اختبار الاختراق
اختبار الاختراق
الهدف من اختبار الاختراق هو تحديد الثغرات الأمنية ونقاط الضعف في التطبيقات المستهدفة ، وتحديد تأثير الأعمال التجارية وسهولة استغلال المرتبطة بكل قضية المحددة ، وتقديم التوصيات المناسبة العلاجية التي ينبغي تنفيذها من أجل تخفيف الآثار المترتبة على القضايا التي تم تحديدها.
ما هو اختبار الاختراق؟
فعلية توظف اختبار الاختراق التي المؤهلين والمتخصصين في تكنولوجيا المعلومات الأمنية الموثوقة أذنت لك لمحاولة اختراق لأنظمة تكنولوجيا المعلومات الخاصة بك ، موقع الويب والتطبيقات. يمكن أن أقول لك أيضا كيف علم الأمن الخاص والموظفين. أنها تستخدم نفس الأساليب والأدوات ، هاكر الخبيثة (وإلى جانب عدد قليل من أكثر) ، وتتطلب القليل من المعلومات من أي لكم مقدما.
هناك طريقتان لاختبار أمن تكنولوجيا المعلومات. نحن هنا إيجاز هذه النهج ؛
اختبار الصندوق الأسود
اختبار الصندوق الأسود هو اختبار أجري في الفترة من وجهة نظر المهاجم مع معلومات قليلة أو معدومة حول نظام المستهدفة الأخرى من عنوان IP الخاص به أو URL. الهدف من إجراء اختبار الصندوق الأسود هو تحديد المدى الذي من الممكن للمهاجمين من هذا القبيل لتقديم تنازلات على أمن النظام المستهدف ، نظرا لكمية محدودة من المعلومات المتاحة. مزايا هذه هي :
هذا الاختبار يعكس تصرفات القراصنة الخبيثة الذين لا يمكنهم الوصول إلى هذه النظم ، وليس لديها علم بها.
وهناك اختبار للكشف عن هذا النوع بدقة "سطح تهديد" من التطبيقات كما يرى من الإنترنت.
اختبار مربع أبيض
ويجري اختبار مربع أبيض من منظور المعرفة السابقة. هذا يصف سيناريو حيث يتم تقديم اختبار الاختراق مع تفاصيل شاملة للهدف. يمكن أن يشمل ذلك ، ولكنه لن يكون بالضرورة تقتصر على ما يلي :
• المواصفات الفنية / وثائق لهذا الهدف.
• الهدف مخططات التصميم.
• المستخدم / وظائف المصفوفات.
• أوراق اعتماد مصادقة لكل دور مستخدم.
على الرغم من أن العديد منها قد تنظر في توفير المعلومات مثل هزيمة الغرض من الاختبار ، وهذا يتوقف إلى حد كبير على أهداف الاختبار. حيث يتمثل الهدف من الاختبار هو تحديد نقاط الضعف الأمنية في الهدف أو تحديد مستوى المخاطر المرتبطة بهذه نقاط الضعف وتقدم سلسلة من التوصيات لتخفيف أو القضاء على خطر ، ثم اختبار مربع أبيض وسيلة أكثر فعالية لتحقيق الهدف من اختبار الصندوق الأسود.
وبعد ذلك؟
ونحن ننتج تقرير ان من السهل قراءة ، ويحتوي على موجز تنفيذي ، نظرة عامة على التفاصيل الفنية والتقنية الكاملة لأية الضعف. هذا التقرير يشرح المخاطر ، وإذا كان ذلك مناسبا ، يروي لك كيفية إصلاحه ، أو يمكن أن نعمل معكم وقسم تكنولوجيا المعلومات لتصحيح الامر.
لماذا تحتاج إلى اختبار الاختراق لدينا؟
لأن سوف يكاد يكون من المؤكد الثغرات الأمنية ، وخاصة في موقعك وبين موظفيك. مزيد من معرفة وجود مشكلة أمنية يعني أنه يمكن القيام بشيء حيال ذلك ، والحد بشكل كبير من التعرض لخطر ومكلف للغاية ممارسة استرداد (إذا كان الانتعاش هو ممكن). الوقاية خير دائما أن العلاج.
الهدف من اختبار الاختراق هو تحديد الثغرات الأمنية ونقاط الضعف في التطبيقات المستهدفة ، وتحديد تأثير الأعمال التجارية وسهولة استغلال المرتبطة بكل قضية المحددة ، وتقديم التوصيات المناسبة العلاجية التي ينبغي تنفيذها من أجل تخفيف الآثار المترتبة على القضايا التي تم تحديدها.
ما هو اختبار الاختراق؟
فعلية توظف اختبار الاختراق التي المؤهلين والمتخصصين في تكنولوجيا المعلومات الأمنية الموثوقة أذنت لك لمحاولة اختراق لأنظمة تكنولوجيا المعلومات الخاصة بك ، موقع الويب والتطبيقات. يمكن أن أقول لك أيضا كيف علم الأمن الخاص والموظفين. أنها تستخدم نفس الأساليب والأدوات ، هاكر الخبيثة (وإلى جانب عدد قليل من أكثر) ، وتتطلب القليل من المعلومات من أي لكم مقدما.
هناك طريقتان لاختبار أمن تكنولوجيا المعلومات. نحن هنا إيجاز هذه النهج ؛
اختبار الصندوق الأسود
اختبار الصندوق الأسود هو اختبار أجري في الفترة من وجهة نظر المهاجم مع معلومات قليلة أو معدومة حول نظام المستهدفة الأخرى من عنوان IP الخاص به أو URL. الهدف من إجراء اختبار الصندوق الأسود هو تحديد المدى الذي من الممكن للمهاجمين من هذا القبيل لتقديم تنازلات على أمن النظام المستهدف ، نظرا لكمية محدودة من المعلومات المتاحة. مزايا هذه هي :
هذا الاختبار يعكس تصرفات القراصنة الخبيثة الذين لا يمكنهم الوصول إلى هذه النظم ، وليس لديها علم بها.
وهناك اختبار للكشف عن هذا النوع بدقة "سطح تهديد" من التطبيقات كما يرى من الإنترنت.
اختبار مربع أبيض
ويجري اختبار مربع أبيض من منظور المعرفة السابقة. هذا يصف سيناريو حيث يتم تقديم اختبار الاختراق مع تفاصيل شاملة للهدف. يمكن أن يشمل ذلك ، ولكنه لن يكون بالضرورة تقتصر على ما يلي :
• المواصفات الفنية / وثائق لهذا الهدف.
• الهدف مخططات التصميم.
• المستخدم / وظائف المصفوفات.
• أوراق اعتماد مصادقة لكل دور مستخدم.
على الرغم من أن العديد منها قد تنظر في توفير المعلومات مثل هزيمة الغرض من الاختبار ، وهذا يتوقف إلى حد كبير على أهداف الاختبار. حيث يتمثل الهدف من الاختبار هو تحديد نقاط الضعف الأمنية في الهدف أو تحديد مستوى المخاطر المرتبطة بهذه نقاط الضعف وتقدم سلسلة من التوصيات لتخفيف أو القضاء على خطر ، ثم اختبار مربع أبيض وسيلة أكثر فعالية لتحقيق الهدف من اختبار الصندوق الأسود.
وبعد ذلك؟
ونحن ننتج تقرير ان من السهل قراءة ، ويحتوي على موجز تنفيذي ، نظرة عامة على التفاصيل الفنية والتقنية الكاملة لأية الضعف. هذا التقرير يشرح المخاطر ، وإذا كان ذلك مناسبا ، يروي لك كيفية إصلاحه ، أو يمكن أن نعمل معكم وقسم تكنولوجيا المعلومات لتصحيح الامر.
لماذا تحتاج إلى اختبار الاختراق لدينا؟
لأن سوف يكاد يكون من المؤكد الثغرات الأمنية ، وخاصة في موقعك وبين موظفيك. مزيد من معرفة وجود مشكلة أمنية يعني أنه يمكن القيام بشيء حيال ذلك ، والحد بشكل كبير من التعرض لخطر ومكلف للغاية ممارسة استرداد (إذا كان الانتعاش هو ممكن). الوقاية خير دائما أن العلاج.