EN TR







ما هو تحليل الضعف؟

تحليل الضعف أو تقييم الضعف هو تعريف وتحديد وقياس وترتيب نقاط الضعف على الهيكل من خلال إجراء دراسة تحليل متعمقة. والهدف من ذلك هو تحديد نقاط الضعف التي يمكن أن تضر بتدفق العمليات قبل تعرضها للهجوم، أو لتقليلها إلى مستوى مقبول.

ما هو اختبار التسلل؟

يوفر اختبار التسلل رؤى حول أنواع الهجمات و / أو الأنظمة التي يمكن أن تحدث داخل الهيكل، سواء الداخلي أو الخارجي. ونتيجة لذلك، فإن مسألة مدى أمان النظام والبيانات هي سؤال وجواب محددان نسبيا. اختبار التسلل يساعد على الإجابة على هذه الأسئلة.

ما هي أنواع اختبارات التسلل؟

هناك ثلاثة أنواع من اختبار التسرب التي يتم تنفيذها بنشاط. هذه تختلف اعتمادا على الهدف، ناقلات، هجوم محاكاة والنظام. اختبار التسلل ليتم تطبيقها على الشركة / المؤسسة تبعا للعوامل المحددة يختلف ويوجه كل واحد إلى حل المشاكل المختلفة.

    اختبار الاختراق الداخلي: الإجابة على السؤال عن البيانات و / أو الأنظمة التي يمكن الوصول إليها عن طريق الأنظمة الداخلية المفتوحة.
    اختبار الاختراق الخارجي: الإجابة على السؤال عن البيانات و / أو الأنظمة الداخلية التي يمكن الوصول إليها عن طريق أنظمة مفتوحة إلى مفتوحة.
    اختبار اختراق تطبيق الويب: يتم الإجابة على نفس السؤال مثل "اختبار الاختراق الخارجي" ولكن التركيز هو تطبيقات الويب.

ما هي طرق اختبار التسرب؟

    بلاكبوكس: لا يعطى خبير أمن المعلومات أي معرفة مسبقة بالهيكل و / أو النظام الذي سيتم إجراء الاختبار عليه.
    ويتبوكس و كريستالبوكس: يتم إبلاغ خبير أمن المعلومات عن الهيكل و / أو النظام بأكمله داخل الشركة / المنظمة.
    غرايبوكس: طريقة اختبار التسلل بين 'ويتبوكس و كريستالبوكس' و 'بلاكبوكس'. ولا تقدم معلومات مفصلة إلى أخصائي أمن المعلومات عن الهيكل و / أو الأنظمة.

(*) اختبار نتائج المهاجم الذي لديه حق الوصول (المادية أو المنطقية) لشبكة الشركة / المؤسسة (المستخدم القياسية أو المستخدم المصرح به) وشركة / مؤسسة مع 'وايتبوكس وكريبوكس' و 'غرايبوكس' المقصود. عند هذه النقطة، هناك فكرة مفقودة أو خاطئة. ويعتقد أن طريقة 'بلاكبوكس' أن 'محاولة' لنظم "التسلل" مع مقل العيون العدوانية، ولكن المهاجم سيكون لديك ما يكفي من المعلومات حول بنية الهدف. لهذا السبب، "وايتبوكس و كريستالبوكس" و "غرايبوكس" هي أكثر فعالية، وأكثر كفاءة وأساليب الموجهة نحو النتائج.

كيف تحدث هذه المعاملات


    خطوة واحدة:

    جمع المعلومات:

    في هذه الخطوة؛ لا يتم إجراء أي مسح نشط على النظام، يتم جمع المعلومات فقط. منصة التطبيق، لغة برمجة التطبيقات، إصدار التطبيق، وصلات داخلية / خارجية، منصة الخادم، نظام التشغيل، الخ. يتم تحديد المعلومات في هذه الخطوة.
    خطوة واحدة:

    المسح الضوئي والتصنيف:

    في هذه الخطوة؛ 'I. في المعلومات التي تم جمعها في خطوة، يتم الحصول على المعلومات عن طريق إجراء عملية "المسح الضوئي" على النظام المستهدف و / أو استجابة تأثير صغير للنظام.
    خطوة واحدة:

    الحصول على حق الوصول:

    في هذه الخطوة؛ 'II. في المعلومات التي تم الحصول عليها في الخطوة 1، يتم إجراء محاولات لا للحصول على نقاط الضعف (1) التي يتم الكشف عنها على النظام المستهدف.
    خطوة واحدة:

    إدارة الدخول:

    في هذه الخطوة؛ 'III. في الخطوة الأولى، تتم إدارة حقوق الوصول التي يتم الحصول عليها من خلال نقاط الضعف على النظام المستهدف (على سبيل المثال، لمنح حقوق الوصول بشكل دائم على النظام و / أو لإنشاء مستخدم مصرح له على النظام).
    خطوة واحدة:

    تتبع الاختباء:

    في هذه الخطوة؛ (أبت-أدفانسد استمرار التهديد) التي تترك وراءها الخطوات الأربع الأولى على النظام المستهدف (مثل تسجيل السجل)

عند تنفيذ هذه الاختبارات، يتبع مت الخطوات المذكورة أعلاه مع الأخذ بالمعايير الدولية في الاعتبار ويستخدم هيكل "مخصص" بدلا من "القياسية" اختبارات التسلل. يحتوي هذا الهيكل "المخصص" على المعلمات التالية.

    بالإضافة إلى الأدوات المعترف بها دوليا (التجارية والمفتوحة المصدر) في مت "جمع المعلومات" و "المسح والتصنيف" الخطوات، تحليل نوثاك وأدوات المسح الضوئي و "استغلال" (نوثاك استغلال استغلال (دب) (يمكن أن يتم ترميز 'مآثر' مكتوبة من قبل الباحثين الأمنيين قبل و / أو خلال اختبار التسلل، يتم اختبار كل مكتوب 'استغلال' لأول مرة على 'نوثاك بنتيست لاب').
    مت تنتج تقريرا مفصلا نتيجة لاختبار التسلل. يحتوي هذا التقرير على معلمات منفصلة مثل "التقرير الفني" و "التقرير التنفيذي" و "البحث عن التفاصيل". وتعطى إجابات "مخصصة بالكامل" للعناوين "وصف مفصل لنقاط الضعف الموجودة"، "نتائج الضعف (لقطة و / أو الإخراج)" و "حل نقاط الضعف". تم الكشف عن الضعف قبل النظام المستهدف بيتم إغلاقه في بيئة "نوثاك بنتيست مختبر" الذي يتم إنشاء الجهاز (تشديد الدراسات)، تليها "قرار الضعف" جنبا إلى جنب مع الاتجاهات.