு பெண்டெஸ்டர் நிறுத்துகிறார் மற்றும் கார்ப்பரேட் வைஃபையின் அதே பெயரில் (SSID) நெட்வொர்க்கை வரிசைப்படுத்துகிறார். ஊழியர்களின் பைகள் மற்றும் பாக்கெட்டுகளில் உள்ள சாதனங்கள் ஒரு பழக்கமான நெட்வொர்க்கில் சேர முயல்கின்றன… டொமைன் உள்நுழைவு மற்றும் அங்கீகாரத்திற்கான கடவுச்சொல்லை அனுப்புகின்றன. பயனர்களின் மின்னஞ்சல், VPN சேவையகங்கள் போன்றவற்றை அணுக பென்டெஸ்டர் இந்த கசிவுகளைப் பயன்படுத்துகிறார்.
மொபைல் பயன்பாடுகளின் பகுப்பாய்வு, தாக்குபவர்களுக்கு எளிதாக்கப்படுகிறது, ஏனெனில் அவை கடையில் இருந்து எளிதாக பதிவிறக்கம் செய்யப்பட்டு சாண்ட்பாக்ஸில் விரிவாக ஆராயப்பட்டு, மூலக் குறியீட்டை மீட்டமைக்கும். சாதாரண வலை வளங்களைப் பொறுத்தவரை, அத்தகைய ஆடம்பரத்தை மட்டுமே ஒருவர் கனவு காண முடியும். இதனாலேயே இந்த தாக்குதல் திசையன் இன்று மிகவும் பிரபலமாக உள்ளது. மொபைல் வாடிக்கையாளர்கள்இப்போதெல்லாம் அவை வங்கிகள் மற்றும் சில்லறை விற்பனையாளர்களிடையே மிகவும் பொதுவானவை. அவர்கள் எல்லா இடங்களிலும் விடுவிக்கப்படுகிறார்கள், மேலும் பாதுகாப்பு பற்றி அவர்கள் கடைசியாக நினைக்கிறார்கள்.
வழக்கமாக, மொபைல் பயன்பாட்டின் ஆய்வை 3 கூறுகளாகப் பிரிக்கலாம்: பாதுகாப்பு துளைகளுக்கான மீட்டெடுக்கப்பட்ட மூலக் குறியீட்டின் பகுப்பாய்வு, சாண்ட்பாக்ஸில் உள்ள பயன்பாட்டைப் பற்றிய ஆய்வு மற்றும் பயன்பாடு மற்றும் சேவையகத்திற்கு இடையேயான தொடர்பு முறைகளின் பகுப்பாய்வு (தொகுப்பு உள்ளடக்கம், API , சேவையகத்தின் பாதிப்புகள்). மொபைல் பேங்கிங் அப்ளிகேஷனின் சர்வர் பக்கத்தின் API ஆனது, எந்தவொரு வங்கிக் கணக்கிலிருந்தும் வேறு எந்தக் கணக்கிற்கும் தன்னிச்சையான தொகையை மாற்றுவதற்கு காரணமான ஒரு பாக்கெட்டை உருவாக்கக்கூடிய வகையில் செயல்பட்டதாக சமீபத்தில் ஒரு வழக்கு இருந்தது. பயன்பாடு தொடங்குவதற்கு முன்பு இது ஆராய்ச்சி அல்ல - இது நீண்ட காலமாக உற்பத்தியில் இருந்தது. தகவல் பாதுகாப்பை விட மோசடிக்கு எதிரான போராட்டம் அடிக்கடி மறந்துவிட்டதால், இன்று பல மோசடி திட்டங்கள் மொபைல் பயன்பாடுகளைப் பயன்படுத்தி செயல்படுத்தப்படுகின்றன.
மூலக் குறியீட்டின் பகுப்பாய்வை ஒரு பென்டெஸ்டாகக் கருதுவது முற்றிலும் சரியானதல்ல, குறிப்பாக வாடிக்கையாளர் ஆராய்ச்சிக்கான மூலக் குறியீடுகளை திறந்த வடிவத்தில் சமர்ப்பித்தால். இது வெள்ளை பெட்டி பயன்பாட்டு பாதுகாப்பு தணிக்கை. இருப்பினும், அதிக அளவிலான பாதிப்புக் கண்டறிதலை உறுதி செய்வதற்காக இந்த வேலை பெரும்பாலும் பெண்டெஸ்டிங்குடன் இணைந்து மேற்கொள்ளப்படுகிறது, எனவே இது இங்கே குறிப்பிடத் தக்கது. குறியீடு பகுப்பாய்வின் போது காணப்படும் குறைபாடுகளை உறுதிப்படுத்த அல்லது மறுக்க Pentest உங்களை அனுமதிக்கிறது (எல்லாவற்றிற்கும் மேலாக, ஒரு குறிப்பிட்ட உள்கட்டமைப்பில், அனைத்து பாதுகாப்பு சிக்கல்களையும் உண்மையில் பயன்படுத்த முடியாது). குறியீடு பகுப்பாய்வைப் பாதிக்கும் தவறான நேர்மறைகளின் எண்ணிக்கையை இது கணிசமாகக் குறைக்கிறது, குறிப்பாக தானியங்கு. அதே நேரத்தில், குறியீடு பகுப்பாய்வின் விளைவாக, பென்டெஸ்டர் யூகிக்காத துளைகள் பெரும்பாலும் காணப்படுகின்றன.
எங்கள் அனுபவத்தில், மொபைல் பயன்பாடுகள் மற்றும் இணைய சேவைகளின் குறியீடு பகுப்பாய்வு பெரும்பாலும் ஆர்டர் செய்யப்படுகிறது, ஏனெனில் அவை தாக்குதல்களுக்கு மிகவும் எளிதில் பாதிக்கப்படுகின்றன.
ஒரு பென்டெஸ்ட் என்பது பல் மருத்துவரிடம் ஒரு பரிசோதனை போன்றது: ஆரம்ப கட்டங்களில் சிக்கல்களைத் தடுக்க அதைத் தொடர்ந்து நடத்துவது நல்லது.
பெண்டெஸ்ட் வரம்புகள்
ஒரு உண்மையான தாக்குதலிலிருந்து ஒரு பெண்டெஸ்ட்டை வேறுபடுத்தும் முக்கிய கட்டுப்பாடுகள், வெள்ளை தொப்பிகளை கடினமாக்குகிறது, குற்றவியல் குறியீடு மற்றும் நெறிமுறைகள். எடுத்துக்காட்டாக, வாடிக்கையாளரின் கூட்டாளிகள், ஊழியர்களின் வீட்டு கணினிகள் அல்லது தொலைத்தொடர்பு ஆபரேட்டர்களின் உள்கட்டமைப்பு ஆகியவற்றின் அமைப்புகளை ஒரு பெண்டெஸ்டர் பெரும்பாலும் தாக்க முடியாது; அவர் சமூக பொறியியலில் குற்றவாளிகளின் மிரட்டல், அச்சுறுத்தல்கள், மிரட்டல், லஞ்சம் மற்றும் பிற மிகவும் பயனுள்ள முறைகளைப் பயன்படுத்துவதில்லை. "தூய்மையான" பெண்டெஸ்ட்டின் கட்டமைப்பிற்குள் வெற்றிகரமான ஊடுருவலின் முடிவுகள் இன்னும் உறுதியானவை. உங்கள் பெண்டெஸ்டர் தனது வேலையின் ஒரு பகுதியாக சட்டத்தை மீறினால், உங்கள் முக்கிய அமைப்புகளுக்கு அருகில் அத்தகைய நபரை அனுமதிக்க வேண்டுமா என்று பத்து முறை சிந்தியுங்கள்.
இறுதியாக
Pentest, ஒரு மருத்துவ பரிசோதனை போன்றது, வருடத்திற்கு ஒரு முறையாவது மேற்கொள்ளப்பட வேண்டும் என்று பெரும்பாலான தரநிலைகளால் பரிந்துரைக்கப்படுகிறது. அதே நேரத்தில், பார்வையை மங்கலாக்குவதைத் தவிர்ப்பதற்கும் வெவ்வேறு கோணங்களில் பாதுகாப்பை மதிப்பிடுவதற்கும் வேலையைச் செய்யும் நிபுணர்களை அவ்வப்போது மாற்றுவது நல்லது. எல்லாவற்றிற்கும் மேலாக, எந்தவொரு நிபுணரும் அல்லது குழுவும் சில நிபுணத்துவத்தை ஒரு பட்டம் அல்லது இன்னொருவருக்கு உருவாக்குகிறது.
Pentesting என்பது பாதுகாப்பு நிபுணர்களுக்கான நேரம், செலவு மற்றும் மன அழுத்தம், ஆனால் IT உள்கட்டமைப்பின் பாதுகாப்பை மதிப்பிடுவதற்கு மிகவும் காட்சி மற்றும் யதார்த்தமான வழியைக் கண்டறிவது கடினம். எப்படியிருந்தாலும், ஒரு ஹேக்கரை விட, ஒப்பந்தம் செய்யப்பட்ட நிபுணர் துளையைக் கண்டுபிடிப்பது நல்லது. எல்லாவற்றிற்கும் மேலாக, பாதுகாப்புக்கான கூடுதல் நிதிகளை ஒதுக்குவதன் மூலம் தகவல் பாதுகாப்பு சேவைக்கு முதலாவது பெரும்பாலும் முடிவடைகிறது, இரண்டாவது - ஒரு புதிய வேலைக்கான தேடல்.
ஊடுருவல் சோதனை என்பது ஒரு நிறுவனத்தின் தகவல் தொழில்நுட்ப உள்கட்டமைப்பின் பாதுகாப்பை, ஊடுருவும் நபர்களின் தாக்குதல்களை அங்கீகரிக்கப்பட்ட மாதிரியாக்குவதன் மூலம் மதிப்பிடும் முறையாகும்.
சோதனையின் விலையைக் கண்டறியவும்
×
கருத்துப் படிவத்தை நிரப்பவும், சேவையின் விலையைத் தீர்மானிக்க உங்களுக்கு ஒரு கேள்வித்தாள் அனுப்பப்படும்
ரகசியத் தகவலைப் பாதுகாத்தல் மற்றும் நிறுவனத்தின் நற்பெயர் ஆகியவை தாக்குபவர்களிடமிருந்து IT உள்கட்டமைப்பு எவ்வளவு நம்பகத்தன்மையுடன் பாதுகாக்கப்படுகிறது என்பதைப் பொறுத்தது. எனவே, நடைமுறையில் அதன் பாதுகாப்பை சரிபார்க்க மிகவும் முக்கியமானது. பெரும்பாலும், பாதுகாப்பு கருவிகளின் உகந்த தொகுப்பு கூட தவறான உள்ளமைவு அமைப்புகளைக் கொண்டிருக்கலாம், இது பாதிப்புகளுக்கு வழிவகுக்கும் மற்றும் செயல்படுத்தப்படும் அச்சுறுத்தல்களின் சாத்தியக்கூறுகளை அதிகரிக்கிறது.
ஊடுருவல் சோதனை வேலை நோக்கமாக உள்ளது:
தற்போதைய பாதுகாப்பு நிலையின் சுயாதீனமான மற்றும் விரிவான மதிப்பீட்டைப் பெறுதல்.
தகவல் பாதுகாப்பு பிரச்சினைகள் குறித்த ஊழியர்களின் விழிப்புணர்வின் சுயாதீன மதிப்பீட்டைப் பெறுதல்.
வேலையின் போது, சமூக பொறியியல் முறைகளைப் பயன்படுத்தி வெளிப்புற மற்றும் உள் பாதுகாப்பு பகுப்பாய்வு மற்றும் சோதனை மேற்கொள்ளப்படுகிறது.
பாதுகாப்பு பகுப்பாய்வின் போது தீர்க்கப்படும் சிக்கல்கள்:
- தகவல் பாதுகாப்பு பாதிப்புகள் மற்றும் அவற்றின் சுரண்டல் முறைகளை கண்டறிதல்.
- வெளிப்புற நெட்வொர்க்குகளிலிருந்து உள்ளூர் கணினி நெட்வொர்க்கில் ஊடுருவுவதற்கான சாத்தியத்தை சரிபார்க்கிறது.
- அடையாளம் காணப்பட்ட பாதிப்புகளை நீக்கி பாதுகாப்பின் அளவை மேம்படுத்துவதற்கான பரிந்துரைகளை உருவாக்குதல்.
செயல்கள் (உதாரணமாக, சில பாதிப்புகளின் சுரண்டல்) ஆய்வின் கீழ் உள்ள வளங்களின் செயல்பாட்டில் தோல்விக்கு வழிவகுக்கலாம் என்றால், அத்தகைய பணிகள் கூடுதல் ஒப்புதலுக்குப் பிறகு மட்டுமே மேற்கொள்ளப்படுகின்றன. தேவைப்பட்டால், தேர்ந்தெடுக்கப்பட்ட வேலை சூழ்நிலையைப் பொறுத்து, சோதனைக்குப் பிறகு, வளங்களில் எதிர்மறையான தாக்கத்தை அகற்றுவதற்கான பணிகள் மேற்கொள்ளப்படுகின்றன.
பாதுகாப்பு பகுப்பாய்வு பணியின் போது அடையாளம் காணப்பட்ட பாதிப்புகளை உடனடியாக அகற்ற வேண்டியதன் அவசியம் குறித்து முடிவு எடுக்கப்பட்டால், பின்வரும் நடவடிக்கைகள் எடுக்கப்படுகின்றன:
- பாதிப்பு சுரண்டலின் முடிவுகளை பதிவு செய்தல் (ஸ்கிரீன்ஷாட்கள் வடிவில், சிறப்பு செயல்களின் பதிவு, கணினி செயல்பாட்டு பதிவுகள் போன்றவை)
- தேவையை தீர்மானித்தல் மற்றும் பாதிப்பை அகற்றுவதற்கான வழிகளை ஒப்புக்கொள்வது
- பாதிப்பை நீக்குகிறது
சோதனையின் நிலைகள்
பாதுகாப்பு பகுப்பாய்வு பணியைச் செய்யும்போது, பயன்பாடுகள், OS மற்றும் நெட்வொர்க் உள்கட்டமைப்பு மற்றும் சிறப்பு மென்பொருள் ஆகியவற்றில் உள்ள பாதிப்புகளைக் கண்டறிய உலகளாவிய பாதிப்பு ஸ்கேனர்கள் பயன்படுத்தப்படுகின்றன. ஊடுருவல் சோதனை வேலை மூன்று நிலைகளில் மேற்கொள்ளப்படுகிறது மற்றும் பின்வரும் நிலைகளை உள்ளடக்கியது:
நிலை 1 - வெளிப்புற பாதுகாப்பு பகுப்பாய்வு:
- வெளிப்புற பாதுகாப்பு பகுப்பாய்வை நடத்துவதற்கான திட்டத்தை வரைதல் மற்றும் பணிக்குழுவுடன் அதை ஒப்புக்கொள்வது
நிலை 2 - உள் பாதுகாப்பு பகுப்பாய்வு:
வாடிக்கையாளர் தளத்தில் வேலை மேற்கொள்ளப்படுகிறது.
- உள் பாதுகாப்பு பகுப்பாய்வு திட்டத்தை வரைதல் மற்றும் பணிக்குழுவுடன் அதை ஒப்புக்கொள்வது
- முடிவுகளின் பகுப்பாய்வு, அறிக்கையைத் தயாரித்தல் மற்றும் பணிக்குழுவின் ஒப்புதல்
நிலை 3 - சமூக பொறியியல் முறைகளைப் பயன்படுத்தி சோதனை:
வெளிப்புற தரவு நெட்வொர்க்குகளை (இன்டர்நெட்) பயன்படுத்தி தொலைதூரத்தில் பணி மேற்கொள்ளப்படுகிறது.
- சமூக பொறியியல் முறைகளைப் பயன்படுத்தி ஒரு சோதனைத் திட்டத்தை வரைதல் மற்றும் பணிக்குழுவுடன் அதை ஒப்புக்கொள்வது
- முடிவுகளின் பகுப்பாய்வு, அறிக்கையைத் தயாரித்தல் மற்றும் பணிக்குழுவின் ஒப்புதல்
வெளிப்புற பாதுகாப்பு பகுப்பாய்வு நடத்துதல்
இந்த கட்ட வேலையின் நோக்கம், ஆதாரங்கள் மற்றும் ரகசிய தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதற்கான தாக்குதலாளியின் திறனைச் சோதிப்பதாகும்.
பாதுகாப்பு பகுப்பாய்வு "கருப்பு பெட்டி" மாதிரியைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது (அங்கீகரிக்கப்பட்ட அணுகல் இல்லாமை, ஆரம்ப கட்டமைப்பு தரவு மற்றும் பயன்படுத்தப்படும் தகவல் பாதுகாப்பு நடவடிக்கைகள்).
வெளிப்புற பாதுகாப்பு பகுப்பாய்வின் ஒரு பகுதியாக, பின்வரும் வகையான வேலைகள் செய்யப்படுகின்றன:
- வெளிப்புற தரவு நெட்வொர்க்குகளிலிருந்து அணுகக்கூடிய வெளிப்புற ஆதாரங்களைப் பற்றிய பொதுவில் கிடைக்கும் தகவல்களின் சேகரிப்பு
- பாதுகாப்பு ஸ்கேனர்கள் மற்றும் சிறப்பு மென்பொருளைப் பயன்படுத்தி வளங்களின் பாதிப்புகள் மற்றும் அவற்றின் உள்கட்டமைப்பு கூறுகளைத் தேடுதல்
- குறுக்கு-தள ஸ்கிரிப்டிங்
- குறுக்கு தள கோரிக்கை மோசடி
- திறந்த வழிமாற்று
- சோதனையில் உள்ள கணினியைப் பற்றிய கூடுதல் தகவலை வழங்கும் தவறான பிழை கையாளுதல்
உள் பாதுகாப்பு பகுப்பாய்வு நடத்துதல்
இந்த கட்ட வேலையின் நோக்கம், ஆதாரங்கள் மற்றும் ரகசியத் தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலை (இனி ASD என குறிப்பிடப்படுகிறது) மேற்கொள்ளும் தாக்குபவர்களின் திறனைச் சோதிப்பதாகும்.
பாதுகாப்பு பகுப்பாய்வு "சாம்பல் பெட்டி" மாதிரியைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது (அமைப்புகளுக்கு அங்கீகரிக்கப்பட்ட அணுகலை வழங்குகிறது).
உள் பாதுகாப்பு பகுப்பாய்வின் ஒரு பகுதியாக, பின்வரும் வகையான வேலைகள் செய்யப்படுகின்றன:
- உள்கட்டமைப்பு (நெட்வொர்க் சேவைகள், இயக்க முறைமைகள் மற்றும் வெளிப்புற வளங்களின் பயன்பாட்டு மென்பொருள்) பற்றிய தரவுகளை சேகரித்தல், சிறப்பு மென்பொருளைப் பயன்படுத்தி பாதிப்புகளை கண்டறிதல் மற்றும் உலகளாவிய ஸ்கேனர்கள்பாதுகாப்பு
- பாதுகாப்பு ஸ்கேனர்கள் மற்றும் சிறப்பு மென்பொருளைப் பயன்படுத்தி வாடிக்கையாளரின் வளங்கள் மற்றும் அவற்றின் உள்கட்டமைப்பு கூறுகளின் பாதிப்புகளைத் தேடுதல்
- சிறப்பு மென்பொருளைப் பயன்படுத்தி அடையாளம் காணப்பட்ட பாதிப்புகளை கைமுறையாகப் பயன்படுத்தி, அடையாளம் காணப்பட்ட பாதிப்புகளின் தொடர்பு மற்றும் மென்பொருள் தயாரிப்புக் கூறுகள் மற்றும் ரகசியத் தகவல்களுக்கான வடிவமைப்பு ஆவணங்களைப் பெறுவதற்கான சாத்தியக்கூறுகளைத் தீர்மானித்தல்
பாதிப்புகளைத் தேடும் செயல்பாட்டில், மற்றவற்றுடன், பின்வரும் முக்கிய வகை பாதிப்புகள் இருப்பது சரிபார்க்கப்படுகிறது:
- குறியீடு துண்டுகளின் ஊசி (உதாரணமாக, ஊசி SQL அறிக்கைகள், இயக்க முறைமை கட்டளைகளை செயல்படுத்துதல்
- பாதுகாப்பற்ற முறையில் செயல்படுத்தப்பட்ட அங்கீகாரம் மற்றும் அமர்வு மேலாண்மை நடைமுறைகள்
- குறுக்கு-தள ஸ்கிரிப்டிங்
- அணுகல் கட்டுப்பாட்டுப் பிழைகள் (உதாரணமாக, இரகசியத் தகவலுடன் கூடிய பொருள்களுக்கான நேரடி இணைப்புகள், அடைவு குறுக்குவழி பாதிப்புகள்)
- பாதுகாப்பற்ற மென்பொருள் உள்ளமைவு (உதாரணமாக, அடைவு பட்டியல்களை இயக்குதல்)
- இரகசிய தகவலை வெளிப்படுத்துதல் (உதாரணமாக, பிற பயனர்களின் தனிப்பட்ட தரவை பயனருக்கு வழங்குதல்)
- சில செயல்பாடுகளுக்கான பயனர் அணுகலைக் கட்டுப்படுத்தும் பிழைகள்
- குறுக்கு தள கோரிக்கை மோசடி
- சோதனையில் உள்ள கணினியைப் பற்றிய கூடுதல் தகவலை வழங்கும் தவறான பிழை கையாளுதல்
- அறியப்பட்ட பாதிப்புகளுடன் OS மற்றும் மென்பொருளின் பயன்பாடு
- திறந்த வழிமாற்று
- வெளிப்புற எக்ஸ்எம்எல் நிறுவனங்களை செயலாக்குகிறது
- சோதனையில் உள்ள கணினியைப் பற்றிய கூடுதல் தகவலை வழங்கும் தவறான பிழை கையாளுதல்
- பயன்பாடு எளிய கடவுச்சொற்கள்அங்கீகாரத்தின் போது
சமூக பொறியியல் முறைகளைப் பயன்படுத்தி சோதனை நடத்துதல்
தகவல் பாதுகாப்பு சிக்கல்களில் வாடிக்கையாளர் ஊழியர்களின் விழிப்புணர்வை மதிப்பிடுவதே இந்த கட்ட வேலையின் நோக்கம்.
சமூக பொறியியல் சோதனையின் ஒரு பகுதியாக, பின்வரும் சூழ்நிலைகளில் வாடிக்கையாளர் ஊழியர்கள் மீது தாக்குதல்கள் நடத்தப்படுகின்றன:
- ஃபிஷிங் - ஒரு தாக்குதல் மூலம் மேற்கொள்ளப்படுகிறது மின்னஞ்சல். தாக்குதலின் எடுத்துக்காட்டு: ஒரு ஊழியர் தனது பணிக்காக "புதிய மற்றும் மிகவும் பயனுள்ள சேவையுடன்" ஒரு நிறுவனத்தின் சார்பாக ஒரு இணைப்பு அனுப்பப்படுகிறார். கடிதத்தில் சேவையின் விளக்கமும் ஒரு குறிப்பிட்ட பணியாளருக்கு அவர்களின் பணியில் எவ்வாறு சரியாக உதவ வேண்டும் என்பதும் உள்ளது. மேலும், செயல்பாடுகள் மற்றும் அனைத்தும் சரியாக செயல்படுகிறதா என்பதை சரிபார்க்க கடிதம் கேட்கிறது. பணியானது ஒரு பணியாளரை இந்தச் சேவைக்குச் சென்று டொமைன் நற்சான்றிதழ்களைப் பயன்படுத்தி பதிவு செய்ய முயலுவதை நோக்கமாகக் கொண்டுள்ளது.
- ட்ரோஜன் ஹார்ஸ் - மின்னஞ்சல் மூலம் தாக்குதல் நடத்தப்படுகிறது. தாக்குதலின் எடுத்துக்காட்டு: ஒரு ஊழியர் அனுப்பப்பட்டார் செயல்படுத்தபடகூடிய கோப்பு, பணியாளரின் நிலையைப் பொறுத்து கடிதத்தின் உள்ளடக்கம் வேறுபட்டிருக்கலாம்: மேலாளருக்கான ஒப்பந்தம், ப்ரோகிராமருக்கான பிழைகளின் பட்டியல், முதலியன. பணியானது பணியாளர் திட்டத்தைத் தொடங்குவதை உறுதி செய்வதை நோக்கமாகக் கொண்டுள்ளது. உள்ளூர் கணினிமற்றும் அத்தகைய ஒரு திட்டத்தை தொடங்கும் உண்மையை பதிவு செய்ய.
- தொலைபேசி தாக்குதல் - மூலம் தாக்குதல் நடத்தப்படுகிறது தொலைபேசி அழைப்பு. பணியானது ஒரு நம்பத்தகுந்த கவர் ஸ்டோரியைக் கொண்டு வருவதன் மூலம் ஒரு ஊழியரின் நம்பிக்கையைப் பெறுவதை நோக்கமாகக் கொண்டுள்ளது, பின்னர் பணியாளரின் ரகசியத் தகவல் அல்லது நற்சான்றிதழ்களைக் கண்டறிதல். ஒரு புராணக்கதையின் உதாரணம்: “புதிய தொழில்நுட்ப ஊழியர். சேவையை வரிசைப்படுத்துவதற்கான முதல் பணியை ஆதரவு செய்கிறது மற்றும் அது சரியாக வேலை செய்கிறது என்பதை சரிபார்க்க வேண்டும். பணியாளரிடம் உதவி கேட்கிறார்: சுயாதீனமாக உள்நுழையவும் அல்லது உங்கள் பயனர்பெயர் மற்றும் கடவுச்சொல்லை அவரிடம் சொல்லவும்.
முடிவுகளின் பகுப்பாய்வு
பணியின் முடிவு பின்வரும் தகவலைக் கொண்ட ஒரு அறிக்கையாகும்.
கணினியின் பாதுகாப்பைச் சரிபார்க்கப் பயன்படுத்தப்படும் அடிப்படைக் கருவிகள் தானாக கணினித் தரவைச் சேகரிக்கும் கருவிகள் மற்றும் ஊடுருவல் சோதனை. தகவல் பாதுகாப்பிற்கான பகுப்பாய்வு தீர்வுகளின் முன்னணி உற்பத்தியாளர்களில் ஒருவரான Rapid7 இன் Rapid7 Metasploit தயாரிப்பின் உதாரணத்தைப் பயன்படுத்தி அத்தகைய கருவிகளின் செயல்பாட்டுக் கொள்கையை பரிசீலிக்க நாங்கள் முன்மொழிகிறோம், இது Gartner மற்றும் Forrester உள்ளிட்ட செல்வாக்குமிக்க ஆராய்ச்சி மற்றும் ஆலோசனை நிறுவனங்களால் மிகவும் மதிப்பிடப்படுகிறது.
அறிமுகம்
ஊடுருவல் சோதனை (பென்டெஸ்ட்) என்பது பாதுகாப்பு அமைப்பின் தரத்தை மதிப்பிடுவதற்கான மிகவும் பயனுள்ள முறைகளில் ஒன்றாகும். தகவல் தொழில்நுட்ப உள்கட்டமைப்பில் உள்ள பாதிப்புகளைக் கண்டறிதல், பாதிப்புகளைச் சுரண்டுவதற்கான சாத்தியக்கூறுகளை நிரூபிப்பது மற்றும் அவற்றை நீக்குவதற்கான பரிந்துரைகளைத் தயாரிப்பது ஆகியவற்றை நோக்கமாகக் கொண்டு இது மேற்கொள்ளப்படுகிறது. சோதனை நடைமுறைகள் உரிமையாளரின் முன்முயற்சியில் மேற்கொள்ளப்படுகின்றன தகவல் அமைப்புமற்றும் தகவல் பாதுகாப்பு சம்பவங்கள், அடிக்கடி நிதி மற்றும் நற்பெயர் இழப்புகள், வாடிக்கையாளர்கள் மற்றும் கூட்டாளர் நிறுவனங்களின் பிரதிநிதிகளுடன் விரும்பத்தகாத விளக்கங்கள் மற்றும் பிற விரும்பத்தகாத விளைவுகள் ஆகியவற்றைத் தடுப்பதை நோக்கமாகக் கொண்டுள்ளன.
IN இரஷ்ய கூட்டமைப்புஊடுருவல் சோதனை நடத்த வேண்டியதன் அவசியத்தை தீர்மானிக்கும் ஒரு குறிப்பிடத்தக்க காரணி ஒழுங்குமுறை தேவைகள் ஆகும். பிந்தையது பாதுகாப்பு அமைப்பின் செயல்திறனைச் சரிபார்ப்பதை மிக முக்கியமான நடவடிக்கையாகக் கருதுகிறது, மேலும் தொடர்புடைய விதிகள் ஒழுங்குமுறை மற்றும் வழிமுறை ஆவணங்களில் சேர்க்கப்பட்டுள்ளன. முதலாவதாக, இது சம்பந்தமாக, கணிசமான எண்ணிக்கையிலான தகவல் அமைப்புகளை உள்ளடக்கிய ஒழுங்குமுறை ஆவணங்களைக் குறிப்பிடுவது பொருத்தமானது - ரஷ்யாவின் FSTEC இன் உத்தரவுகள் எண் 17 மற்றும் 21.
இந்த ஆவணங்கள், "தகவல் அமைப்புக்கு அங்கீகரிக்கப்படாத அணுகலை (செல்வாக்கு) முயற்சிப்பதன் மூலம், அதன் தகவல் பாதுகாப்பு அமைப்பைத் தவிர்த்து, சான்றிதழ் கட்டத்தில் தகவல் பாதுகாப்பு அமைப்பைச் சோதிப்பது" என்ற வடிவத்தில் ஒரு பாதுகாப்பு நடவடிக்கையை வரையறுக்கிறது. பாதுகாப்பு அமைப்பின் செயல்திறனைச் சரிபார்ப்பதை உள்ளடக்கிய தகவல் அமைப்புகளின் சான்றிதழ், மாநில ரகசியங்களைச் செயலாக்கும் தகவல் அமைப்புகளுக்கான தேவையும் உள்ளது.
சர்வதேச அளவில், பணம் செலுத்தும் அட்டை தொழில் தரவு பாதுகாப்பு தரநிலை PCI DSS (கட்டண அட்டை தொழில் தரவு பாதுகாப்பு தரநிலை) கவனிக்க அறிவுறுத்தப்படுகிறது. விசா மற்றும் மாஸ்டர்கார்டு கட்டண அட்டைகளின் செயலாக்கத்தில் ஈடுபட்டுள்ள அனைத்து நிறுவனங்களுக்கும் பிசிஐ டிஎஸ்எஸ் தரநிலையின் விதிகளுக்கு இணங்குவது கட்டாயமாகும்: வணிகர்கள், செயலாக்க மையங்கள், கையகப்படுத்துபவர்கள், வழங்குபவர்கள் மற்றும் சேவை வழங்குநர்கள், அத்துடன் வைத்திருப்பவரைச் சேமிக்கும், செயலாக்கும் அல்லது அனுப்பும் அனைத்து நிறுவனங்களும் தரவு அட்டைகள் மற்றும் முக்கியமான அங்கீகார தரவு. தகவல் அமைப்பு நெட்வொர்க்கிற்கு உள்ளேயும் வெளியேயும் பாதிப்பு பகுப்பாய்வு மற்றும் ஊடுருவல் சோதனை ஆகியவற்றை தரநிலையின் விதிகள் வழங்குகின்றன. வெளிப்புற மற்றும் உள் ஊடுருவல் சோதனைகள் குறைந்தபட்சம் ஒரு வருடத்திற்கு ஒருமுறை நடத்தப்பட வேண்டும் மற்றும் உள்கட்டமைப்பு/பயன்பாடுகளில் ஏதேனும் குறிப்பிடத்தக்க மாற்றங்கள் அல்லது மேம்படுத்தல்களுக்குப் பிறகு நடத்தப்பட வேண்டும்.
தகவல் பாதுகாப்பு நிபுணர்களுக்கான மேம்பட்ட பயிற்சியின் ஒரு பகுதியாக ஊடுருவல் சோதனை (பென்டெஸ்ட்) செய்யப்படலாம் மற்றும் தகவல் பாதுகாப்பு தொடர்பான சிறப்புகளில் படிக்கும் மாணவர்களால் நடைமுறை திறன்களைப் பெறுதல், அத்துடன் அவர்களின் சொந்த தயாரிப்புகளின் தகவல் பாதுகாப்பு கருவி டெவலப்பர்களால் சோதிக்கப்படும்.
வெளிப்படையாக, இந்த அனைத்து நோக்கங்களுக்காகவும், நெட்வொர்க் பாதுகாப்பு, இணைய பயன்பாட்டு பாதுகாப்பு, தரவுத்தள பாதுகாப்பு மற்றும் ஊடுருவல் சோதனை உத்திகள் ஆகியவற்றை உள்ளடக்கிய ஒரு ஒருங்கிணைந்த அச்சுறுத்தல் மேலாண்மை தீர்வு மிகவும் தேவை, மேலும் உள்நாட்டு மற்றும் சர்வதேச விதிமுறைகளின் தேவைகளுக்கு இணங்க போதுமான செயல்பாட்டைக் கொண்டுள்ளது. மற்றும் கற்றல் செயல்பாட்டில் பயன்படுத்தவும். இத்தகைய தீர்வுகளில் Rapid7 Metasploit ஆனது Rapid7 ஆல் தயாரிக்கப்பட்டது, இது 2000 இல் நிறுவப்பட்டது மற்றும் IT சூழல்களில் தகவல் பாதுகாப்பு அமைப்புகளை பகுப்பாய்வு செய்வதற்கும் ஒழுங்கமைப்பதற்கும் தயாரிப்புகளின் முன்னணி உற்பத்தியாளர்களில் ஒன்றாகும். ஒரு முக்கியமான நன்மை மென்பொருள்மெய்நிகர் மற்றும் மொபைல், அத்துடன் பொது மற்றும் தனியார் மேகங்கள் உட்பட எந்தவொரு சூழலிலும் உள்ள சொத்துக்கள் மற்றும் பயனர்களின் பாதுகாப்பு தோரணையை Rapid7 வழங்குகிறது.
Rapid7 மெட்டாஸ்ப்ளோயிட் தீர்வை மதிப்பிடுவதற்கு, அதே உற்பத்தியாளரின் தீர்வைப் பயன்படுத்தலாம் - டெமோ பாதிக்கப்படக்கூடிய மெட்டாஸ்ப்ளோயிட்டபிள் மெய்நிகர் இயந்திரம் பொருத்தப்பட்டுள்ளது. உபுண்டு லினக்ஸ். மெய்நிகர் இயந்திரம் VMWare, VirtualBox மற்றும் பிற பொதுவான மெய்நிகராக்க தளங்களுடன் இணக்கமானது.
ஒரு முக்கியமான உதவி என்னவென்றால், Rapid7 Metasploit ஆனது Rapid7 Nexpose பாதிப்பு ஸ்கேனருடன் இணக்கமானது, அதன் வெளியீட்டைத் தொடங்கலாம், மேலும் பிந்தைய முடிவுகளைப் பயன்படுத்தலாம்.
Rapid7 Metasploit உடன் பணிபுரிவதற்கான பொதுவான நடைமுறையைப் பார்ப்போம்.
Rapid7 Metasploit உடன் எவ்வாறு வேலை செய்வது
IN பொதுவான பார்வை Rapid7 Metasploit உடன் பணிபுரிவது பின்வரும் படிகளைக் கொண்டுள்ளது:
- ஒரு திட்டத்தை உருவாக்குதல். ஊடுருவல் சோதனை மற்றும் செய்ய வேண்டிய பணிகளின் உள்ளமைவை உருவாக்கப் பயன்படுத்தப்படும் பணியிடத்தை இந்தத் திட்டத்தில் கொண்டுள்ளது. ஒவ்வொரு ஊடுருவல் சோதனையும் அதன் சொந்த திட்டத்திலிருந்து இயக்கப்படுகிறது.
- தகவல் சேகரிப்பு. இந்த கட்டத்தில், Rapid7 Metasploit இலக்கு நெட்வொர்க் பற்றிய தகவல்களை சேகரிக்கிறது: நிறுவப்பட்டது OS, திறந்த துறைமுகங்கள், இயங்கும் ஹோஸ்ட்கள் மற்றும் செயல்முறைகள். இந்த நிலையில் Rapid7 Nexpose பாதிப்பு ஸ்கேனரையும் பயன்படுத்தலாம். ஸ்கேன் செய்யும் போது, பெறப்பட்ட தரவு அனைத்தும் திட்டத்தில் தானாகவே சேமிக்கப்படும்.
- சுரண்டல்களைப் பயன்படுத்துதல். தாக்குதல் கைமுறையாக அல்லது சுரண்டல் தரவுத்தளத்தைப் பயன்படுத்தி மேற்கொள்ளப்படலாம். இது படி 2 இல் பெறப்பட்ட பிணைய தரவைப் பயன்படுத்துகிறது.
- சமரசம் செய்யப்பட்ட அமைப்பில் எடுக்கப்பட்ட நடவடிக்கைகள். அணுகலைப் பெற்ற பிறகு, ஒரு சுரண்டல் பேலோட் பயன்படுத்தப்படுகிறது, அதன் உதவியுடன் கூடுதல் தகவல்களைச் சேகரிக்க ஊடாடும் அமர்வுகள் தொடங்கப்படுகின்றன, மேலும் இயக்க முறைமை மற்றும் பயன்பாடுகள், ஸ்கிரீன்ஷாட்கள், படங்கள் ஆகியவற்றில் சேமிக்கப்பட்ட கடவுச்சொற்களை தானாக சேகரிக்க பிந்தைய சுரண்டல் தொகுதிகளைப் பயன்படுத்தவும் முடியும். வெப் கேமராக்கள், விசை அழுத்தங்களை பதிவு செய்தல், சேகரித்தல் கட்டமைப்பு கோப்புகள், பயன்பாடுகளைத் தொடங்குதல் போன்றவை.
Rapid7 Metasploit பதிப்புகளின் ஒப்பீடு
Rapid7 Metasploit பல பதிப்புகளில் கிடைக்கிறது, வழங்கப்பட்ட செயல்பாடுகளின் நோக்கம் மற்றும் பயன்பாட்டிற்கான உரிமத்தின் வகை ஆகியவற்றில் வேறுபடுகிறது. பின்வரும் தயாரிப்பு பதிப்புகள் தற்போது கிடைக்கின்றன:
- கட்டமைப்பு
- சமூக
- எக்ஸ்பிரஸ்
தயாரிப்பின் ஒவ்வொரு பதிப்பிலும் எந்த இலக்கு செயல்பாடுகள் செயல்படுத்தப்படுகின்றன என்பது பற்றிய தகவலை அட்டவணை வழங்குகிறது. வசதிக்காக, வெவ்வேறு வண்ணங்களைப் பயன்படுத்தி, இலக்கு செயல்பாடுகள் அவற்றின் முக்கிய நோக்கத்தின்படி குழுக்களாக பிரிக்கப்படுகின்றன:
- கூறு பண்புகள் மற்றும் நெட்வொர்க் பாதிப்புகள் பற்றிய தரவுகளை சேகரிக்கவும்.
- ஊடுருவல் சோதனை.
- ஃபிஷிங் பணிகளைச் செய்யுங்கள்.
- இணைய பயன்பாடுகளை சோதிக்கிறது.
- அறிக்கைகளை உருவாக்குதல்.
- கட்டுப்பாடு.
அட்டவணை 1. Rapid7 Metasploit பதிப்புகளின் ஒப்பீடு
| பண்பு | ப்ரோ | எக்ஸ்பிரஸ் | சமூக |
| ஸ்கேன் தரவை இறக்குமதி செய்கிறது (தரவு இறக்குமதியை ஸ்கேன் செய்யவும்) |
✔ | ✔ | ✔ |
| கண்டறிதலுடன் ஸ்கேன் செய்கிறது (டிஸ்கவரி ஸ்கேன்) |
✔ | ✔ | ✔ |
| Nexpose பாதிப்பு மேலாண்மை அமைப்புடன் ஒருங்கிணைப்பு (நெக்ஸ்போஸ் ஸ்கேன் ஒருங்கிணைப்பு) |
✔ | ✔ | ✔ |
| தரவு ஏற்றுமதி (தரவு ஏற்றுமதி) |
✔ | ✔ | ✔ |
| சுரண்டல்களை கைமுறையாகத் தொடங்குதல் (கைமுறை சுரண்டல்) |
✔ | ✔ | ✔ |
| இணைய இடைமுகம் (இணைய இடைமுகம்) |
✔ | ✔ | ✔ |
| அமர்வு மேலாண்மை (அமர்வு மேலாண்மை) |
✔ | ✔ | ✔ |
| நற்சான்றிதழ் மேலாண்மை (நற்சான்றிதழ் மேலாண்மை) |
✔ | ✔ | ✔ |
| ஒரு வலுவான புள்ளி வழியாக ஊடுருவல் (ப்ராக்ஸி பிவோட்) |
✔ | ✔ | ✔ |
| சமரசத்திற்குப் பிறகு தொகுதிகள் செயல்படுத்தப்பட்டன (சுரண்டலுக்குப் பிந்தைய தொகுதிகள்) |
✔ | ✔ | ✔ |
| அமர்வு தீர்வு (அமர்வு சுத்தம்) |
✔ | ✔ | ✔ |
| தேர்வு முறை (ப்ரூட்ஃபோர்ஸ்) |
✔ | ✔ | |
| ஆதாரங்கள் சேகரிப்பு (ஆதார சேகரிப்பு) |
✔ | ✔ | |
| ஆய்வை பதிவு செய்தல் (தணிக்கை அறிக்கை) |
✔ | ✔ | |
| செயல்பாடு அறிக்கை (செயல்பாட்டு அறிக்கை) |
✔ | ✔ | |
| சமரசம் செய்யப்பட்ட மற்றும் பாதிக்கப்படக்கூடிய ஹோஸ்ட்களின் அறிக்கை (சமரசம் செய்யப்பட்ட மற்றும் பாதிக்கப்படக்கூடிய புரவலர்களின் அறிக்கை) |
✔ | ✔ | |
| நற்சான்றிதழ் அறிக்கை (நற்சான்றிதழ்கள் அறிக்கை) |
✔ | ✔ | |
| சேவை செயல்திறன் பற்றிய அறிக்கை (சேவைகள் அறிக்கை) |
✔ | ✔ | |
| நற்சான்றிதழ்களை மீண்டும் பயன்படுத்துதல் (நற்சான்றிதழ்கள் மறுபயன்பாடு) |
✔ | ✔ | |
| ஆண்டிவைரஸைத் தவிர்க்கும் முயற்சி (வைரஸ் எதிர்ப்பு ஏய்ப்பு) |
✔ | ✔ | |
| ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்புகளைத் தவிர்ப்பதற்கான முயற்சி (ஐபிஎஸ்/ஐடிஎஸ் ஏய்ப்பு) |
✔ | ✔ | |
| ஒரு அமர்வை மீண்டும் தொடங்குகிறது (அமர்வு மீண்டும்) |
✔ | ✔ | |
| சமரசத்தின் தொழில்நுட்ப செயல்முறை (சுரண்டல் பணிப்பாய்வு) |
✔ | ✔ | |
| விளையாடும் பணிகள் (பணி மறுபதிப்பு) |
✔ | ✔ | |
| தரவு லேபிளிங் (தரவைக் குறியிடுதல்) |
✔ | ||
| பிசிஐ டிஎஸ்எஸ் இணக்க அறிக்கை (PCI அறிக்கை) |
✔ | ||
| FISMA இணக்க அறிக்கை (ஃபிஸ்மா அறிக்கை) |
✔ | ||
| விரைவான ஊடுருவல் சோதனைக்கான "மாஸ்டர்" (விரைவு பென்டெஸ்ட் வழிகாட்டி) |
✔ | ||
| பாதிப்புகளைச் சரிபார்ப்பதற்கான "வழிகாட்டி" (பாதிப்பு சரிபார்ப்பு வழிகாட்டி) |
✔ | ||
| சோனார் குறியீடு தர ஸ்கேனிங் அமைப்புடன் ஒருங்கிணைப்பு (திட்டம் சோனார் ஒருங்கிணைப்பு) |
✔ | ||
| ஃபிஷிங்கிற்கான "மாஸ்டர்" (ஃபிஷிங் வழிகாட்டி) |
✔ | ||
| சமூக தொழில்நுட்ப பகுப்பாய்வு (சமூக பொறியியல்) |
✔ | ||
| இணையப் பயன்பாடுகளைச் சோதிப்பதற்கான "விஸார்ட்" (வலை பயன்பாட்டு சோதனை வழிகாட்டி) |
✔ | ||
| இணைய விண்ணப்ப சோதனை (வலை பயன்பாட்டு சோதனை) |
✔ | ||
| VPN சுரங்கப்பாதையைப் பயன்படுத்தி ஒரு வலுவான புள்ளி வழியாக ஊடுருவல் (VPN பிவோட்டிங்) |
✔ | ||
| பேலோட் ஜெனரேட்டர் (பேலோட் ஜெனரேட்டர்) |
✔ | ||
| சமரசத்திற்குப் பிறகு மேக்ரோக்கள் செயல்படுத்தப்பட்டன (சுரண்டலுக்குப் பிந்தைய மேக்ரோக்கள்) |
✔ | ||
| தொடர்ச்சியான அமர்வுகள் (தொடர் அமர்வுகள்) |
✔ | ||
| மெட்டா தொகுதிகள் (MetaModules) |
✔ | ||
| குழுப்பணி (குழு ஒத்துழைப்பு) |
✔ | ||
| பணி சங்கிலிகள் (பணி சங்கிலிகள்) |
✔ | ||
| காப்பு மற்றும் மீட்பு (காப்பு மற்றும் மீட்பு) |
✔ | ||
| விருப்ப அறிக்கை (தனிப்பயன் அறிக்கை) |
✔ | ||
| சமூக தொழில்நுட்ப அறிக்கை (சமூக பொறியியல் அறிக்கை) |
✔ | ||
| இணைய விண்ணப்ப மதிப்பீட்டு அறிக்கை (இணைய விண்ணப்ப மதிப்பீட்டு அறிக்கை) |
✔ |
மெட்டாஸ்ப்ளோயிட் ஃபிரேம்வொர்க் பதிப்பு தனித்து நிற்கிறது, ஏனெனில் இது வணிக தயாரிப்புகளை உருவாக்குவதற்கான அடிப்படையாக செயல்படுகிறது. இது ஒரு திறந்த மூல திட்டமாகும், இது பல்வேறு பயன்பாடுகள், இயக்க முறைமைகள் மற்றும் தளங்களுக்கான சுரண்டல்களின் தரவுத்தளத்திற்கான அணுகலை வழங்குகிறது. கட்டுப்பாடு இடைமுகம் வழியாக மேற்கொள்ளப்படுகிறது கட்டளை வரி. Metasploit Framework பயனர் தரவுத்தளத்தில் புதிய சுரண்டல்களை உருவாக்கி சேர்க்கலாம் அல்லது ஊடுருவல் சோதனைகளைச் செய்யும்போது ஏற்கனவே உள்ளவற்றை கூடுதல் கருவிகளாகப் பயன்படுத்தலாம்.
மீதமுள்ள பதிப்புகள் வணிகரீதியானவை, அவை கூடுதலாக வலை இடைமுகம் வழியாக நிர்வாகத்தை செயல்படுத்துகின்றன, மேலும் பதிப்பைப் பொறுத்து, சில செயல்பாடுகள் சேர்க்கப்படுகின்றன. பெரும்பாலும் இவை கூடுதல் செயல்பாடுகள்பொதுவான சோதனை பணிகளை தானியக்கமாக்குவதை நோக்கமாகக் கொண்டவை: பாதிப்பு பகுப்பாய்வு, சமூக தொழில்நுட்பம், பேலோட் உருவாக்கம், முரட்டுத்தனமான தாக்குதல்கள்.
முடிவுரை
Rapid7 Metasploit பரந்த வரம்பைக் கொண்டுள்ளது செயல்பாடு. தீர்வு ஒரு வலை இடைமுகம் அல்லது கட்டளை வரி இடைமுகம் மூலம் வேலை செய்யலாம் - பயனரின் வேண்டுகோளின்படி விருப்பம் தீர்மானிக்கப்படுகிறது. இருப்பினும், வலை இடைமுகத்தைப் பயன்படுத்தி வேலை செய்யும் போது மட்டுமே செயல்பாடுகளின் முழு தொகுப்பு கிடைக்கும். Rapid7 Metasploit இயக்க முறைமைகளை ஆதரிக்கிறது விண்டோஸ் குடும்பம்மற்றும் லினக்ஸ்.
Rapid7 Metasploit இன் இன்னும் சில தனித்துவமான பண்புகள்:
- ஒரு குறிப்பிட்ட வழக்கின் தேவைகளைப் பூர்த்தி செய்யும் பதிப்பைத் தேர்ந்தெடுக்கும் சாத்தியம்.
- மூன்றாம் தரப்பு தீர்வுகளிலிருந்து பாதிப்பு பகுப்பாய்வின் முடிவுகளைப் பயன்படுத்தும் திறன்.
- சிறப்பாக வடிவமைக்கப்பட்ட பாதிக்கப்படக்கூடிய அமைப்பில் பயிற்சி சாத்தியம்.
- லினக்ஸ் விநியோகங்களுடன் தயாரிப்பின் ஒருங்கிணைப்பு (கட்டமைப்பு பதிப்பில்):
- காளி லினக்ஸ்
- பின்னோக்கி லினக்ஸ் (நிறுத்தப்பட்டது)
- பெண்டூ
- பிளாக்ஆர்ச்
- பின்பெட்டி
Rapid7 Metasploit பல செயல்பாட்டு நிலை வரம்புகளைக் கொண்டுள்ளது, அவை கருத்தில் கொள்ளத்தக்கவை:
- ஃபயர்வால் மற்றும் வைரஸ் தடுப்பு செயலியை முடக்கிய பின்னரே உற்பத்தியின் நிறுவல் மற்றும் சரியான செயல்பாடு சாத்தியமாகும்.
- தனித்தனி கருவிகளில் Rapid7 Nexpose மற்றும் Metasploit ஐ நிறுவ பரிந்துரைக்கப்படுகிறது கணினி தொழில்நுட்பம். இந்த வழக்கில், ஒரு மெய்நிகர் கணினியில் Rapid7 Metasploit ஐ நிறுவ முடியும்.
- ரஷ்ய மொழியில் செயல்பாட்டு ஆவணங்களின் முழு மொழிபெயர்ப்பு இல்லாதது. அறிவுறுத்தல் கையேட்டுடன் ஆங்கில மொழிஉற்பத்தியாளரின் இணையதளத்தில் Metasploit பிரிவில் காணலாம்.
