Εκτέλεση των διαφόρων δοκιμών ασφαλείας IT στο δικό σας περιβάλλον - dummies

Βίντεο: SCP-093 Red Sea Object | euclid | portal / extradimensional scp 2024

Ένα βασικό στοιχείο των δοκιμών ασφαλείας πληροφοριών είναι να μάθουν τι να δοκιμάσουν και τι να ψάξουν από τους χάκερς. Κάθε οργανισμός έχει το δικό του μοναδικό περιβάλλον δικτύου, ανοχή κινδύνου και απαιτήσεις. Επομένως, δεν είναι όλες οι αξιολογήσεις ασφάλειας οι ίδιες. Ορισμένες εκτιμήσεις είναι ευρείες ώστε να περιλαμβάνουν τα πάντα με μια διεύθυνση IP ή μια διεύθυνση URL, ενώ άλλες μπορούν να επικεντρωθούν μόνο σε διακομιστές, ασύρματα δίκτυα ή συγκεκριμένες εφαρμογές ιστού.

Ανεξάρτητα από το μέγεθος του οργανισμού σας ή του κλάδου στον οποίο δραστηριοποιείται, είναι οι βασικοί τομείς κάθε δικτύου που συχνά εκμεταλλεύονται οι εγκληματικοί χάκερ και οι απατεώνες:

Άτομα > Φυσική ασφάλεια
Κωδικοί πρόσβασης
Συστήματα υποδομής δικτύου
Ασύρματα δίκτυα
Κινητές συσκευές
Λειτουργικά συστήματα
Συστήματα μηνυμάτων
Εφαρμογές Web
Βάσεις δεδομένων και συστήματα αποθήκευσης
Αυτές οι περιοχές πρέπει να αναθεωρηθούν για τους "φτωχούς καρπούς" που καταλήγουν να εκμεταλλεύονται και να αντιμετωπίζουν τόσες πολλές επιχειρήσεις. Οι σαρώσεις ευπάθειας, οι έλεγχοι διείσδυσης και οι σχετικές ασκήσεις ενδέχεται να επικεντρωθούν σε μία ή περισσότερες από αυτές τις περιοχές ανά πάσα στιγμή. Ίσως να σκοτώσετε δύο πουλιά με μια πέτρα.

Για παράδειγμα, δοκιμάζοντας τα λειτουργικά σας συστήματα σε διακομιστές και σταθμούς εργασίας, πιθανόν να αποκαλύψετε αδυναμίες κωδικού πρόσβασης σε αυτά τα συστήματα την ίδια στιγμή. Το ίδιο ισχύει για την κοινωνική μηχανική και τη φυσική ασφάλεια, καθώς επικαλύπτονται συχνά μεταξύ τους.

Κατά τη διάρκεια των δοκιμών ασφάλειας, φροντίστε να αναζητήσετε τα πιο κοινά ελαττώματα ασφαλείας όπως:

Άνοιγμα θυρών δικτύου και υπηρεσιών επιρρεπείς σε εκμεταλλεύσεις όπως FTP, proxy HTTP και Microsoft SQL Server

συμπεριλαμβανομένων των επιδιορθώσεων για λογισμικό τρίτων κατασκευαστών όπως το Java και το Adobe Reader
Ανοίξτε κοινόχρηστα στοιχεία δικτύου που εκθέτουν ευαίσθητες πληροφορίες
Αδυναμίες στο Web, όπως δέσμες ενεργειών μεταξύ ιστοτόπων και SQL injection
Αδύναμοι κωδικοί πρόσβασης σε τείχη προστασίας, λειτουργικά συστήματα και βάση δεδομένων servers
Ευαισθησία υπερβολικά εμπιστοσύνης των χρηστών να κάνουν κλικ σε κακόβουλους συνδέσμους ή συνημμένα σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου και να αφήνουν μη εξουσιοδοτημένους χρήστες στο κτίριο
Αναζητήστε αυτά τα τρωτά σημεία από πολλές οπτικές γωνίες: από το Internet ως μη αξιόπιστο outsider καθώς και από το εσωτερικό του δικτύου ως αξιόπιστος χρήστης. Όσο περισσότερο γωνίες τόσο το καλύτερο.

Εξετάστε σχεδόν όλες τις μεγάλες παραβιάσεις δεδομένων που κάνουν τα πρωτοσέλιδα και θα δείτε ότι είναι σχεδόν πάντα ένα από αυτά τα τρωτά σημεία ασφαλείας που αγνοήθηκε από το προσωπικό πληροφορικής και ασφάλειας και στη συνέχεια εκμεταλλεύτηκε κάποιον με κακή πρόθεση.Ο στόχος σας είναι να εντοπίσετε αυτές τις αδυναμίες και να τις διορθώσετε έτσι ώστε εσείς και η επιχείρησή σας να μην καταλήξετε να γίνετε στατιστικός.