প্রশ্ন এটা আমার সার্ভারে কিছু অনুপ্রবেশ পরীক্ষার সঞ্চালনের জন্য একটি হ্যাকার নিয়োগের মূল্য? [বন্ধ]


আমি প্যারানোড ক্লায়েন্টদের সাথে একটি ছোট আইটি কোম্পানির কাজ করছি, তাই নিরাপত্তা সবসময় আমাদের জন্য একটি গুরুত্বপূর্ণ বিবেচ্য হয়েছে। অতীতে, আমরা ইতিমধ্যে এই এলাকায় বিশেষ করে দুটি স্বাধীন সংস্থা থেকে অনুপ্রবেশ পরীক্ষা বাধ্যতামূলক করেছি (Dionach এবং GSS লিখিত)। আমরা Nessus ব্যবহার করে কিছু স্বয়ংক্রিয় অনুপ্রবেশ পরীক্ষা চালানো হয়েছে।

ওই দুটি অডিটরকে অনেক ভেতরের তথ্য সরবরাহ করা হয়েছিল এবং প্রায় কিছুই পাওয়া যায়নি * ...

আমাদের সিস্টেমটি পুরোপুরি সুরক্ষিত মনে করার মতো আরামদায়ক মনে হচ্ছে (এবং যখন এটি তাদের যথাযথ পরিশ্রমের কাজ সম্পাদন করে তখন আমাদের ক্লায়েন্টদের কাছে সেই প্রতিবেদনগুলি দেখাতে অবশ্যই আরামদায়ক ছিল), আমার দৃঢ় বিশ্বাস হয়েছে যে আমরা পুরোপুরি নিরাপদ সিস্টেম অর্জন করেছি , বিশেষ করে বিবেচনা করা যে আমাদের কাছে আমাদের কোনও নিরাপত্তা বিশেষজ্ঞ নেই (নিরাপত্তা সবসময়ই উদ্বেগের বিষয় হয়েছে, এবং আমরা পুরোপুরি প্যারানোড, যা সাহায্য করে, কিন্তু এটি যতদূর চলে যায়!)

হ্যাকাররা এমন কোম্পানিগুলিতে হ্যাক করতে পারে যা সম্ভবত কমপক্ষে কয়েকজন ব্যক্তি নিয়োগ করে যার একমাত্র কাজ তাদের ডেটা ব্যক্তিগত রাখা নিশ্চিত করে নিশ্চিতভাবেই তারা আমাদের ছোট ব্যবসায়ে হ্যাক করতে পারে, তাই না?

কেউ একটি "নৈতিক হ্যাকার" নিয়োগের কোনো অভিজ্ঞতা আছে? কিভাবে একটি খুঁজে পেতে? কত খরচ হবে?


* তারা আমাদের উইন্ডোজ সার্ভারে আমাদের রিমোট ডেস্কটপ প্রোটোকলগুলিকে আপগ্রেড করার একমাত্র সুপারিশ যা তারা কেবল তাদের অ্যাক্সেস করতে সক্ষম হয়েছিল কারণ আমরা তাদের সঠিক অ-মানক পোর্ট প্রদান করে এবং তাদের আইপি ঠিকানাটি হোয়াইটলিস্ট করেছি।


6
2018-06-21 04:51


উত্স


আপনার কাছে এখন থেকে আসা লোকদের কাছ থেকে প্রাপ্ত প্রতিবেদনটি গ্রহণ করা কঠিন সময় কেন? আপনার যদি 'নৈতিক হ্যাকার' থেকে কোনও ভাল প্রতিবেদন পাওয়া যায় তবে আপনি কি এটি স্বীকার করবেন নাকি আপনি কেবল 'ভাল' হ্যাকারদের ভাড়া দেওয়ার প্রয়োজনে চিন্তা করবেন? এটি ভাল যে আপনি এই স্টাফ সম্পর্কে যত্নশীল কিন্তু আপনি মাঝে মাঝে একটু বেশি চিন্তিত হতে পারেন। - Rob Moir
বিবেচনা করার একটি বিষয় হল যে আপনি কেবল ছোট কারণ সবসময় আপনি একটি সহজ লক্ষ্য নয়। সাইজের অবকাঠামো আকার এবং স্কেল, এটি সর্বজনীন মুখোমুখি সিস্টেমকে প্যাচযুক্ত এবং নিরাপদ কোডের উপর চলমান পরিমাণ কাস্টম কোডের সাথে প্রয়োজনীয় হিসাবে সুরক্ষিত রাখতে প্রায় অসম্ভব কাজ করে। এই কোম্পানিগুলির মধ্যে একটি ছোট কোম্পানির তুলনায় আরও বেশি উপায় থাকবে যা একটি ওয়েব সার্ভারের সাথে যা চোখে পড়ে। - Sirex
Security.stackexchange.com জন্য বিষয় উপর - Rory Alsop


উত্তর:


নিরাপদ থাকার বিষয়ে আপনি ভাবছেন এটি ভাল, তবে "নিশ্চিত সিস্টেম" হিসাবে কোনও জিনিস নেই। আধুনিক নিরাপত্তা অনুশীলন সার্ভার বিচ্ছিন্ন জড়িত তাই লঙ্ঘন বরং রোধ করা হয়। সমস্ত ওয়েব সার্ভার এবং অন্যান্য দূরবর্তী অ্যাক্সেসযোগ্য সার্ভারগুলিকে একটি বিচ্ছিন্ন DMZ এ স্থাপন করা উচিত যার মধ্যে কেবলমাত্র ডেটা সীমিত উপসেট রয়েছে (যেমন - হাতের কাজটি করতে যতটা সম্ভব সম্ভব)।

সর্বোত্তম নিরাপত্তা পরামর্শটি কার্যকরী করা এবং পরিকল্পনা করা যাতে দূরবর্তী অ্যাক্সেসযোগ্য পরিষেবাদিগুলির সাথে সার্ভার ইতিমধ্যে আপোস করা হয়। অভ্যন্তরীণ তথ্যের জন্য, আপনার সবচেয়ে গুরুত্বপূর্ণ সম্পদগুলি সুরক্ষিত করুন যাতে শুধুমাত্র এমন ব্যক্তিরা যাদের একটি কাজের ভূমিকা রয়েছে তাদের অ্যাক্সেস করার জন্য তাদের অ্যাক্সেস করতে পারে এবং তাদের কাছে অফসেটের তথ্য অ্যাক্সেস করতে বা এটি একটি USB কীতে ডাউনলোড করার কোন উপায় নেই। ।

নিরাপত্তা একটি খরচ-সুবিধা সমীকরণ, এটি নিরাপদ সিস্টেম সেটআপ করার জন্য খুব ব্যয়বহুল এবং প্রয়োজন হলেই কেবল অতিরিক্ত সুরক্ষা ব্যবস্থা যোগ করা উচিত। আপনার অফিসে যাওয়ার জন্য রেটিনা স্ক্যানার, ম্যান-ফাঁদ, কীপ্যাড এবং আরও অনেক কিছু সেট আপ করা অর্থের অপচয় হবে যদি না এমন কোনও জিনিস না থাকে যা আপনাকে সত্যিই বিপদজনক হতে পারে। নিরাপত্তার উপর অর্থ ব্যয় করার চেষ্টা করুন এবং আপনার অনুভূতির "অনুভূতি" কমাতে, ভাল খরচ হয় না। ঝুঁকিপূর্ণ হ'ল আপনাকে হ্যাক করা হবে এবং আপনি যদি এটির প্রভাব ফেলেন তবে এটি ব্যয় করুন।

আপনার পরিষেবাদির সাথে সর্বাধিক প্রচেষ্টার উপাদানগুলি করুন: কয়েকটি পোর্ট কয়েকটি পরিষেবা সহ যতটা সম্ভব খোলা থাকে। তাদের আপ টু ডেট রাখুন। আপনি চলমান সফ্টওয়্যার সম্পর্কে নিরাপত্তা মেলিং তালিকা এবং বাগ-রিপোর্টগুলি অনুসরণ করুন। ওয়েব সার্ভারের জন্য "কঠোরতা" গাইড পড়ুন।

এটা বিচ্ছিন্নতা এবং প্রতিরোধ যে সনাক্তকরণ উপর ফোকাস সাধারণত আরো খরচ কার্যকর। আইডিএস পণ্য বা লগ বিশ্লেষক সত্যিই এখানে দরকারী হতে পারে।


8
2018-06-21 06:28





আমার কাজটি বেশিরভাগ কোম্পানির জন্য, যা খুব উচ্চ স্তরের নিরাপত্তা প্রয়োজন এবং এটি অর্জন করার জন্য প্রয়োজনীয়। যেমনটি তাদের "সাদা টুপি" এবং "কালো টুপি" রয়েছে, পূর্বের কর্মচারীরা যারা নিরাপত্তা ব্যবস্থা সীমাবদ্ধ করে ডিজাইন, বাস্তবায়ন এবং পরীক্ষা করে। পরের যারা বহিরাগত বলছি হয় সংস্কারকৃত ক্র্যাকাররা, ফৌজদারি রেকর্ড সহ কিছু, প্রায় সবগুলি একটি সুরক্ষা কোণের সাথে ওপেন সোর্স কোড প্রকল্পগুলিতে উল্লেখযোগ্যভাবে জড়িত। দুই দল একেবারে না একে অপরের সাথে যোগাযোগ করুন এবং "কালো টুপি" সনাক্তকরণ খুব কম দ্বারা পরিচিত হয়। তারা যে কোনও সাইটে যে কোনও সাইটের মত এবং তারা যে কোনও সাইটের বিরুদ্ধে যা পছন্দ করে তাতেই তারা যা পছন্দ করে তার সাথে কাজ করে, তাদের একমাত্র দায়িত্ব হল তারা যখন সমস্যাগুলি খুঁজে পায় তখন কোম্পানিটিকে অবিলম্বে জানাতে, আদর্শভাবে সমাধান সমাধানগুলির সাথে।

আমি জানি এটি চরম বলে মনে হচ্ছে কিন্তু এটি একটি নীতি / কৌশল যা নির্দিষ্ট আকার / দায় সংস্থার দ্বারা বিশ্বজুড়ে ব্যবহৃত হয় এবং যদি আপনি এটি সামর্থ্য দিতে পারেন, এবং যদি আপনি এটি সন্ধান করতে পারেন তবে আমি আপনাকে এই পদ্ধতিটিকে দৃঢ়ভাবে বিবেচনা করার পরামর্শ দিচ্ছি।


6
2018-06-22 09:22



"এবং যদি আপনি এটি সামর্থ্য দিতে পারেন, এবং যদি আপনি তাদের খুঁজে পেতে পারেন, আমি আপনাকে এই পদ্ধতির দৃঢ়ভাবে বিবেচনা করার পরামর্শ দিচ্ছি।" আমি ভাবলাম তুমি এ টি টি নিয়োগের পরামর্শ দিচ্ছো ... - Nick Downton
যে কেউ স্পট করবে যদি আমি বিস্মিত ছিল;) - Chopper3


আমি মনে করি আপনি কিছু "নিরাপত্তা" বিশেষজ্ঞদের খারাপ কিভাবে বিস্মিত হতে চাই। নিজেকে ভাগ্যবান হিসাবে আপনি রত্ন দ্বারা বিভ্রান্ত নেতৃত্বে হয়েছে না

"আপনার নেটওয়ার্ক পোর্ট খোলা নেই তাই আমরা আপনাকে স্ক্যান করতে পারছি না, তাই আপনাকে সার্ভারগুলি খুলতে হবে যাতে আমরা স্ক্যান করতে পারি"

অথবা

নিরাপত্তা উইজার্ডস: "আপনি sslv2 তার অনিরাপদ ব্যবহার করতে পারবেন না" আইটি: "কিন্তু একমাত্র বিকল্পগুলি এসএসএল এবং ক্ল্যালেক্সট" নিরাপত্তা: "কমপক্ষে ক্লায়েন্টেক্সটিতে দুর্বলতা নেই"

যদি আপনার কাছে 2 টি ভিন্ন সংস্থার অডিট করা হয় এবং উভয়ই মনে করেন আপনি জরিমানা, তবে আমি এখনও তৃতীয়টি ভাড়া করব না। আপনার OS বিক্রেতাদের একটি নিরাপত্তা নিরীক্ষা পরিষেবা আছে কিনা তা কেবলমাত্র আমি পরিবর্তন করব।

এবং আমার ব্যক্তিগত প্রিয়

নিরাপত্তা: "আমরা কেবল ইউনিক্স বক্সগুলি স্ক্যান করতে পারি, আপনি যে জানালা বাক্সগুলি আমাদের সম্পর্কে বলেছিলেন তা কোনও পোর্টে সাড়া দেবে না" আইটি: হ্যাঁ আমরা ডোমেন বিচ্ছিন্নতা ব্যবহার সিস্টেম অ যোগদান প্রবেশ অস্বীকার অস্বীকার নিরাপত্তা: এটি NIST নির্দেশিকাগুলিতে নেই, আপনাকে এটি অক্ষম করতে হবে, এটি সুরক্ষিত নয় "


4
2018-01-25 06:23





ফোর্টউইন এবং এফটিএসই 100 এর পাশাপাশি খুব ছোট স্থানীয় কোম্পানীর প্রতিষ্ঠানগুলির জন্য শত শত অনুপ্রবেশ পরীক্ষা পরিচালনাকারী হিসাবে আমার কাছে আপনার নিম্নলিখিতগুলি রয়েছে:

ব্যাপকভাবে বলছেন যে আপনি বাহ্যিক বহিরাগত কোম্পানিগুলি কীভাবে অ্যাক্সেস পেতে পারেন তা দেখতে কলম পরীক্ষার বিষয়ে সঠিক জিনিসটি করছেন, তবে এটি করার সবচেয়ে উপযুক্ত উপায় হল:

  • আপনার হুমকি বুঝতে
  • আপনার ঝুঁকি প্রফাইল বুঝতে
  • আপনার নিয়ন্ত্রণ প্রয়োজন নির্ধারণ করুন - আপনার প্যারানোড ক্লায়েন্টদের উপর ভিত্তি করে।
  • যারা চাহিদা মেটাতে প্রযুক্তিগত নিয়ন্ত্রণ তৈরি করুন
  • নিয়ন্ত্রণ সঠিক বাস্তবায়ন নিশ্চিত করার জন্য অনুপ্রবেশ পরীক্ষার ব্যবহার করুন

আপনি বিভিন্ন কোম্পানীর ব্যবহার বা তাদের ঘোরানো পরিকল্পনা করা উচিত। আমি 4 বা তার বেশি প্যানেল ব্যবহার করার জন্য উত্সাহিত করি, প্রত্যেকের তাদের স্পেসিয়ালেশন এবং নির্দিষ্ট অভিজ্ঞতা রয়েছে।

আপনি কখনই নিরাপদ হবেন না, তবে আপনার কোম্পানীটি স্বীকার করতে চায় এমন ঝুঁকির প্রোফাইলের ভিত্তিতে আপনি 'নিরাপদ যথেষ্ট' পেতে পারেন। কারণ আপনি ছোট নয় যে আপনি একটি লক্ষ্য নয় - বর্তমানে সংগঠিত অপরাধ কাঠামোগুলি সফল বড় প্রতিষ্ঠান হ্যাকগুলি থেকে নিম্নোক্ত পদ্ধতিগুলি শোষণ করে বিক্রি করে এবং আপনি যদি ইন্টারনেটে থাকেন তবে আপনি এটি পছন্দ করেন কিনা তা লক্ষ্য করুন।

উপর বিভিন্ন প্রশ্ন security.stackexchange.com এই প্রশ্নটি আচ্ছাদিত করা হয়েছে যাতে এটির উপর নজর রাখা উপযুক্ত।


3
2018-06-22 09:05





ব্যক্তিগতভাবে, আমি আপনাকে উল্লেখ করেছি যে নেসাসের মতো ব্যবহার সফটওয়্যারটি চালু করবে এবং হয়ত ট্রিপওয়ায়ার এবং প্রয়োজনীয় অডিটিং সিস্টেমগুলি, এবং কেউ নিয়মিত লগগুলির পর্যালোচনা করবে বা একটি লগ আছে যা আপনাকে লগগুলির উপর ভিত্তি করে সতর্ক করে দেবে এবং সতর্ক করবে। আমার মনে হয় আপনি সম্মতি মান পূরণের প্রয়োজনে আরোহণ করতে যাচ্ছেন, যার অর্থ ভাল নিরাপত্তা নয়। আমি আপনার সিস্টেমে অ্যাক্সেস সনাক্ত এবং অডিট অ্যাক্সেস করতে সক্ষম হচ্ছে আমার ফোকাস রাখা চাই। যাইহোক আমি আপনি অনুপ্রবেশ অনুপ্রবেশ বা সনাক্তকরণ সিস্টেমের জন্য কি করছেন উল্লেখ না পয়েন্ট হবে?


1
2018-06-21 04:59



এবং সরাসরি আপনার প্রশ্নের উত্তর দিতে, সম্ভবত আপনি এই জন্য নিরাপত্তা সংস্থা বা একটি স্বাধীন ঠিকাদার যেতে হবে। আমার খরচ সম্পর্কে কোন ধারণা নেই, তবে আপনার কাছে যা আছে তা পরীক্ষা করার জন্য প্রকল্পটি সমস্তই হবে এবং তারপরে এটি উন্নত করা হবে। - SpacemanSpiff
এটি এখনও প্রস্তাবিত সবচেয়ে টেকসই সমাধানগুলির মধ্যে একটি: নেসাস, স্প্লুক এবং জেনসসের মতো কিছু সাধারণ "ভয়ানক আচরণ" মনিটর সঠিকভাবে কনফিগার করা হয় আপনার সবচেয়ে ভালো বন্ধু. তবে, অনেক লোক মনে করে যে তারা "ড্রপ ইন" সমাধান, যা তারা নয়। একটি খুব উচ্চ সেটআপ ওভারহেড আছে, এবং, একবার সম্পন্ন, একটি খুব উচ্চ নিরাপত্তা ফলন। - Zac B


উম্ম্ম ... এটা ইতোমধ্যে বলা হয়েছে যে আপনি সম্ভবত সব প্রয়োজনীয় কাজ করেছেন। আবার, আপনি কিভাবে পাগলামি প্রয়োজন - পুনরাবৃত্তি, প্রয়োজন - হতে?

খুব মৌলিক হওয়ার ঝুঁকিতে, যথোপযুক্ত সৃষ্টিকর্তা উন্মোচিত হওয়ার পরেই কেবলমাত্র সবচেয়ে বেশি অনুপ্রবেশ করা হয়। এটি ঠান্ডা হার্ড সত্য যে একটি বিষয়:

একটি) অনেক পাসওয়ার্ড খুব সহজ, শুধুমাত্র ব্যাবসা বলার কারণে ব্যবহার করা হয়। ক্লাসিক উদাহরণ "পরীক্ষা" পাসওয়ার্ড ব্যবহার করে আইটি সমস্যা সমাধানকারী হয়।

খ) সর্বাধিক (কিন্তু সব না) অনুপ্রবেশ এখন চেষ্টা করা এবং সত্যিকারের ঘুষ / ব্ল্যাকমেইল দ্বারা পাস করে এবং পাসওয়ার্ড অধিগ্রহণের ইলেকট্রনিক পদ্ধতিগুলি ব্যবহার করে - তবে পাসওয়ার্ডটি না থাকা পর্যন্ত আপনি এতে প্রবেশ করতে পারবেন না।

আমি আপনার হার্ডওয়্যার অনুপ্রবেশ-প্রমাণ অনুমান? আমি যে কম্পিউটারটি জানি সেটি সম্ভবত অন্যরাও রয়েছে, এটি একটি সুবিধামত ডিপ-সুইচ র্যাক রয়েছে যা লগইন পাসওয়ার্ড এবং BIOS পাসওয়ার্ড অক্ষম করতে ব্যবহার করা যেতে পারে ...

ব্যক্তিগতভাবে, আমি অনুমান করব যে আমি শীঘ্রই বা পরে প্রবেশ করবো, তাই আমি নিশ্চিত যে আমি কোন অনুপ্রবেশ সনাক্ত করতে পারি এবং পোস্ট-অনুপ্রবেশ চালিয়ে যেতে পারি। আপনি ব্যাক আপ আছে?


1
2018-06-21 07:05



ভাল পয়েন্ট আবার: ব্যাকআপ। সমঝোতা আপত্তিজনক এবং সেখানে থেকে কাজ অনুমান। - hellomynameisjoel
আমি মনে করি তিনি হামলা, জোরপূর্বক আক্রমণ, ডোমেন নাম আক্রমণ ইত্যাদির মতো কিছু আক্রমণ পরীক্ষা করতে চান। - Anarko_Bizounours
প্রকৃতপক্ষে, অধিকাংশ penetrations পাসওয়ার্ড মাধ্যমে হয় না। Verizon এর 2011 ডেটা ব্রেচ ইনভেস্টিগেশন রিপোর্ট দেখুন - Rory Alsop
আহহ ... @ ররি - ধন্যবাদ। আমি করেছিলাম. অনেক আগ্রহব্যাঞ্জক. (verizonbusiness.com/resources/reports/...)। আমি উদ্ধৃত করবো: "অনুপস্থিত, দুর্বল, এবং চুরি শংসাপত্র নিয়ন্ত্রণ বাইরে যত্নশীল হয়।""... লগইন শংসাপত্রগুলি ক্যাপচার করতে তৈরি জিউস ট্রোজান এবং অন্যান্য ম্যালওয়্যার রূপগুলির ক্রমাগত বৃদ্ধি ...""... আমরা দেখি যে "ডিফল্ট বা অনুমানযোগ্য শংসাপত্রের শোষণ" সমস্ত ত্রৈমাসিকের দুই-তৃতীয়াংশে প্রতিনিধিত্ব করে এবং সমস্ত রেকর্ডগুলির প্রায় এক-তৃতীয়াংশ আপোস করে।"একটি পাসওয়ার্ড সবসময় অক্ষর একটি স্ট্রিং হয় না। - Gordon Edwards
আকর্ষণীয় @ গর্ডন - আমি মনে করি আমরা ডেবিয়ার দুটি ভিন্ন উপায়ে ডেটাতে আসছি। জিউস বা অন্যান্য ম্যালওয়ারের মাধ্যমে অ্যাক্সেস অর্জন করা সত্যিই পাসওয়ার্ডের উপর নির্ভর করে না (তবে এটি দীর্ঘ, এটি ট্রোজান দ্বারা ধরা হবে), যদিও ক্রেডগুলি এটির একটি অংশ হলেও, এখানে আক্রমণ XSS, এবং ভেক্টরগুলিতে রয়েছে। চুরির রেকর্ডগুলি বেশিরভাগ ম্যালওয়ারের মাধ্যমে হয় যা ব্যাকডোরগুলি প্রয়োগ করে। - Rory Alsop


আপনি একটি হ্যাকার ভাড়া প্রয়োজন? আমি তাই বিশ্বাস করি না। পাশাপাশি, কিভাবে আপনি হ্যাকার নিয়োগের মূল্য নির্ধারণ করবেন? আসুন এটির মুখোমুখি হই, এটি এমন সম্মানজনক ব্যক্তি নয় যাঁর শব্দ আপনি নির্ভর করতে পারেন, তাই কেবল তারা আপনাকে বলে যে তারা কতটা মহান, এর অর্থ এই নয় যে তারা আসলেই ভাল।

আসুন একটি মৌলিক ভিত্তি দিয়ে শুরু করি: এমন কোনও মুখোমুখি জিনিস নেই যা জনসাধারণের মুখোমুখি হতে পারে যা প্রবেশ করা যায় না। তবে, এমন অনেকগুলি সিস্টেম রয়েছে যা সকলের কাছে সবচেয়ে কঠিন এবং ডেডিকেটেড আক্রমণকারীর কাছে দাঁড়াবে।

এটি আসলে সম্পূর্ণ নিরাপত্তার বিষয়ে নয়, এটি ঝুঁকি এবং আক্রমণের সনাক্তকরণ এবং পুনরুদ্ধারের আপনার ক্ষমতা সম্পর্কে আরও বেশি। ব্যাকআপ অবশ্যই একটি পরম আবশ্যক। সুতরাং পর্যায়ক্রমিক পরীক্ষা যারা ব্যাকআপ যাচাই পুনরুদ্ধার করা হয়।

একটি আইডিএস আপনাকে হ্যাকিংয়ের প্রচেষ্টাগুলি সম্পর্কে সতর্ক করে দিতে হবে, যদিও আপনাকে সতর্ক থাকতে হবে যে কোনও ইন্টারনেট মুখোমুখি সিস্টেম আক্রমনের আশা করতে পারে, যার ফলে আপনাকে অনেকগুলি সতর্কতা দেখাতে হবে যা আপনাকে বিশাল সংখ্যাগরিষ্ঠতাকে উপেক্ষা করতে এবং যারা তাদের সাধারনত বাইরে, যেমনটা সম্ভবত সাধারণত অর্ধ-মস্তিষ্কযুক্ত স্ক্রিপ্টের তুলনায় কোনও ব্যক্তির কাছে ভালভাবে নির্দেশ করবে।

একটি ট্রিপওয়ায়ার টাইপ সিস্টেম, যা আপনি বেছে নিতে পারেন এমন কোনও ফর্ম নিতে পারে, কোনও আক্রমণ সনাক্ত করার দিকে দীর্ঘ পথ যেতে পারে, কোনও সময়ে সিস্টেমটিকে সরানো উচিত এবং এটি কীভাবে ঘটেছে তা নির্ধারণের জন্য বিশ্লেষণ করা হয়, সিস্টেমটি পরিচিত জ্ঞানের পুনরুদ্ধারের পূর্বে ব্যাকআপ, কোনও প্রচেষ্টাটি কেবল আপোস করা সিস্টেমটিকে মেরামত করার জন্য, যেহেতু এটি নিরর্থকতার একটি পাঠ।


1
2018-06-21 08:14



হ্যাকার! = খারাপ লোক। আমার নিরাপত্তা দলগুলির জন্য আমি হ্যাকার মানসিকতার সাথে লোকেদের ভাড়া দিতে বা অনুমোদন করতেছি কারণ তারা সমস্যা সমাধানকারী। - Rory Alsop
@ ররি, হ্যাকার সর্বদা খারাপ লোকের সমান নয় কিন্তু বাস্তবতা হল যে অনুপ্রবেশের পরীক্ষার জন্য যেগুলি ব্যবহার করা উচিত তা প্রায়শই হয়। - John Gardeniers


উপরের সমস্ত উত্তর সত্যিই মহান এবং অনেকগুলি জিনিসের সাথে এই হ্যাঁ বা নং প্রশ্নের উত্তর দেওয়ার কোনও বাস্তব উপায় নেই।

আমি ক্ষুদ্র ব্যবসায়গুলির সাথে তাদের পরিবেশগুলি সুরক্ষিত করতে এবং সাধারণভাবে "দুর্বলতা মূল্যায়ন" বা সরাসরি আপ প্রবেশ পরীক্ষাটি এমন একটি সম্পূর্ণ তথ্য সরবরাহ করতে যাচ্ছি না যা আপনি আগে থেকেই অর্জন করতে পারছেন না বা আপনার কাছে ইতিমধ্যেই অর্জিত হয়েছে। স্ক্যানার একটি মহান শুরু বিন্দু। কিন্তু যদি সবকিছু কেবল স্ক্যান ফলাফলের উপর নির্ভর করে তবে আমি বলব আপনি অবশ্যই আপনার অর্থের মূল্য পাচ্ছেন না।

আপনি যদি কোনও বাইরের সংস্থাকে আপনার পেন্টেস্ট / অডিট / মূল্যায়ন করতে চান অথবা আপনি যে কোনও কল করতে চান তবে আপনাকে কেবলমাত্র $ স্ক্যানারের চেয়ে বেশি করতে পারেন এমন ব্যক্তিদের নিয়োগ করা উচিত। তারা বোকা প্রমাণ নয় এবং আমার অভিজ্ঞতা থেকে অনেকগুলি মিথ্যা ইতিবাচক রয়েছে যা মানুষের সঠিকভাবে ব্যাখ্যা করার জন্য নেয়।

আমার মতে, ব্ল্যাক বক্স স্টাইলটি অনেকগুলি ব্যবসার ব্যবহার করতে চায় তা প্যান্টেস্ট করবে যা আপনি চান এমন অনেক তথ্য প্রকাশ করবেন না। উদাহরণস্বরূপ, আসুন শুধু একজন আক্রমণকারীকে বলি, যাই হোক না কেন, আপনার নেটওয়ার্কে প্রবেশ করে। তারা কোথাও পিভট নিয়ন্ত্রণ করতে পারেন? কোনও আক্রমণকারী যদি কোন গ্রাহক পরিষেবা কম্পিউটার বা ঠিকাদারের কম্পিউটারে অ্যাক্সেস লাভ করে তবে কী হবে। তারা কি কোম্পানির অন্যান্য এলাকায় যেতে পারে? যদি তাই হয় তারা কি দেখতে পারেন? তারা ব্যাকআপ পেতে পারেন? উৎপাদন তথ্য? হিসাব সংক্রান্ত তথ্য?

এবং যদি সোশ্যাল ইঞ্জিনিয়ারিংটি অংশীদারিত্বের অংশ না হয় তবে আপনি কোম্পানির হুমকি পৃষ্ঠায় বিশাল গর্ত রেখে যাচ্ছেন।

একটি ছোট আইটি কোম্পানির জন্য কাজ করা, বহিরাগত অডিটের জন্য বাজেটগুলি আসতে পারে, বিশেষ করে যদি কোনও বছরে অডিট করার জন্য কোন শিল্প সম্মতি না থাকে।

নিম্নলিখিত জিনিস সম্পর্কে চিন্তা করুন

  • আমরা কিভাবে আমাদের কোম্পানীর মধ্যে দূষিত কার্যকলাপ সনাক্ত করবেন?
  • আমাদের সার্ভারের বিরুদ্ধে সরঞ্জাম চলছে কিনা তা আমরা জানতে পারি? ওয়েবসাইট?
  • কর্মচারীদের তাদের কম্পিউটারে প্লেইন টেক্সট পাসওয়ার্ড রাখা হয়? (সম্ভবত আপনি মনে হতে পারে অনেক বেশী প্রচলিত)।
  • আমরা কর্মচারী আমাদের নেটওয়ার্কের কাজ করছে কি অডিট করতে পারেন?
  • যদি আমাদের কোনও সার্ভার সম্পূর্ণরূপে মুছে ফেলতে হয় তবে আমরা তা কত দ্রুত বদলাতে পারি?

এইগুলি আমার মাথার উপরের অংশে মাত্র কয়েকটি জিনিস, তবে এই আইটেমগুলিতে স্পষ্টভাবে দেখছে এবং আপনি যদি তাদের উত্তর দিতে না পারার সময় ব্যয় করতে পারেন তবে তাদের সম্পর্কে কী করতে হবে। এটা ভাল ব্যয় করা হবে।

আপনি দৃষ্টিকোণ থেকে এই পদ্ধতির সাথে যোগাযোগ করতে হবে যে কোনও আক্রমণকারী আপনার নেটওয়ার্কের ভিতরে যেতে সক্ষম হবে। তারপরে তুমি কি করবে? কিভাবে আপনি যে হুমকি কমানো এবং প্রভাব কমাতে? তুমি কিভাবে জানবে?


1
2017-07-12 17:01





কিছু বিবেচনা:

প্রথম, আপনি লক্ষ্য অর্জন করার চেষ্টা করা হয় কি? অনুপ্রবেশ পরীক্ষা, দুর্বলতা মূল্যায়ন এবং "নৈতিক হ্যাকারস" এর মতো বিভিন্ন নিরাপত্তা পরিষেবাগুলি কেবল "বেশি নিরাপত্তা কেনার" নয়। আপনি মনে একটি লক্ষ্য আছে; এই ধরনের ব্যয়গুলির প্রাথমিক লক্ষ্য হল সফটওয়্যার, নেটওয়ার্ক, প্রসেস এবং পদ্ধতিতে দুর্বলতাগুলি আবিষ্কার করা। এটা গুরুত্বপূর্ণ: আপনার নিরাপত্তা উন্নত করার জন্য একটি নিরীক্ষা, মূল্যায়ন, বা পরীক্ষা করার জন্য আপনাকে প্রয়োজন হবে কিছু কর ফলাফল সম্পর্কে। এটি প্রায় সবসময় অর্থ ব্যয় করে, সফ্টওয়্যার, কর্মীদের, বা বীমা উপর। আপনার কর্মীদের নিরাপত্তা থাকা উচিত এমন কোনও ব্যক্তির কাছে আপনার থাকা উচিত; তাদের প্রয়োজনীয়তা হিসাবে নিরাপত্তা বিক্রেতাদের উপর bullshit কল এবং দুর্বলতা ট্র্যাক এবং আপনার ব্যবসার সব এলাকায় নিরাপত্তা উন্নতির জন্য অ্যাডভোকেট কল করতে প্রযুক্তিগত চপ থাকা উচিত।

দ্বিতীয়, এবং ঘনিষ্ঠভাবে সম্পর্কিত, আপনি ইতিমধ্যে আছে তথ্যের জন্য পরিশোধ করবেন না। আপনি যদি কোনও নির্দিষ্ট সুরক্ষা সমস্যাটি জানেন তবে এটি পুনঃসনাক্ত করতে "নৈতিক হ্যাকার" অর্থ প্রদান করবেন না। যে সমস্যা ঠিক করতে টাকা ব্যয় করুন। পরীক্ষাটি যদি কোনভাবেই বাধ্যতামূলক হয় তবে আপনার পরিচিত দুর্বলতাগুলি আপ-ফ্রন্টের ব্যাপারে সৎ হোন। একটি ভাল পরীক্ষক আপনার বিনিয়োগ সর্বাধিক করতে অজানা এলাকার দিকে তাদের মূল্যায়ন tailor করতে সক্ষম হবে। কভারেজ সর্বাধিক মূল্যায়ন মূল্যায়ন মধ্যে ঘূর্ণন বিবেচনা করুন। একটি কালো বাক্সের বহিরাগত অনুপ্রবেশ পরীক্ষা করুন, তারপর একটি অভ্যন্তরীণ পরীক্ষা একটি অসন্তুষ্ট কর্মচারী সিমুলেটিং, তারপর আপনার সবচেয়ে জটিল সিস্টেমের একটি লক্ষ্যযুক্ত সাদা / ধূসর বাক্স পরীক্ষা, ইত্যাদি।

তৃতীয়, পরীক্ষায় আপনার সময় এবং প্রচেষ্টার অধিকাংশ বিনিয়োগ আগে এটি ঘটে. সুরক্ষা সার্টিফিকেট প্রদানকারী, কেবলমাত্র সার্টিফিকেশনগুলি নয়, রেফারেন্সগুলি যাচাই করে। অনেক আছে জালিয়াতি এবং সেখানে shoddy কর্মীদের। তাদের রিপোর্ট উদাহরণ দেখতে জিজ্ঞাসা করুন। যদি এটি কার্যকর তথ্য না হয়, তাহলে কেন এটির জন্য অর্থ প্রদান করবেন? তাদের পরীক্ষার পদ্ধতি দেখতে জিজ্ঞাসা করুন। তারা যদি জামিন, জামিন। যদি তাদের কোন পুনরাবৃত্তিমূলক প্রক্রিয়া না থাকে, তবে আপনি পুঙ্খানুপুঙ্খ পরীক্ষা নিশ্চিত করতে পারবেন না। Nessus বা Retina সঙ্গে একটি দুর্বলতা স্ক্যান একটি অনুপ্রবেশ পরীক্ষা নয়; সস্তা সেবা জন্য প্রিমিয়াম মূল্য পরিশোধ করবেন না। পরীক্ষার সুযোগ আলোচনার মধ্যে ব্যাপকভাবে জড়িত হন। আপনি টেস্টিং দলের হাত যত বেশি, আপনি আরো ভাল এবং আরো বাস্তবসম্মত ফলাফল পাবেন।

চতুর্থ, অনুপ্রবেশ পরীক্ষা জন্য, আপনি একটি পরীক্ষার জন্য পরিশোধ করছি যে একটি বাস্তবসম্মত হুমকি emulates। ড্যান Guido এর বিট ট্রেইল বুদ্ধিমত্তা চালিত প্রতিরক্ষা বিষয়ে কিছু চমৎকার গবেষণা করেছেন - আপনার সংগঠনগুলির যে হুমকিগুলি মুখোমুখি হচ্ছে এবং আপনার প্রতিরক্ষাগুলি অপ্টিমাইজ করছে তা জানার পরিবর্তে কেবলমাত্র অন্ধকারভাবে অন্যদের বাকি কী করছে তার অর্থ ব্যয় করে। তাদের কাগজপত্র পরীক্ষা করে দেখুন Exploit গোয়েন্দা প্রকল্প এবং Attacker গণিত। এটি সহজ যে আপনি একটি প্রাথমিক বিশ্লেষণ নিজেকে পরিচালনা করতে পারেন, তারপরে এটিগুলি ব্যবহার করুন যেগুলি আপনার পরিষেবাগুলি বিক্রি করার চেষ্টা করছে এমন দলগুলির দাবিগুলি যাচাই করে দেখুন। বিট ট্রেল এমনকি এই এবং অন্যান্য এলাকায় পরামর্শ প্রদান করে। (আমি কোন পথে ট্রিট অফ বিটসের সাথে সংযুক্ত নই)

অবশেষে, শব্দটি "হ্যাকার" শব্দটির উপরে প্রচার করবেন না, বিশেষত "নৈতিক" অংশটির সাথে সংযুক্ত। কিছু মৌলিক স্তরের দক্ষতা নির্দেশ করে এমন শংসাপত্র রয়েছে, তবে শিল্পের মতামত ব্যাপকভাবে পরিবর্তিত হয়; "নৈতিক" একটি ব্যক্তির আচরণ এবং রেফারেন্স দ্বারা, একটি সার্টিফিকেশন দ্বারা প্রদর্শিত করা যাক। একজন ব্যক্তির দক্ষতা অর্জন করার জন্য "সংস্কার" করা প্রয়োজন হয় না; কোনও ব্যাকগ্রাউন্ড চেক, অপরাধমূলক বা অন্যথায় এই ক্ষেত্রটিতে কাউকে মুক্ত করবেন না, আপনি আপনার নিয়মিত কর্মচারীকে ধরে রাখতে পারবেন। নিরাপত্তা পরীক্ষাটি "জাদু" নয়, এবং দরিদ্র কাজের অভ্যাসগুলি "বর্বরতা" নয় যা অঞ্চলটির সাথে যায়। আপনার নিরাপত্তা পরীক্ষকের সর্বোচ্চ নৈতিক দায়িত্ব এবং অখণ্ডতা অন্য কোনও অবস্থান হিসাবে যদি না থাকে তবে আপনার প্রত্যাশা করার অধিকার রয়েছে।


0
2017-10-15 19:20