Tarmoq xavfsizligi mustaqil ish

Download 31,75 Kb.

bet	1/3
Sana	25.05.2023
Hajmi	31,75 Kb.
	#943973

1 2 3

Bog'liq
tarmoq xavfsizligi mustaqil ish

O‘ZBEKISTON RESPUBLIKASI
RAQAMLI TEXNOLOGIYALARI VAZIRLIGI

MUHAMMAD AL-XORAZMIY NOMIDAGI

TOSHKЕNT AXBOROT TЕXNOLOGIYALARI UNIVЕRSITЕTI
KOMPYUTER INJINIRINGI FAKULTETI

TARMOQ XAVFSIZLIGI

MUSTAQIL ISH

Mavzu: Penetration Testing

BAJARDI:Abdurahmonov Otabek

TEKSHIRDI:Bekmirzayev Obidjon
TOSHKENT 2023
Mavzu:Penetration testing
Reja:
1.Penetration test nima?
2. Penetratsion sinov

1.Penetratsion test, shuningdek, axloqiy xakerlik yoki oq qalpoqli xakerlik sifatida ham tanilgan, kompyuter tizimlari, tarmoqlar yoki veb-ilovalar xavfsizligini baholash uchun foydalaniladigan xavfsizlikni baholash usulidir. Jarayon zararli shaxslar tomonidan ishlatilishi mumkin bo'lgan zaifliklar va potentsial kirish nuqtalarini aniqlash uchun maqsadli tizimga haqiqiy dunyo hujumlarini simulyatsiya qilishni o'z ichiga oladi.

Pentesting nima?

Pentesting AT tizimlariga hujumlar asosida ularning zaif yoki zaif tomonlarini aniqlash uchun bir qator penetratsion testlarni o'z ichiga oladi. Ular xavfsizlikni buzish doirasini, shuningdek, ularning ta'sir darajasini tasniflash va aniqlash uchun mo'ljallangan. Bunday sinovlar natijasida siz tizimingiz uchun xavf-xatarlar va himoyangiz samaradorligi haqida aniq tasavvurga ega bo'lishingiz mumkin.
Pentestlar hujumning muvaffaqiyatli bo'lish ehtimolini aniqlashga yordam beradi, shuningdek, o'ziga xos tarzda ekspluatatsiya qilinadigan past xavfli zaifliklardan kelib chiqadigan xavfsizlik teshiklarini aniqlashga yordam beradi. Ular, shuningdek, avtomatlashtirilgan tarmoq dasturlari yoki maxsus dasturlar aniqlay olmaydigan boshqa zaifliklarni aniqlaydi, shuningdek, xavfsizlik menejerlari hujumlarni muvaffaqiyatli aniqlash va ularga samarali javob bera olishlarini baholash uchun ishlatilishi mumkin.

Pentesting qanday amalga oshiriladi?

Tizim ma'lumotlari turiga qarab tasniflangan penetratsion testlarning bir necha turlari mavjud. Whitebox pentestlarida tizim, ilovalar yoki arxitektura haqida hamma narsa ma'lum, qora quti pentestlarida esa maqsad haqida hech qanday ma'lumot yo'q. Shuni yodda tutingki, bunday tasniflash amaliy zaruratdir, chunki ko'pincha sinov shartlari foydalanuvchi mezonlariga asoslanadi.
Shundan so'ng siz turli xil pentesting usullaridan birini tanlashingiz kerak. Tanlov tizimning xususiyatlari bilan belgilanadi yoki hatto kompaniyadagi tashqi talablarga muvofiq amalga oshiriladi. Har qanday holatda, mavjud usullar orasida ISSAF, PCI, PTF, PTES, OWASP va OSSTMM va boshqalar mavjud. Har bir usul o'ziga xos nuanslarga ega, ammo pentestlarni amalga oshirishda ularning chuqur bilimlari zarur.
Qaysi usulni tanlash kerak?
Bir qator ekspertlarning fikriga ko'ra, PTES va OWASP bu usullarning tuzilishi tufayli penetratsion testlarning etarlicha yaxshi turlari hisoblanadi. Ularning so'zlariga ko'ra, Penetratsion testlarni bajarish standarti (yoki PTES), ko'plab rasmiylar tomonidan qabul qilinganidan tashqari, Rapid7 Metasploit kabi penetratsion test tizimlari uchun o'quv qo'llanmalarida qo'llaniladigan modeldir.
Boshqa tomondan, Ochiq manbali xavfsizlikni tekshirish metodologiyasi qo'llanmasi (OSSTMM) standartga aylandi. Ushbu testlar ayniqsa innovatsion bo'lmasa-da, bu xavfsizlik kontseptsiyasining universal tuzilishiga birinchi yondashuvlardan biridir. Bugungi kunda u nafaqat yuqori sifatli, tashkiliy va samarali penetratsion testlarni ishlab chiqmoqchi bo'lgan tashkilotlar uchun, balki bir qator kompaniyalar uchun ham etalonga aylandi.
Shu bilan bir qatorda, Axborot tizimlari xavfsizligini baholash asosi (ISSAF) har bir xavfsizlik yechimlari sohasidagi mutaxassislar tomonidan tuzilgan va ko'rib chiqilgan "baholash mezonlari" atrofida ma'lumotlarni tartibga soladi. Toʻlov kartalari sanoati maʼlumotlar xavfsizligi standarti (PCI DSS) yetakchi kredit va debet karta kompaniyalari kengashi tomonidan ishlab chiqilgan va karta egasi maʼlumotlarini qayta ishlovchi, saqlaydigan va uzatuvchi tashkilotlar uchun qoʻllanma boʻlib xizmat qiladi. Aynan shu standart ostida PCI pentesting ishlab chiqilgan.
Usullar va ramkalar soni juda katta, ular keng va xilma-xildir. Yuqorida aytib o'tilganidek, ular o'rtasidagi tanlov kompaniyangizning ehtiyojlarini tushunishga va zarur xavfsizlik standartlarini bilishga bog'liq bo'ladi. Ammo buni to'g'ri bajarsangiz, qaerda va qanday qilib muvaffaqiyatsiz bo'lishi mumkinligini oldindan bilib, tizimlaringizni yanada samaraliroq himoya qilishingiz mumkin. Undan qanday foydalanishni biladiganlar uchun bebaho ma'lumot.

Voqealarning xronologiyasi:

Bir yil davomida kompaniyalar tashqi perimetrni mustahkamladilar, lekin ichki tarmoqlarni unutishdi
O'tgan yil davomida, ko'plab kiberhujumlar fonida, Rossiya kompaniyalari o'zlarining IT-perimetrlarini himoya qilishni kuchaytirdilar, ammo ular hali ham insayder tahdidini etarlicha baholamaydilar. Bu RTK-Solar mutaxassislari tomonidan 2022-yilning martidan 2023-yilning martigacha oʻtkazilgan pentestlar natijalaridan kelib chiqadi. Shunday qilib, kompaniyalarning uchdan bir qismi (35%) tashqi penetratsion testdan o'tdi (bir yil oldin bu ko'rsatkich atigi 24% edi). Shu bilan birga, IT perimetrlari doirasidagi maqsadlarga 100% hollarda erishildi (bir yil oldin - atigi 63%). Kompaniya bu haqda 2023-yil 3-aprelda eʼlon qildi. Batafsil bu yerda oʻqing.
2022 yil: Rossiyadagi tashkilotlarning 77 foizi yorilishdan yetarlicha himoyalanmagan
Innostage xavfsizlik tahlil guruhi 2022-yil 28-dekabrda Rossiya kompaniyalarida penetratsion test (pentest) o‘tkazdi va oraliq natijalar bilan bo‘lishdi. Pentestning maqsadi maksimal mumkin bo'lgan imtiyozlarni olish yoki tashkilotning IT infratuzilmasi bilan bog'liq noqonuniy harakatni amalga oshirish edi. Tashkilotlarning 77 foizida mutaxassislar tashqi perimetrdan tashqarida muhim ob'ektlar yoki maxfiy ma'lumotlarga ma'muriy kirish imkoniyatiga ega bo'lishdi.
Ha, bu to'g'ri. Axloqiy xakerlik yoki oq qalpoqli xakerlik sifatida ham tanilgan penetratsion test kompyuter tizimlari, tarmoqlar yoki veb-ilovalar xavfsizligini baholash uchun siz tasvirlagan jarayondan keyin amalga oshiriladi. U zaifliklarni aniqlash va xavfsizlik choralarini yaxshilash bo'yicha tavsiyalar berishga qaratilgan. Har qanday huquqiy oqibatlarga yo'l qo'ymaslik uchun tizim egasining tegishli ruxsati bilan penetratsiya testini o'tkazish juda muhimdir. Muntazam kirish testlari tashkilotlarga zaifliklarni bartaraf etish va ularning umumiy xavfsizligini oshirishda faol bo'lishga yordam beradi.

Penetratsion test, shuningdek, qalam testi yoki axloqiy xakerlik sifatida ham tanilgan, kompyuter tizimlari, tarmoqlari yoki ilovalariga real dunyo kiberhujumlarini simulyatsiya qilishni o'z ichiga olgan xavfsizlik amaliyotidir. Penetratsiya testining asosiy maqsadi tashkilotning xavfsizlik infratuzilmasidagi zaiflik va zaif tomonlarni zararli tajovuzkorlar ulardan foydalanishidan oldin aniqlashdir.

Penetratsion testning asosiy qo'llanilishi va afzalliklari quyidagilardan iborat:

1. Zaifliklarni aniqlash: Penetratsion test tizimlar, tarmoqlar va ilovalardagi xavfsizlik kamchiliklari, noto‘g‘ri konfiguratsiyalar va zaif tomonlarni aniqlashga yordam beradi. Ushbu zaifliklarni faol ravishda topib, tashkilotlar ularni yomon niyatli shaxslar tomonidan foydalanishdan oldin hal qilishlari mumkin.

2. Zaifliklarning ta'sirini baholash: Penetratsiya testi zaifliklarni aniqlashdan tashqariga chiqadi. Shuningdek, u ularning tashkilot faoliyati, ma'lumotlari va umumiy xavfsizlik holatiga potentsial ta'sirini baholaydi. Ushbu ma'lumotlar tashkilotlarga har bir zaiflikning jiddiyligi va mumkin bo'lgan oqibatlaridan kelib chiqib, tuzatish ishlariga ustuvor ahamiyat berish imkonini beradi.

3. Xavfsizlik nazoratini sinovdan o'tkazish: Penetratsion test tashkilotlarga xavfsizlik devori, hujumni aniqlash tizimlari, kirishni boshqarish va boshqa xavfsizlik mexanizmlari kabi xavfsizlikni boshqarish vositalarining samaradorligini sinab ko'rish imkonini beradi. Ushbu boshqaruv vositalari simulyatsiya qilingan hujumlarga qanday bardosh berishini baholash orqali tashkilotlar ularning samaradorligini tasdiqlashi va kerakli yaxshilanishlarni amalga oshirishi mumkin.

4. Hodisalarga javob berish imkoniyatlarini oshirish: Penetratsion test tashkilotlarga hodisalarga javob berish tartib-qoidalarini va xavfsizlik monitoringi va ogohlantirish tizimlari samaradorligini baholashga yordam beradi. Hujumlarni simulyatsiya qilish orqali tashkilotlar xavfsizlik hodisalarini aniqlash, ularga javob berish va ularni qayta tiklash qobiliyatini baholashi mumkin.

5. Muvofiqlik talablariga javob berish: Ko'pgina tarmoqlar muntazam xavfsizlikni baholash va penetratsion testlarni o'tkazishni talab qiladigan tartibga solish va muvofiqlik talablariga ega. Penetratsion testlarni o'tkazish orqali tashkilotlar ushbu talablarni bajarishi va maxfiy ma'lumotlar uchun xavfsiz muhitni saqlashga sodiqligini ko'rsatishi mumkin.

6. Xavfsizlik bo'yicha xabardorlikni oshirish va o'qitish: Penetratsion test xodimlarning xavfsizlik tahdidlari va zaifliklari haqida xabardorligini oshirish imkonini beradi. Bu ularga potentsial xavf-xatarlar va kuchli parollardan foydalanish, ijtimoiy muhandislik hujumlaridan ehtiyot bo'lish va dasturiy ta'minotni yangilab turish kabi xavfsizlikning eng yaxshi amaliyotlariga rioya qilish muhimligi haqida ma'lumot berishga yordam beradi.

Umuman olganda, kirish testi xavfsizlik xavfini proaktiv boshqarishda hal qiluvchi rol o'ynaydi. Zaifliklarni tajovuzkorlar tomonidan foydalanishdan oldin aniqlash va bartaraf etish orqali tashkilotlar o'zlarining xavfsizlik holatini kuchaytirishi, maxfiy ma'lumotlarni himoya qilishi va moliyaviy yo'qotish yoki obro'siga putur etkazish xavfini minimallashtirishi mumkin.

Penetratsiya testi odatda malakali mutaxassislar yoki kiberxavfsizlik bo'yicha tajribaga ega bo'lgan jamoalar tomonidan amalga oshiriladi. Ularning maqsadi tizim himoyasidagi zaif tomonlarni aniqlash va xavfsizlik choralarini kuchaytirish bo'yicha tavsiyalar berishdir. Mana, kirish testi jarayonining yuqori darajadagi umumiy ko'rinishi:

1. Rejalashtirish va razvedka: Penetratsion sinovchilar maqsadli tizim haqida uning arxitekturasi, tarmoq infratuzilmasi va potentsial kirish nuqtalari kabi ma'lumotlarni to'playdi. Bu bosqich ularga tizimning kuchli va zaif tomonlarini tushunishga va samarali sinov strategiyasini ishlab chiqishga yordam beradi.

2. Skanerlash: Sinovchilar maqsadli tizimni ma'lum zaifliklar, ochiq portlar va zaif konfiguratsiyalar uchun skanerlash uchun turli vositalar va usullardan foydalanadilar. Bu qadam ularga potentsial ekspluatatsiya sohalarini aniqlashga yordam beradi.

3. Kirish imkoniyati: Sinovchilar tizimga ruxsatsiz kirish uchun o'zlari aniqlagan zaifliklardan foydalanishga harakat qilishadi. Bu parolni buzish, ijtimoiy muhandislik yoki dasturiy zaifliklardan foydalanish kabi usullardan foydalanishni o'z ichiga olishi mumkin.

4. Kirishni saqlab qolish: Sinovchilar muvaffaqiyatli kirishga erishgandan so'ng, ular qo'shimcha zaifliklarni o'rganish va haqiqiy hujumning potentsial ta'sirini baholash uchun tizim ichida o'z o'rnini saqlab qolishga harakat qilishlari mumkin.

5. Tahlil va hisobot: Sinov jarayonida penetratsion sinovchilar o'z xulosalarini hujjatlashtiradi va tizimning xavfsizlik holatini tahlil qiladi. Ular zaifliklar, ularning potentsial ta'siri va tuzatish bo'yicha tavsiyalarni o'z ichiga olgan batafsil hisobotni yaratadilar.

6. Tuzatish: Penetratsion testni topshirgan tashkilot aniqlangan zaifliklarni bartaraf etish va ularning xavfsizlik choralarini yaxshilash uchun hisobotdagi xulosalar va tavsiyalardan foydalanadi.

Shuni ta'kidlash kerakki, kirish testi har doim tizim egasining tegishli ruxsati bilan o'tkazilishi kerak. Ruxsatsiz kirish testi noqonuniy hisoblanadi va jiddiy oqibatlarga olib kelishi mumkin. Tashkilotlar o'zlarining xavfsizlik nazoratini xolis baholashni ta'minlash uchun ko'pincha tashqi penetratsion test xizmatlaridan foydalanadilar.

Muntazam ravishda kirish testlarini o'tkazish orqali tashkilotlar zaifliklarni faol ravishda aniqlashi va bartaraf etishi, ularning umumiy xavfsizlik holatini yaxshilashi va real dunyo kiberhujumlari xavfini kamaytirishi mumkin.

Ushbu vosita sizning kompaniyangiz duch keladigan xavflarni bilish uchun juda muhim va zarurdir. Sizning kompaniyangiz duch keladigan xavflarni real tushunish uchun siz tushunishingiz va qadrlashingiz kerak bo'lgan ba'zi vositalar mavjud. Aks holda, siz kompaniyangizni xavf ostiga qo'yishi mumkin bo'lgan xavfsizlik teshiklarini kam baholaysiz. Yaxshiyamki, yaxshi yangilik bor: pentesting yoki penetratsion testlar tufayli bunday xavfsizlik teshiklarini aniq aniqlash mumkin.

2. Penetratsiya testi xavfsizlik sinovlarining bir qismidir va tizim yoki dasturning zaifligini aniqlash uchun ishlatiladi. Ushbu testning maqsadi hamma narsani olishdir tizimi mavjud xavfsizlik nuqsonlarini toping. Zaiflik deganda quyidagilar tushuniladi: tajovuzkorning buzilishi yoki tizimga yoki u yerdagi ma'lumotlarga ruxsat etilgan kirishni olish xavfi. U shuningdek qalamni sinash yoki qalamni sinash deb ham ataladi.
Zaifliklar odatda tasodifan kiritiladi. Umumiy zaifliklar - dizayndagi xatolar, konfiguratsiya xatolari, dasturiy ta'minotdagi xatolar va boshqalar. Xavfsizliklar paydo bo'lgan paytlar:

Dasturiy ta'minotni ishlab chiqish.
Dasturiy ta'minotni amalga oshirish.
Dasturlarni sozlash.
Yangi infratuzilmani joriy etish.
Tarmoq tarkibiy qismlarini sozlash.

Nima uchun penetrasyon tekshiruvi?

Hujumchilarning zararini oldini olish yoki hech bo'lmaganda ularni cheklash uchun penetratsion sinov tashkilot uchun juda zarur:
Banklar, sug'urtachilar va imtiyozli tashkilotlar kabi moliya sektori o'zlarining ma'lumotlarini himoya qilishni istaydi. Penetratsion sinovlar xavfsizlikni ta'minlash uchun muhimdir.
Agar tizim allaqachon buzilgan bo'lsa, ikkinchi marta oldini olish uchun bir xil choralar ko'riladi. Tashkilot ushbu choraning samarali ekanligini va tizimda hali ham zaifliklar mavjudligini aniqlashni istaydi. Maqsad kelajakdagi xaklarning oldini olishdir.
Proaktiv penetratsion sinov. Pen testini muntazam ravishda ishlatish xakerlardan eng yaxshi himoya hisoblanadi.
Penetratsion sinov turlari
O'tkazilgan penetratsion test turi odatda assortimentga va tashkilot qaysi hujumni simulyatsiya qilishni xohlashiga bog'liq. Bu xodim, tarmoq ma'muri (ichki manbalar) yoki tashqi manbalar tomonidan qilingan hujum bo'lishi mumkin. Penetratsion testlarning uch turi mavjud:
Sinov qora qutisi.
Oq qutisi penetratsion sinovlari.
Grey Box Penetratsion sinovlari.
Qora qutiga kirib borishni sinovdan o'tkazishda sinov qurilmasi sinovdan o'tkaziladigan tizimlar haqida ma'lumotga ega emas. U tarmoq yoki tizim haqida ma'lumot to'plash uchun javobgardir.
Oq rangli quti kirishi sinovida sinov qurilmasi odatda tarmoq yoki tizimlar haqida to'liq ma'lumot bilan ta'minlanadi, jumladan:

IP manzil sxemasi.
De manba kodi.
OS tafsilotlari.

Etc.
Bu ichki manbalar (tashkilot xodimlari) tomonidan hujumni simulyatsiya sifatida ko'rib chiqilishi mumkin.
Kulrang qutiga kirish testida sinov qurilmasi tizim haqida qisman ma'lumot beradi. Buni tashkilotning tarmoq infratuzilmasi hujjatlariga noqonuniy kirgan uchinchi tomon xakerining hujumi sifatida qarash mumkin.
Penetratsiya sinovlari jarayoni:
Quyida penetratsion testni o'tkazish uchun bajarilishi kerak bo'lgan tadbirlar keltirilgan -

Download 31,75 Kb.

Do'stlaringiz bilan baham:

1 2 3