هکر اخلاقمند : کنترل امنيت

کنترل امنیت
کنترل امنیت کار اصلی متخصصان امنیت است. این کنترل ها ممکن است طوری پیکربندی شوند که در آنها کنترل کننده هیچ دانشی در مورد هدف سنجش (TOE) نداشته باشد و یا اطلاعاتی محدود و یا حتی کامل در مورد آن داشته باشد.

تذکر : عبارت « هدف سنجش » (TOE) جهت معرفی یک محصول یا سیستم IT بکار میرود که در حال ارزیابی است. در بسیاری از کتب و راهنما ها نیز از این عبارت در مورد سیستم هایی بکار میرود که تحت آزمایش از نظر محرمانگی، سلامت و قابلیت دسترسی قرار میگیرند.

هدف آزمون امنیتی برای متخصص امنیت کنترل سیستم امنیتی و اندازه گیری میزان نقاط ضعف در آن است.

کنترل بدون دانش قبلی (BlackBox)کنترل بدون اطلاعات قبلی در مورد هدف، بعنوان کنترل جعبه سیاه نیز معروف است. این کار بسادگی آغاز میشود و تیم امنیتی هیچ دانشی در باره شبکه مورد آزمایش و سیستم های آن ندارند. کنترل BB شبیه سازی یک حمله از بیرون شبکه است که در آن هکر هیچ دانشی درباره ساختار شبکه و مختصات آن ندارد. حمله کننده باید تمام اطلاعات مورد نیاز خود را در مورد هدف جمع آوری کند تا به نقاط ضعف و قدرت آن پی ببرد. مزایای کنترل BB به شرح زیر میباشد :
- کنترل دقیق و بیغرض است چون طراح و کنترل کننده از هم مجزا هستند.
- کنترل کننده هیچ دانش قبلی در مورد شبکه ی هدف ندارد. پس هیچ ایده و روال از پیش مشخص شده ای برای حمله به شبکه وجود نخواهد داشت.
- طیف وسیعی از کارهای معمول و کنترل های عادی روی سیستم جهت ردیابی اطلاعات انجام خواهد شد که بخوبی بسیاری از نشتی های اطلاعاتی سیستم را مشخص خواهد کرد.
- کنترل کننده دقیقاً مانند یک هکر واقعی روی سیستم عمل خواهد کرد.
در مقابل این روش معایبی نیز دارد :
- انجام اقدامات امنیتی به زمان بیشتری نیاز دارد.
- این روش هزینه ی بیشتری دارد چون زمان بیشتری صرف میشود.
- این روش فقط روی دیدگاه حمله کننده های خارجی متمرکز است در صورتیکه بسیاری از هکر ها توسط نیروهای داخل سازمان تحریک و تغذیه اطلاعاتی میشوند.


کنترل با دانش کامل (WhiteBox)کنترل WB دقیقاً مفهومی برخلاف کنترل BB دارد. این نوع از کنترل امنیت این نکته را در نظر میگیرد که هکر دارای اطلاعات کاملی در مورد شبکه، سیستم ها و زیرساخت آن دارد. این اطلاعات به کنترلگر این امکان را میدهند تا اقدامات سازمان یافته تری را طرح ریزی کند و نه تنها از اطلاعات داده شده استفاده کند، بلکه دقت آنها را نیز مورد آزمیش قرار دهد. پس، همان مقدار زمان که کنترل BB جهت جمع آوری اطلاعات مصرف میکند، در کنترل WB جهت یافتن نقاط ضعف مصرف میشود.

کنترل با دانش محدود (Graybox)
در دنیای تست نرم افزار، کنترل GB بعنوان نوعی کنترل داخلی در نظر گرفته میشود. پس، هدف مشخص کردن میزان دسترسی نیروهای داخلی است. این نوع تست برای سازمانهای مفید فایده است که حملات زیادی از سوی کاربران داخلی دریافت میکنند.

انواع تست های امنیتی
چندین نوع تست امنیتی را میتوان انجام داد. این تست ها میتوانند در محدوده ای از بررسی های سیاست گذاری تا بررسی و شبیه سازی فعالیت های یک هکر دنیای واقعی قرار گرفته باشند. این کنترل های امنیتی بنام های مختلفی شناخته میشوند :
- تست نقاطط ضعف
- ارزیابی شبکه
- تمرینات تیم قرمز
- تست دخول
- تحقیق نقاط ضعف میزبان
- تحقیق نقاط ضعف
- Ethical Hacking

مهم نیست که نام تست امنیتی چه باشد، بلکه مهم معاینات ساخت یافته ای روی شبکه ی یک سازمان، سیاست گذاریها و کنترل های امنیتی است. هدف این کار، دقیق کردن سازوکار امنیتی، مشخص نمودن ناکارآمدی های امنیتی، ایمن سازی داده ها در قالب سازوکارهای امنیتی و حصول اطمینان از دقت کار پس از انجام تمام تغییرات میباشد. کنترل های امنیتی را میتوان به یکی از سه نوع تعریف کرد که شامل ارزیابی های سطح بالا، ارزیابی شبکه و تست های دخول میباشد. هریک از این مراحل بشرح زیر تشریح میشوند :
- ارزیابی های سطح بالا که ارزیابی سطح 1 نیز نامیده میشوند نگاهی کامل به سیاستگذاری های سازمان، روال ها و راهکار ها میباشد. این نوع ارزیابی نقاط ضعف نیازی به هیچ کنترل عملی ندارد. هدف از ارزیابی بالا به پایین پاسخگویی به این سه سوال است :
o سیاستگذاری های قابل استفاده وجود دارد؟
o آیا این سیاست ها اعمال و انجام میشوند؟
o آیا منابع کافی برای محافظت در برابر ریسک وجود دارد؟
- ارزیابی شبکه که ارزیابی سطح 2 نیز نامیده میشود . دربرگیرنده تمام عناصر مشخص شده در سطح 1 بعلاوه فعالیت های عملی است. این فعالیت های عملی میتوانند شامل جمع آوری اطلاعات، اسکن، اسکن و ارزیابی نقاط ضعف و سایر فعالیت های مشابه باشند. بعد ها در مورد ابزار های مورد نیاز برای چنین کاربرد هایی بحث خواهد شد.
- کنترل دخول برخلاف ارزیابی و سنجش ذاتاً تهاجمی هستند. کنترل های دخول به ارزیابی های سطح 3 نیز معروفند. این اعمال معمولاً در نقش یک مهاجم ظاهر شده و به بررسی اطلاعاتی میپردازند که یک مهاجم خارج از شبکه به آنها دسترسی دارد.
/ 0 نظر / 10 بازدید