• ساعت : ۱۲:۱:۲۱
  • تاريخ :
     ۱۳۹۸/۰۲/۲۸ 
  • تعداد بازدید : 154
  • کد خبر : ۲۳۱۶
رابطه تست نفوذ با كسب و كار

یک هکر اخلاقی (کارشناس تست نفوذ) برای کسب و کار من چه کاری می تواند انجام دهد؟
کلمه  "اخلاقی یا همان کارشناس تست نفوذ "و" هک کردن "همکارهای معمولی نیستند، اما وقتی که در کنار هم قرار بگیرند، می توانند یک آزمونگر نفوذ عالی باشند. تیم هولمن، مدیر عامل 2|SEC ، گفت: "ما به هکرها فکر می کنیم." "مجرمین در اولین سوء استفاده متوقف نمی شوند. آنها پشت سر هم سوء استفاده می کنند و سیستم های معرض را به سمت خود جذب می کنند تا نفوذ بیشتری به دست آورند." 


2|SEC  یک ارائه دهنده خدمات امنیتی در لندن است که خدمات تست نفوذ را برای طیف وسیعی از مشتریان فراهم می کند. و به عنوان "هکرهای اخلاقی" یا " pen tester" شناخته می شود، این متخصصان از سوی سازمان هایی که می خواهند بدانند که آیا آنها نیاز به بهبود امنیت خود دارند، به کار گرفته می شوند و اگر جواب مثبت است در کجا؟


هولمن توضیح داد: "مزیت واضح این است که سیستم شما در مقابل آخرین سوء استفاده ها و تکنیک هایی که در برابر شما مورد استفاده قرار می گیرد، محافظت می شود. "اگر شما منابع اختصاص داده شده و تمام وقت که می توانند در برابر آخرین تهدیدات و آسیب پذیری ها باقی بماند را نداشته باشید، برای شرکت شما بسیار دشوار خواهد بود تا تجربه و تخصصی را که یک تستر نفوذ حرفه ای به ارمغان می آورد، را دارا باشد."


هیچ چیزبدی در مورد کار کردن با یک کارشناس تست نفوذ وجود ندارد. شرکت هایی که برای این ویژگی به آن نزدیک شدیم، از صحبت دراره ی آنچه که انجام می دهند و نحوه انجام آن رضایت داشتند، و اشاره می کنند که تنها به سیستم هایی که مجاز به آنها هستند و فقط در طی زمان مشخص هدف گیری میکنند. "رویکرد ما این است که همیشه از جدیدترین تحقیقات، سوء استفاده ها و تکنیک ها استفاده کنیم تا ببینیم آیا می توانیم در شرکت شما جای پای خود را پیدا کنیم یا خیر. ما باید بسیار مراقب باشیم که سیستم ها را نابود نکنیم یا به طور غیرمستقیم داده های حساس را افشا نکنیم."


اهمیت در حال رشد
همانطور که سازمانها حجم داده های بزرگتری را پردازش می کنند، نیاز به تست پن افزایش می یابد. زمانی نه چندان دور، به آنها به طور مرتب توصیه می شد که هر دو سال یک بار تست شوند، اما این کار دیگر مشتریان شان را راضی نگه نمی دارد.
الیور پینسون-روکسبرگ، MD از گلوله ای، گفت: "برخی از الزامات انطباق، الزام آور است که سازمان هایی که اطلاعات کارت پرداخت را می پذیرند باید حداقل هر این کار را انجام دهند و به سمت یک مدل حرکت کنند که هر شش ماه آن را انجام می دهند." "اگر برنامه شما بعد از آخرین تست پن تغییر قابل توجهی داشته باشد، توصیه می شود که بعد از آن نیز دوباره انجام شود."


تا حدودی، این توسط رژیم GDPR هدایت می شود. پینسون-روکسبرگ گفت: "ما مشتریان بیشتری داریم که در مورد آنچه که باید انجام دهند، سوال می پرسند. "اغلب، آنها یک طرح واکنش حادثه ای ندارند و می خواهند بدانند که اگر گرفتار شوند، حداقل می توانند کاری انجام دهند."


داشتن چنین برنامه ای و توانایی اثبات این که شما در تست نفوذ های خود دقت داشته اید، نشان می دهد که شما در حال انجام برخی از مسئولیت ها هستید. مارک نیکلز، مدیر امنیت سایبری Redscan، گفت: "این نشان می دهد که شما تلاش های منطقی انجام داده اید تا هر کاری را که از دستتان برمی آید انجام دهید."
"ما اغلب به شرکت ها کمک کرده ایم که آمادگی خود را برای نقض بررسی کنند و از نظر دفاع، پرسیدند که تیم امنیتی و شبکه ای در پاسخ به آن هنگامی که یک حمله انجام می شد چه کاری انجام دادند. آیا آنها توانستند اطلاعات لازم را ظرف 72 ساعت اول پس از یک حمله به مقامات گزارش دهند؟
انجام چنین اقدامات منطقی اغلب برای جلوگیری از نقض در وهله اول به اندازه کافی کافی خواهد بود، زیرا این امر می تواند به شناسایی مواردی که اصلاحات اعمال نشده و یا تنها تا حدی مؤثر بوده، کمک کند.


Pinson-Roxburgh گفت: "تجربه من این بوده است که سازمان هایی که تحت قانون حفاظت از داده ها جریمه شده اند می توانند تا حد زیادی مشکلات خود را با انجام یک تست پن یا اجرای یک نوع اسکن اولیه امنیتی یا آزمایش اولیه، حل کنند. جاییکه ICO حکم را منتشر کرده است، [اغلب] نشان می دهد که اگر سازمان در مورد امنیت به درستی عمل کرده بود، مشکلات را شناسایی می کرد. اغلب، آن مشکل یک آسیب پذیری شناخته شده، و سه ماهه بوده که باید آنها شناسایی و حل می شده است. "

رویکرد اول شما
هکرهای اخلاق به راهنمایی کردن مشتری های جدید عادت دارند- مخصوصا کسانی که مطمئن نیستند چه چیزی نیاز دارند یا چه چیزی ارائه می دهند.
همانطور که نیکلز توضیح می دهد، مشخص کردن آنچه که مشتری به عنوان یک کسب و کار انجام می دهد، سیستم، عملکرد آن و چیزی که هکر اخلاقی می تواند انجام دهد، معمولا در هر مکالمه ای وجود دارد. "سپس ما تعدادی روز تعیین می کنیم که در طی آن آنها می توانند منابع مناسب را بکار گیرند، اعم از مدیران پروژه یا توسعه دهندگان ، تا اطمینان حاصل کنند که ما هیچ چیزی را خراب نخواهیم کرد و بتوانند در حین اینکه ما مشکلات جدی را پیدا میکنیم به آنها پاسخ دهند."

گفته می شود که آزمایشکنندگان پن اغلب راه خود را به سیستم مهندسی اجتماعی می کنند - حتی رشوه های جعلی به کارکنان پیشنهاد می کنند. اما پن تستینگ اغلب بیشتر از نشستن در پشت یک صفحه کلید و ماوس و جستجو برای آسیب پذیری است.


Pinson-Roxburgh گفت: "ما تمرینات تیم قرمزی انجام می دهیم که در آن مشتری به ما هدفی می دهد که ما باید به هر طریقی آنرا به انجام برسانیم." "این ممکن است ورود فیزیکی به یک ساختمان وپیدا کردن راهمان باشد ویا مهندسی اجتماعی . ما چند تست بزرگ مرکز داده انجام داده ایم، ظاهرا امن ترین مراکز داده در جهان و ما راهمان را از طریق ترکیبی از دسترسی اجتماعی / فیزیکی به ساختمان ها و هک پورتال ها باز کردیم. برای برخی از مشتریان ما حتی پیشنهاد رشوه به کارکنان دادیم تا ببینیم که چگونه کارکنانشان به امنیت پاسخ می دهند. "
اولویت Pinson-Roxburgh این است که در هر زمانی که ممکن است با سیستمهای زنده کار کند، زیرا "اگر آنها قصد دارند یک سیستم نیمه کاره را به ما بدهند به این دلیل که درمرحله پیش تولید هستند، آنها نمیتوانند یک آزمایش واقعی انجام دهند." چرا که بسیاری از سازمان ها می گویند که آنها می خواهند شما چیزها از دیدگاه هکر شبیه سازی کنید. " 


اما نیکولز نیز کار با زیرساختار و مجموعه داده های موازی  را ارزشمند می داند. با استفاده از سیستم های زنده، او می گوید: "همیشه یک خطر ذاتی وجود دارد هکه نگامی که شما یک برنامه یا سرور را آزمایش می کنید که در آن مشکلاتی ممکن است از اسکن شدن ناشی شود." اگرچه نرم افزارهای امروزه دارای قابلیت انعطاف پذیری بیشتری هستند، اما میتواند باعث خرابی دستگاه شود. بنابراین، ما توصیه می کنیم یک سیستم نماینده که نزدیک به آنچه سیستم زنده دارد است، تست شود. این به شما یک ایده خوب را می دهد که آسیب پذیری ها وجود دارد و ما نیازی به عقب نشینی نداریم. ما می توانیم هر پارامتر را ارزیابی کنیم. "

محرمانه بودن و اعتماد 
اگر یک تستر دسترسی به سیستم شما داشته باشد، می تواند به اطلاعات محرمانه دسترسی داشته باشد. ضروری است که پن تستر   یک توافقنامه عدم افشا امضا کنند و کارکنان آن دارای مجوز رسمی امنیتی باشند.


در نهایت، شما باید از کار کردن با آنها راحت باشید، اما این لزوما به معنی اجتناب از کسی با سابقه ی کدر نیست- چنانچه اصلاح شده باشند.
نیکولز گفت: "بسیاری از افراد برجسته امنیتی، از طرف اشتباه شروع به کار کردند. "کنجکاوی، در اوایل، می تواند یک مسئله باشد، اما اگر این تغییر کرده است و اکنون در یک حرفه امنیتی پیشرفت می کنند و در آن قابلیت های خود را ارائه می دهند، هیچ دلیلی وجود ندارد که یک فرد مانند آن استانداردهای مختلف و گواهینامه ها را نگیرد. " با این حال، پاسخ به یک رویکرد ناخواسته، موضوع کاملا متفاوت است و Pinson-Roxburgh احتیاط  را توصیه میکند.


"آنچه که اخیرا دیده ام، سازمان هایی هستند که به طور مستقیم  از سوی افرادی که به دنبال رفع مشکلات هستند پیشنهاد دریافت کرده اند. من توصیه می کنم که یک سازمان در چنین شرایطی بسیار محتاطانه رفتار کند؛ زیرا ما شاهد آن بوده ایم که فردی که این رویکرد را اجرا کرده مبلغ زیادی درخواست می کند، و سازمان کشف می کند که چیزی که پیدا می شود، در مقایسه با مقدار پولی را که پرداخت کرده اند اندک بوده است ...
"هنگامی که کسی با شما تماس می گیرد و در مورد مشکلات احتمالی صحبت می کند ، قانون سوء استفاده از کامپیوتر و این واقعیت است که هیچ کس نباید سیستم های شما را بدون اجازه شما تست کند را ذکر کنید.

امتیاز :  ۰ |  مجموع :  ۰

برچسب ها

    © تمامی حقوق این پورتال محفوظ و در اختیار گروه دوران می باشد.

    5.3.4.0
    V5.3.4.0