तपाईंको संगठनको साइबरसुरक्षा सुधार गर्नका लागि प्रवेश परीक्षण (छोटोका लागि कलम परीक्षण) आवश्यक छ।
यसले साइबर-हमलाहरूको अनुकरण गर्दछ ताकि तपाईं नेटवर्क र प्रणाली भेद्यताहरू पत्ता लगाउन सक्नुहुनेछ र सोही अनुसार तिनीहरूलाई सम्बोधन गर्न सक्नुहुन्छ।
प्रवेश परीक्षण बिभिन्न प्रकारमा वर्गीकृत गर्न सकिन्छ। प्रत्येक एक मा तपाइँको साइबर सुरक्षा का एक विशेष पक्ष कवर, अधिक गहिरो जांच, र विशिष्ट कमजोरीहरु अनावरण गर्दछ।
यस तरिकाले, तपाईं उपयुक्त उपचारहरू पहिचान गर्न सक्नुहुनेछ र तपाईंको बजेट, प्रयास, र संसाधनहरू अझ प्रभावकारितामा विनियोजित गर्न सक्नुहुनेछ। तपाईले यो निर्धारण गर्न सक्नुहुनेछ कि तपाइँको आईटी परिदृश्यको कुन पक्षहरूलाई तपाइँ प्राथमिकतामा राख्नुपर्दछ।
त्योले भन्यो कि यस पोष्टमा हामी छ प्रकारका प्रवेश परीक्षणमा विचार गर्नेछौं जुन तपाईं आफ्नो कम्पनीमा लागू गर्न सक्नुहुनेछ।
यसलाई गरौं।
१. नेटवर्क सेवाहरू
कलम परीक्षकले तपाईको कम्पनीको बारे प्रासंगिक जानकारी सlects्कलन गरेपछि, उसले नेटवर्क मूल्याments्कनहरूको अनुक्रम लिन्छ।
नेटवर्क सेवा परीक्षण अक्सर प्रवेश परीक्षणको लागि सबै भन्दा लोकप्रिय विधि हो।
एक पटक परीक्षकले तपाईको नेटवर्कमा आक्रमण गरेपछि 90 ० प्रतिशत अवरोधहरू हटाइन्छ।
उसले दुबै आन्तरिक र बाह्य नेटवर्कहरूका लागि शोषण परीक्षण कार्यान्वयन गर्न सक्दछ। उसले तपाईको बाह्य नेटवर्कको लागि सुरक्षाको लागि आक्रमण गर्ने ह्याकर प्रविधिको नक्कल गरेर गर्दछ।
यसले उनीहरूलाई तपाईंको कम्पनीको साइबरसुरक्षाको धेरै पक्षहरूको खोजी गर्ने अवसर दिन्छ।
नेटवर्क परीक्षणमा सामान्यतया निम्न समावेश हुन्छ:
- राउटर परीक्षण
- सुरक्षित शेल (SSH) आधारित आक्रमणहरू
- वाँकि फायरवालहरू
- डोमेन नाम प्रणाली (DNS) फुटप्रिन्टि।
- नेटवर्क कमजोरीहरू
- खोल्नुहोस् पोर्ट स्क्यानि testing र परीक्षण
- प्रोक्सी सर्भरहरू
- तपाईंको ईन्टर्यूशन प्रिभेन्शन सिस्टम (आईपीएस) र ईन्ट्रुशन डिटेक्शन सिस्टम (आईडीएस) लाई बेवास्ता गर्दै।
१. क्लाउड परीक्षण
क्लाउड सेवाहरू अनलाइन अपरेशनहरूको साथ संगठनहरूको बीच एक प्रसिद्ध आवश्यकतामा बढेको छ।
तिनीहरू फाईल साझेदारी र ब्याकअपका साथै सहयोगी परियोजनाहरू र नेटवर्कि projectsको लागि क्लाउड लिभोर गर्दछन्।
उदाहरण को लागी, यदि तपाइँ को लागी ट्रान्सक्रिप्शन फाइल पठाउनु पर्छ Rev वा सम्मेलनमा उपस्थित व्यक्तिहरूलाई तपाइँको अनुसन्धानको नि: शुल्क प्रतिलिपिहरू उपलब्ध गराउँनुहोस्, क्लाउडले तपाइँलाई कागजातहरू साझेदारी गर्न पीडारहित बनाउँदछ।
दुर्भाग्यवस, क्लाउडमा यी ठूला फाईलहरू बहुमूल्य डाटाको लागि बराबर छन् जुन कालो ह्याट ह्याकरहरू (खराब मान्छेहरू) उनीहरूको हात बढ्न मन पराउँछन्।
त्यस्तै, उनीहरूले के गर्छन् शोषण गर्न र तपाईंको क्लाउड भण्डारणमा अवैध पहुँच प्राप्त गर्न।
अर्को नोटमा, यद्यपि: जबकि क्लाउड तैनातीहरू सहजै छैनन्, क्लाउड सुरक्षा व्यवस्थापन जटिल छ।
सार्वजनिक क्लाउड सेवा प्रदायकहरूको सामान्यतया या त एक साझा दायित्व वा साइबर सुरक्षा कायम गर्न प्रतिबन्धित दृष्टिकोण रहेको हुन्छ।
कमजोर जोखिमहरूको लागि परीक्षण गर्न र उनीहरूको क्लाउड डाटाको बारेमा उल्ल .्घन हुनबाट रोक्न संगठनहरूले आफै अग्रसरता लिनै पर्दछ।
त्यसकारण क्लाउड प्रवेश परीक्षण एउटा महत्त्वपूर्ण साइबर सुरक्षा संयन्त्र बन्छ।
क्लाउड पेन परीक्षण सामान्य रूपमा निम्न समावेश गर्दछ:
- अनुप्रयोग र अनुप्रयोग प्रोग्राम इन्टरफेस (एपीआई) पहुँच
- भण्डारण र डेटाबेस पहुँच
- गुप्तिकरण
- भर्चुअल मेशिन (VMs) र अनपेच अपरेटिंग सिस्टमहरू
- रिमोट डेस्कटप प्रोटोकल (RDP) र SSH रिमोट प्रशासन
- कम्प्यूटर सुरक्षा
- कमजोर नेटवर्क फायरवालहरू
- खराब पासवर्डहरू
क्लाउड पेन परीक्षणहरू प्रदर्शन गर्न जटिल हुन सक्छ - त्यसैले किन एक सेतो बाकस कलम परीक्षण विधि उपयोगी हुन सक्छ।
सेतो बक्स कलम परीक्षणमा, तपाईंसँग (वा परीक्षक) सँग यसको स्रोत कोड, नेटवर्क आर्किटेक्चर, र सफ्टवेयरले संचालन गर्ने प्रणालीसँग पूर्ण बुद्धि र पहुँच छ।
त्यो जानकारी प्रयोग गर्नुहोस् ताकि तपाईं द्रुत र राम्ररी कलम परीक्षण गर्न सक्नुहुनेछ।
सार्वजनिक क्लाउड सेवा प्रदायक, यद्यपि, प्राय: कलम परीक्षणहरू संचालन गर्ने तपाईंको क्षमतालाई सेवाको रूपमा इन्फ्रास्ट्रक्चरको बहु-भाँडा वा साझा पूर्वाधारको कारण सीमित गर्दछ (IaaS)।
यदि तपाईं क्लाउड पेन परीक्षण गर्न चाहानुहुन्छ भने, तपाईंको सेवा प्रदायकलाई त्यो योजनाको जानकारी दिँदै विचार गर्नुहोस्। कुन क्षेत्रहरू प्रतिबन्धित छन् सोध्नुहोस्।
Social. सामाजिक ईन्जिनियरि।
तपाईंसँग सब भन्दा बलियो साइबरसुरक्षा संयन्त्रहरू हुनसक्दछन्, तर धोखाको कारणले मानवीय त्रुटिले कहिलेकाँही तपाईंको सिस्टमलाई सफलतापूर्वक घुसाउन अनलाईन आक्रमण गर्दछ।
त्यसकारण प्रवेश परीक्षणकर्ताहरूले पनि सामाजिक ईन्जिनियरि schemes् स्किमहरूबाट तपाईंको साइबर प्रतिरक्षा परीक्षण गर्नुपर्दछ।
सेतो टोपी ह्याकरहरू प्राय: यी सामाजिक ईन्जिनियरि techniques तकनीकहरूको नक्कल गर्दछन्।
- फिसिङ आक्रमणहरू
- ब्लूजनार्फिंग
- टेलगेटि
- उपहार
- प्रि-टेक्स्टिंग
- इभ्सड्रपिंग
- इम्पोस्टरहरू (तेस्रो-पक्ष आपूर्तिकर्ता, सहकर्मीहरू, आदि को रूपमा अभिनय गर्दै)
- नाम छोड्दै
- डम्पस्टर डाइभि
एक सामाजिक ईन्जिनियरिंग परीक्षा उपयोगी छ किनकि यसले तपाईंलाई तपाईंको मानव पूँजीको जालसाजी युक्तिहरूलाई असफल बनाउन सक्ने क्षमताको बारेमा कम जानकारी दिन्छ।
जे भए पनि, कालो टोपी ह्याकर्ससँग शक्तिशाली भ्रामक तरिकाहरू र साधनहरू हुन सक्छन्, ताकि तपाईं तिनीहरूलाई बेमेल गर्न सक्नुहुन्न।
तपाईं वा तपाईंको कार्यबल विश्वासनीय सन्देशहरूको शिकार हुन सक्छ - जबसम्म तपाईं सतर्क हुनुभयो र यी खतराहरूलाई तिनीहरूको ट्र्याकमा रोक्नुभएन भने।
Phys. शारीरिक कलम परीक्षण
यदि तपाईंको कार्यालय भवनमा कमजोर शारीरिक सुरक्षा छ भने, तपाईं सक्नुहुन्छ शाब्दिक साईबर अपराधीहरूका लागि ढोका खोल्नुहोस् यो साकार नगरी पनि।
तिनीहरूले आफूलाई FBI अधिकारीहरू, तेस्रो-पक्ष विक्रेताहरू, रोजगार आवेदकहरू, उपयोगिता कर्मीहरू, तपाईंको कर्मचारी, वा कुनै अन्य नियमित र विश्वासयोग्य चरित्रको रूपमा भेषमा बदल्न सक्छन्।
तिनीहरू शारीरिक प्रवेश परीक्षक पनि हुन सक्छ।
(त्यसकारण तपाईंले यो सुनिश्चित गर्नुपर्दछ कि तपाईं कानूनी कलम परीक्षकहरू ट्याप गर्दै हुनुहुन्छ। ज्ञात साइबरसुरिटी कम्पनीहरू वा प्रमाणित फ्रीलान्स पेन परीक्षकहरूलाई विचार गर्नुहोस् जसमा ती Fiverr.)
जब तपाइँको स्टाफले केहि शंका गर्दैन भने, तिनीहरूले साइबर क्राइमनलहरूलाई तपाइँको कम्पनी परिसरमा प्रवेश गर्न अनुमति दिन सक्छन् र उनीहरूको ठाँउ अनुगमन नगरी छोड्न सक्छन्।
त्यसो हुनबाट रोक्नको लागि, तपाईंले शारीरिक प्रवेश परीक्षणहरू लागू गर्न आवश्यक छ।
शारीरिक पेन-परीक्षणले तपाईंको सर्वरहरू र प्रणालीहरूमा मूर्त प्रविष्टिहरू ह्याकरहरूलाई बाधा दिन्छ। यो सुनिश्चित गर्न मद्दत गर्दछ कि अनाधिकृत व्यक्तिहरूले तपाईंको सुविधा र हार्डवेयर पहुँच गर्न सक्दैनन्।
शारीरिक कलम परीक्षणहरू यी विधिहरू मार्फत पहुँच प्राप्त गर्न को लागी प्रयास गर्दछ।
- प्रतिरूपण
- RFID प्रणालीहरू
- प्रकाश र गति सेन्सरलाई बाइपास गर्दै
- लक-उठाई
- ढोका प्रवेश प्रणाली र कीपैडहरू, आदि।
शारीरिक कलम परीक्षकहरूले सामाजिक ईन्जिनियरि schemes्ग योजनाहरू जस्तै जालसाजी र सुविधा कर्मचारीहरूको हेरफेरको साथ यस प्रकारको परीक्षण एकीकृत गर्न सक्दछन्।
याद गर्नुहोस्, तपाईको आईटी टोलीका लागि कमजोरीहरूलाई लगनशील तरिकाले प्याच गर्न यो राम्रो छ, तर तिनीहरूले शारीरिक सुरक्षालाई वेवास्ता गर्नुहुन्न। यदि तिनीहरूले त्यसो गरे भने, साइबर अपहरणकर्ताहरूले तपाईंको शारीरिक आईटी सम्पत्ति शोषण गर्न सक्दछन्।
W. वायरलेस नेटवर्क र वेबसाइट (ग्राहक-साइड)
जब तपाईंको व्यवसायमा ब्राउजिing, अपरेटिंग, वा विक्रेताहरू र ग्राहकहरूसँग अनलाइन कुराकानी समावेश गर्दछ, तपाईं सम्भवत मद्दत गर्न सक्नुहुन्न तर दुवै सुरक्षित र हानिकारक साइटहरूको सामना गर्न सक्नुहुन्छ।
यदि तपाईं सार्वजनिक वाइफाइ प्रयोग र कमजोर साइट सुरक्षा छ भने, तपाईं अनैतिक ह्याक्स को लागी संवेदनशील हुन सक्छ। यदि तपाईं भन्न सक्नुहुन्न भने एक वेबसाइट भरपर्दो छ वा छैन, तपाई हकरहरुलाई अन्जानमा पहुँच दिन सक्नुहुन्छ।
ह्याकर्सहरूले उनीहरूको आक्रमणहरू कार्यान्वयन गर्न प्रयास गर्न नर्ग नेटवर्क र दुर्भावपुर्ण वेबसाइटहरू पनि प्रयोग गर्छन्।
त्यसो भए तिनीहरूले ईन्क्रिप्टेड विवरणहरू प्राप्त गर्न सक्दछन् जस्तै लग-इन प्रयोगकर्ता नामहरू र पासवर्डहरू, फोटोहरू, निजी कुराकानी सन्देशहरू, क्रेडिट कार्ड नम्बरहरू, ईमेलहरू, र अधिक।
साइबर अपहरणकर्ताहरूले पनि जानकारी बदल्न सक्छन् र मालवेयर र भाइरस ईन्जेक्सन गर्न सक्छन्, ransomware सहित। यी सबै खतराहरू खतरामा पर्न सक्छन् र तपाईंको IT ईकोसिस्टम बन्द गर्न सक्छन्।
त्यसकारण तपाईंको साइट र वायरलेस नेटवर्कहरूको लागि कलम परीक्षणहरू महत्त्वपूर्ण छन्।
वेबसाइट र वायरलेस नेटवर्क परीक्षणहरूले कालो टोपी ह्याकरहरूले हेरफेर गर्न सक्ने खालका लागि महत्त्वपूर्ण पूर्वाधार र उपकरणहरूको जाँच गर्दछ।
सामान्यतया, वेबसाइटहरू र वायरलेस नेटवर्कहरूको लागि कलम परीक्षणहरूले समावेश गर्दछ:
- SQL ईन्जेक्सन
- क्रस-साइट स्क्रिप्टि।
- ताररहित नेटवर्क ट्राफिक
- मिडिया पहुँच नियन्त्रण (MAC) ठेगाना स्पूफिंग
- पूर्वनिर्धारित वा कमजोर पासवर्डहरू
- ताररहित ईन्क्रिप्शन प्रोटोकोलहरू
- अस्वीकार-सेवा (DDoS) आक्रमणहरू
- मालवेयर
- वेब सर्भर गलत कन्फिगरेसन
- वेब सर्भर र / वा गोप्य ग्राहक जानकारीको लागि वेबसाइट
- अवैध हटस्पटहरू, नेटवर्कहरू, र पहुँच पोइन्टहरू
- सामग्री निर्माण सफ्टवेयर वा मिडिया प्लेयर सफ्टवेयर
Website. वेबसाइट अनुप्रयोगहरू
वेबसाइट अनुप्रयोग सुरक्षा अडिटहरूमा, कलम परीक्षकहरूले तपाईको सबै सर्भर अनुप्रयोगहरूमा कमजोरीहरूको लागि खोजी गर्दछन्।
यो मानक नेटवर्क पेन परिक्षण बाहिर जान्छ र यी कमजोरीहरू के हुन् भनेर बिन्दु गर्दछ।
यस प्रकारको परीक्षणको उद्देश्य सम्भावित खतरहरूको निरीक्षण गर्नु हो जुन वेब सेवाहरू, सुरक्षित कोड समीक्षा र अनुप्रयोगहरू मार्फत आउन सक्छ।
कलम परीक्षकहरूले सामान्यतया यी अनुप्रयोगहरूको निरीक्षण गर्छन्:
- वेब अनुप्रयोगहरू
- भाषाहरू (जाभा, .नेट, PHP)
- प्रणाली (SAP, रसद, CRM प्रणाली, मानव संसाधन प्रणाली, वित्तीय प्रणाली)
- फ्रेमवर्क
- जडानहरू (Oracle, XML, MySQL)
- एपीआई
- मोबाइल एप्स।
Bottomline
विभिन्न प्रकारका प्रवेश परीक्षणहरूले तपाईंको साइबरसुरक्षाको अवस्था र सुधारको लागि प्राथमिकता क्षेत्रहरूमा फरक अन्तरदृष्टि प्रकट गर्दछ।
तपाईको कम्पनीको आईटी परिदृश्यमा अधिक प्रकारका कलम परीक्षणहरू लागू हुन्छन्, अधिक क्षेत्रहरू तपाईले कभर गर्न सक्नुहुन्छ, र जति बढी तयार हुनुहुन्छ तपाई सम्भावित साइबर खतराहरू र आक्रमणको बिरूद्ध हुनुहुनेछ।
के यो पोष्ट उपयोगी थियो? अब तपाईका सहकर्मीहरू र साथीहरूसँग साझा गर्नुहोस्। चियर्स!