تستر های نفوذ
تست های نفوذ
. در این پست چارچوبی را برای درک فرآیند تست قلم اعمال خواهم کرد
در پست بعدی اینجا به برخی از مشکلاتی که در تست نفوذ می بینم بحث می کنم.
حس سازی
فرآیند تست نفوذ شکلی از رفتار متخصص شبیه به تحلیل هوش است که در آن کارهای زیادی برای درک اجزای کلیدی عملکرد متخصص انجام شده است. این اغلب به یک جریان فرآیند به شرح زیر تقسیم می شود:
جمع آوری اطلاعات ← ارائه در طرحواره خبره ← توسعه بینش ← تعریف محصول یا اقدام
طرح واره خبره شامل الگوها و دانشی است که در انجام وظایف خبره چه اطلاعاتی مهم است که متخصص از طریق تجربه ایجاد می کند. همچنین رمزگذاری اطلاعات خام به شکلی است که برای یک متخصص مفید است. طرح واره خبره چارچوب و فیلتری را فراهم می کند که از طریق آن می توان حجم وسیعی از اطلاعات را به اطلاعات مرتبط و مفید کاهش داد.
توسعه بینش دستکاری اطلاعات فیلتر شده و کدگذاری شده مناسب برای شناسایی معنا از طریق توسعه و آزمایش فرضیه ها است. این معنا باید در زمینه نتیجه نهایی اهمیت داشته باشد تا پس از آن برای تعریف محصول یا اقدامی که منجر به نتیجه مطلوب می شود، استفاده شود.
این فرآیند کلاسیک "حس سازی" است که توسط یک متخصص به اطلاعات معنی می دهد.
حس سازی و پنداشتن
یک نقشه واضح بین فعالیت های حس ساز و فعالیت های یک آزمون نفوذ وجود دارد. برای تست نفوذ، این فرآیند کمی بیشتر به نظر می رسد:
اسکن و بهرهبرداری ← مشخص کردن آسیبپذیریهای کشفشده ← درک علل و تأثیرات آسیبپذیریها در زمینه مشتری ← توصیههای کاهش اولویتدار
ارائه نتیجه
مرحله نهایی وجود دارد که جامعه اطلاعاتی از طریق تجربه تلخ آموخته است، باید در یک فرآیند تحلیل اطلاعات موفق در نظر گرفته شود: ارائه نتیجه.
مرحله تحویل نتیجه معمولاً مستقیماً توسط یک تحلیلگر اطلاعاتی تکمیل نمی شود، اما مبنایی را برای این که چرا در وهله اول فرآیند معناسازی مورد نیاز است، فراهم می کند. معنایی که از معناسازی به دست میآید، آکادمیک است، بدون اینکه نتیجهای از استفاده از محصول برای دستیابی به نوعی تغییر داشته باشد.
این مشابه پنتست است، اگر مشتری آسیبپذیریهای یافت شده و گزارششده توسط تستر قلم را کاهش ندهد، در وهله اول آزمایش چه هدفی داشت؟
عدم ارائه نتیجه
اگر یک آزمایشکننده قلم مشتری را مجدداً آزمایش کند و متوجه شود که آسیبپذیری گزارششده قبلی را برطرف نکرده است، تمرکز بر مرحله تحویل نتیجه بسیار آسان است و انگشت اتهام را به سمت مشتری برای عدم انجام کار نشانه میرود. با این حال من فکر می کنم که این اغلب یک نقص را در مراحل اولیه تست قلم از دست می دهد.
دراینجا شروع می کنم به بررسی اینکه چرا این مشکلات وجود دارند و چگونه می توان آنها را بهبود بخشید.
بهعنوان یک مشتری آگاه، و یک شرکتکننده سابق، تعدادی از مشکلات را در مورد pentesting میبینم که امروز تحویل داده شد.
تمرکز بیش از حد روی روز اول به عنوان معیار موفقیت
تنوع بسیار زیاد در کیفیت و پوشش بین تسترها و بین تست ها
"جادوی سیاه" بیش از حد غیرقابل توضیح و تعریف نشده
من فکر میکنم آن گلولهها نتیجه اسطورهشناسی «تستر های نفوذ ستارههای راک» را توصیف میکنند که در صنعت ایجاد شده است.
من درک میکنم که درک یک سیستم پیچیده به منظور شناسایی فرصتهایی برای براندازی آن و اجرای موفقیتآمیز آن فرصتها، یک کار ذاتا خلاقانه است که به تخصص زیادی نیاز دارد.
با این حال، من همچنین استدلال میکنم که اکثر آزمایشهای انجامشده ترکیبی از اسکن شبکه، اسکن آسیبپذیری، اسکن برنامه و کمی زنجیرهای خلاقانه با هم از آسیبپذیریهای شناخته شده در سطح پلت فرم است. به ندرت، در تجربه من، نقص های معماری زیادی شناسایی می شود و به ندرت در حملات برنامه های سفارشی واقعاً نوآورانه وجود دارد.
بسیاری از چیزهایی که تکمیل میشوند به اندازهای که گفته میشود واقعاً شگفتانگیز نیستند، من مطمئن هستم که بسیاری از آزمایشکنندگان اجباری آزمایش نفوذ گسترده با یک مهلت ثابت را تشخیص میدهند که در آن زیرسیستمهای جالب و منحصربهفرد بهآرامی حذف میشوند. برای اطمینان از پوشش تا حد امکان در بازه زمانی مواردی که می توان با ابزارهای شناخته شده و دانش موجود آزمایش کرد. در واقع برای بسیاری از مشتریانی که در تلاش برای شکست دادن خارجیهای مستمر پیشرفته نیستند، بسیار ارزشمند است، آنها فقط سعی میکنند در موج جرایم سایبری جاری نباشند، جایی که گرانتر بودن حمله نسبت به فرد بعدی هنوز هم ارزش دارد. .
من فکر میکنم اسطورههای آزمایشکننده قلم ستارههای راک، تمرکز آزمایشکنندگان قلم را پرت کرده است و آنها از نتایجی که مشتری میخواهد با انجام آزمایش نفوذ به دست آورد، آگاهی کمی دارند، و نتایج ارزشگذاری شده توسط صنعت تست قلم را با ارزشهای ارزشگذاری شده توسط مشتریان اشتباه میگیرند.
من میدانم که این یک تعمیم قلم مو بسیار گسترده است، آگاهی روزافزونی از این موضوع در بین برخی از آزمایشکنندگان با تجربهتر وجود دارد و استثناهایی در این صنعت وجود دارد، اما آنها چندان رایج نیستند و وقتی آنها را پیدا کنید ارزشمندتر میشوند.
در تجربه من، بسیاری از نفوذگران از نمایش یافتههای خود در طرحواره تخصصی خود (مشخص کردن آسیبپذیریهای کشفشده) به طور مستقیم به تعریف یک محصول یا اقدام (توصیه اقدامات کاهشدهنده اولویتدار) بدون ایجاد بینشی (درک علل و تأثیرات آسیبپذیریها در زمینه مشتری) میگذرند.
بدون هیچ بینشی، هیچ انگیزه ای برای مشتری وجود ندارد که رفتارهای سازمانی خود را تغییر دهد و بدون توضیح در مورد اینکه چرا برخی از آسیب پذیری ها برای کسب و کار مهم هستند، مشتری اولویت بندی را که از طریق طرح واره متخصص ارائه می شود غیرقابل نفوذ خواهد یافت (از آنجایی که مشتری به ندرت متخصص است) . هر دوی این شرایط به احتمال زیاد منجر به فلج شدن عمل میشوند تا ارائه نتیجه، زیرا مشتری نمیداند چرا باید کاری انجام دهد یا واقعاً چه کاری باید انجام دهد.
[ بازدید : 14 ] [ امتیاز : 3 ] [ نظر شما : ]