Penetrasyon testi təhlükəsizlik testinin bir hissəsidir və sistemin və ya tətbiqetmənin həssaslığını təyin etmək üçün istifadə olunur. Bu testin məqsədi hamısını əldə etməkdir sistem mövcud təhlükəsizlik zəifliklərini tapmaq. Zəiflik dedikdə başa düşülür: Bir təcavüzkarın sistemə və ya ondakı məlumatlara xələl gətirməsi və ya səlahiyyətli girişi əldə etməsi riski. Buna qələm testi və ya qələm testi də deyilir.
Zəifliklər ümumiyyətlə təsadüfən ortaya çıxır. Ümumi zəifliklər dizayn səhvləri, konfiqurasiya səhvləri, proqram səhvləri və s. Zəifliklərin tətbiq olunduğu anlara aşağıdakılar daxildir:
- Proqramın inkişafı.
- Proqramın tətbiqi.
- Proqram təminatının konfiqurasiyası.
- Yeni infrastrukturun tətbiqi.
- Şəbəkə komponentlərini konfiqurasiya.
Niyə penetrasiya testləri?
Müdaxilədən gələn zərərin qarşısını almaq və ya ən azı məhdudlaşdırmaq üçün nüfuzetmə testi bir təşkilat üçün vacibdir:
- Banklar, sığortaçılar və maliyyə yardımçıları kimi maliyyə sektoru məlumatların təmin edilməsini istəyir. Penetrasiya testi təhlükəsizliyin təmin edilməsi üçün vacibdir.
- Bir sistem zaten hacked, eyni tədbirlər ikinci dəfə qarşısını almaq üçün alınır. Təşkilat bu tədbirin effektiv olub olmadığını və sistemdə hələ də zəifliklərin olduğunu müəyyən etmək istəyir. Məqsədi gələcək təhlükələrin qarşısını almaqdır.
- Proaktiv nüfuz testi. Qələm testini mütəmadi olaraq aparmaq hakerlərə qarşı ən yaxşı müdafiədir.
Penetrasiya testlərinin növləri
Keçirilmiş nüfuz testinin növü, adətən, təşkilatın hansı hücumu simulyasiya etmək istədiyindən asılıdır. Bunlar bir işçinin, şəbəkə administratorunun (daxili mənbələr) və ya xarici mənbələrin hücumu ola bilər. Üç növ nüfuz testi var:
- Qara qutu sınağı.
- Ağ Box Penetrasiya testləri.
- Gri Box Penetrasiya testləri.
Qara qutu nüfuz testində, test cihazının test ediləcək sistemlər barədə heç bir məlumatı yoxdur. Şəbəkə və ya sistem haqqında məlumat toplamağa cavabdehdir.
Ağ qutu nüfuz testində, test cihazı, adətən şəbəkə və ya sınaqdan keçiriləcək sistemlər haqqında tam məlumatlar verilir:
- IP ünvanı sxemi.
- De mənbə kodu.
- OS məlumatları.
- Etc.
Bu, daxili mənbələrdən (təşkilatın işçiləri) bir hücum simulyasiyası hesab edilə bilər.
Boz qutunun nüfuz testində test cihazı sistem haqqında qismən məlumat verir. Bir təşkilatın şəbəkə infrastruktur sənədlərinə qanunsuz daxil olan üçüncü bir hakerin hücumu kimi qiymətləndirilə bilər.
Penetrasiya Testi prosesi:
Nüfuz testini həyata keçirmək üçün həyata keçirilməli olan fəaliyyətlər aşağıdakılardır -
- Planlaşdırma mərhələsi
- Əhatə və Strategiya tapşırığı müəyyən edilir.
- Həcmi müəyyən etmək üçün mövcud təhlükəsizlik siyasəti və standart istifadə olunur.
- Araşdırma mərhələsi
- Sistem haqqında məlumatlar, istifadəçi adları və hətta şifrələr daxil olmaqla sistem haqqında mümkün qədər çox məlumat toplayın.
- Limanlarda scan və prob.
- Sistemin zəifliklərini yoxlayın.
- Hücum mərhələsi
- Müxtəlif zəifliklər üçün istismar tapın. Sistemin fəaliyyət göstərməsi üçün lazımi imtiyazlara sahib olmalısınız.
- Hesabat mərhələsi
- Hesabatda ətraflı məlumatlar olmalıdır.
- Tapılan zəiflik riskləri və onların təşkilata təsiri.
- Tövsiyələr və həllər.
Nüfuz testində əsas vəzifə sistem məlumatlarını toplamaqdır. Məlumat toplamağın iki yolu var -
- Ev sahibi ilə əlaqədar bir-bir və ya bir-çox model. Tester bir hədəf hostuna və ya hədəf hostların məntiqi qrupuna (məsələn, alt şəbəkə) qarşı xətti bir şəkildə üsullar tətbiq edir.
- 'Bir çoxunda' və ya 'bir çoxunda' modeli. Tester özbaşına, məhdud sürətdə və qeyri-xətti formada məlumat toplama texnikasını yerinə yetirmək üçün birdən çox ana kompüterdən istifadə edir.
Penetrasiya test alətləri:
Penetrasiya testində istifadə olunan geniş alətlər var. Mühüm alətlər:
- NMap - Bu vasitə port taramaları, OS identifikasiyası, İzləmə marşrutu və zəiflik taraması üçün istifadə olunur.
- Nessus - Bu ənənəvi şəbəkə əsaslı zəiflik vasitədir.
- Pass-The-Hash - Bu vasitə əsasən parol qırılması üçün istifadə olunur.
- Cain and Abel - Bu vasitə əsasən parol bərpa, şəbəkə qoxusu, simsiz tarama və VoIP üçün istifadə olunur.
Penetrasiya testlərinin rolu və məsuliyyətləri:
Penetrasiya testlərinin vəzifələri aşağıdakılardır:
- Nüfuz testlərini təmin etmək üçün təşkilatdan tələb olunan məlumatları toplamaq.
- Hackerların hədəf sisteminə hücum etməyə imkan verən səhvləri axtarın.
- Həqiqi hakerlər kimi düşünün və hərəkət edin, amma sonra etik davranın.
- Nüfuz test cihazlarının tapıntıları təkrarlanmalıdır, beləliklə, inkişafçılar asanlıqla təmir edə bilərlər.
- Testin başlanması üçün başlama tarixi və bitmə tarixi əvvəlcədən müəyyən edilməlidir.
- Testlər test nəticəsində sistemə və ya məlumatlara görə ziyana görə məsuliyyət daşıyır.
- Sınaqçılar məlumatları və məlumatları gizli şəkildə müalicə etməlidirlər.
Avtomatlaşdırılmış penetrasiya testlərinə qarşı manipulyasiya
| Manual penetrasiya testləri | Avtomatlaşdırılmış penetrasiya testi |
| Manual test testlərin aparılması üçün ixtisaslı mütəxəssislər tələb olunur. | Avtomatlaşdırılmış test alətləri, daha az təcrübəli mütəxəssislərlə belə dəqiq məlumat verir. |
| Əl testi, tapıntıları qeyd etmək üçün Excel və digər vasitələrə ehtiyac duyur. | Avtomatlaşdırılmış Testlər mərkəzləşdirilmiş standart vasitələrdən istifadə edir. |
| Əllə test vəziyyətində, nəticələr testdən testə qədər dəyişir. | Avtomatlaşdırılmış testlərdə nəticələr testdən testə dəyişmir. |
Penetrasiya testlərinin məhdudlaşdırılması
Penetrasiya testləri sistemdəki bütün boşluqları tapa bilmir. Vaxt, büdcə, əhatə dairəsi və nüfuzetmə qabiliyyəti məhdudiyyətləri var.
Penetrasiya testlərində ciddi nəticələr ola bilər:
- Məlumatların itirilməsi və ya məlumatların sarsıdılması.
- Artıq vaxt.
- Artan xərclər.
Samenvatting
Penetrasiya testi mütləq olmalıdır:
- Həqiqi bir kimi hərəkət etdi hacker.
- Zəifliklər üçün ərizə və ya sistemi sınayın.
- Kodun təhlükəsiz yazıldığını yoxlayın.
- Sistemin parametrlərinin düzgün olduğunu yoxlayın.
Nüfuz testi yalnız yaxşı həyata keçirilmiş təhlükəsizlik siyasəti olduqda məntiqlidir. Nüfuz testinin daha təsirli olması üçün nüfuz test siyasətləri və metodologiyası tətbiq edilməlidir.