"पेंटेस्टर" - यह शब्द वास्तव में रूसी नहीं है, उधार है। आईटी से नहीं लोगों के मन में क्या आता है, मैं कल्पना करने से डरता हूं। इसलिए, हम खुद को "रूस में" गर्व से "पैठ परीक्षण विशेषज्ञ" कहते हैं। "पैठ" और क्या है और इसका परीक्षण क्यों किया जाना चाहिए? इस लेख में मैं बिन बुलाए के लिए गोपनीयता का पर्दा खोलने की कोशिश करूंगा।
बड़ी कंपनियां हैं जिनमें "चाचा" काम का सम्मान किया जाता है। वे प्रोग्रामर द्वारा काम किया जाता है जो कोड लिखते हैं और कभी-कभी गलतियाँ करते हैं। त्रुटियों के कारण सामान्य हैं: क्योंकि मूर्खता के कारण, आलस्य के कारण या प्रौद्योगिकी की अज्ञानता के कारण, और सबसे अधिक बार डेडलाइन के जलने के कारण जो आपको आवेदन तर्क के माध्यम से सोचने और परीक्षणों के साथ कोड को कवर करने की अनुमति नहीं देते हैं।
एक सॉफ्टवेयर उत्पाद में, कोई भी त्रुटि संभावित भेद्यता है। भेद्यता पहले से ही एक संभावित जोखिम है। और जोखिम एक प्रकार का बुरा है, और आप पैसे खो सकते हैं (सामान्य तौर पर, आप बहुत सी चीजें खो सकते हैं: ग्राहक डेटा, बौद्धिक संपदा, प्रतिष्ठा, लेकिन यह सब पैसे में गणना की जाती है)।
और आपको क्या लगता है? बिग अनइंडर्स प्रोग्रामर्स को जल्दी नहीं करने का फैसला करते हैं, उन्हें सुरक्षित विकास पाठ्यक्रमों में ले जाएं, कोड को सही करने के लिए समय दें और उन्हें पैर की मालिश दें? बिल्कुल नहीं। बिग यूनिटीज़ इन जोखिमों को कम करने का निर्णय लेते हैं (कम करें, स्थानांतरण, बीमा और कई अन्य buzzwords)। सामान्य तौर पर, कार्यक्रम स्पिन करते हैं - लवेखा को पिघलाया जाता है। हैकर्स ने थोड़ी चोरी की, और सब कुछ एक मानक धारा में चला गया, लेकिन यह समय के लिए था।
समय के साथ, डेटा की मात्रा काफी बढ़ने लगी, हैकर्स का अहंकार और भी तेजी से बढ़ा। हैकिंग से नुकसान स्वीकार्य सीमा से अधिक होने लगा। साथ ही, उपयोगकर्ताओं ने अपने "बहुत महत्वपूर्ण" व्यक्तिगत डेटा के मूल्य का एहसास करना शुरू कर दिया, और फिर "लोगों" ने राजनीति से बाहर निकाल दिया और कताई शुरू कर दी (शीर्ष अधिकारियों के वायरटैपिंग, ईरानी परमाणु ऊर्जा संयंत्र का विघटन, चुनाव धोखाधड़ी, बोलने की स्वतंत्रता, गोपनीयता का अधिकार, गुमनामी का अधिकार) और अंत में "साइबर हथियार"!)।
सभी को तुरंत समझ में आ गया कि सूचना सुरक्षा आपके लिए “ख़ुहरा-मुखरा” नहीं है।
यहां, सबसे सम्मानित लोगों ने कहा कि निश्चित रूप से वे बुराई हैकर्स (जो वे के लिए पहुंचेंगे) को कैद करेंगे, लेकिन किसी और को किसी भी तरह से अपनी गतिविधियों के लिए जिम्मेदार होना चाहिए और आवश्यक जानकारी सुरक्षा उपायों को लेना होगा। उन्होंने निर्देश जारी किए, हथौड़े से मारा और भाग गए।
पाठक के लिए एक महत्वपूर्ण बिंदु: "व्यवसाय", निश्चित रूप से यह कह सकता है कि आपकी गोपनीयता उसके लिए बहुत महत्वपूर्ण है, डेटा किसी को भी पारित नहीं किया जाएगा और प्रत्येक जानकारी को विशेष रूप से प्रशिक्षित व्यक्ति द्वारा संरक्षित किया जाएगा, लेकिन वास्तव में यह किसी के लिए बहुत कम चिंता का विषय है। सूचना सुरक्षा सुनिश्चित करने के लिए मुख्य प्रेरक "दादी" या अधिक सटीक हैं:
- नियामक आवश्यकताओं (अन्यथा भारी जुर्माना);
- हैकर्स को बहुत अधिक चोरी करने से रोकना (दिवालियापन का कारण बन सकता है);
- प्रतिष्ठा बनाए रखें (ताकि भोला-भाला उपयोगकर्ता कंपनी के पैसे को आगे बढ़ा सकें)।
सामान्य तौर पर, पहले तो किसी ने बहुत परेशान नहीं किया, उन्होंने कागज के स्मार्ट टुकड़े विकसित किए, प्रमाणित उपकरण खरीदे, प्रमाणित विशेषज्ञों को काम पर रखा (या यों कहें कि उनकी औसत दर्जे के लिए कागज के टुकड़े खरीदे), और पहली नज़र में सब कुछ सुरक्षित लग रहा था। लेकिन जैसा कि हर कोई समझता है, वास्तविक जीवन में कागज का एक टुकड़ा बंद नहीं होता है।
फिर से, "स्मार्ट चाचा" एक साथ मिला और फैसला किया: एक हमलावर के खिलाफ बचाव के लिए, आपको हमलावर की तरह सोचने की जरूरत है। अपने आप से जरूरी नहीं है, आप इस प्रक्रिया को औपचारिक रूप दे सकते हैं, विशेष रूप से प्रशिक्षित लोगों को "जैकेट में" किराए पर ले सकते हैं, और उन्हें खुद को हैक करने दे सकते हैं, और आउटपुट कागज का एक नया टुकड़ा होगा, लेकिन पहले से ही एक "तकनीकी रिपोर्ट"!
इसलिए, एक सरल तरीके से एक "पंचर" वह है जो एक वास्तविक हमलावर के काम का अनुकरण करता है, जिससे प्रवेश (समझौता) की संभावना के लिए संगठन का परीक्षण किया जाता है और सूचना संपत्ति (गोपनीय जानकारी) तक पहुंच प्राप्त की जाती है।
कैसे करें टेस्ट? कहाँ से? कहाँ घुसना है? क्या जानकारी प्राप्त करें? सीमाएं क्या हैं? - ये सभी विवरण हैं जो पहले से सहमत हैं।
बाहर से, ऐसा लगता है कि नौकरी आसान और अत्यधिक भुगतान की है, साथ ही बाजार विशेषज्ञों के साथ संतृप्त नहीं है, इसलिए, यह प्रवृत्ति बन रही है कि कई छात्र सोफे पर घर बैठे "कूल हैकर्स" बनना चाहते हैं और एक दो को दबाते हुए, आईटी दिग्गजों को हैक कर रहे हैं। लेकिन क्या यह इतना आसान है?
जीवन का अनुभव
पेंटेस्टर सिर्फ एक परीक्षक नहीं है, नियमित कंपनी या
विक्रेता कंपनी के कर्मचारी के रूप में काम करने का अनुभव किए बिना स्कूल की बेंच से यहां नहीं जाना बेहतर है।
आपको जीवन के स्कूल से गुजरना होगा, उदाहरण:
- लेखाकार को समझाएं कि प्रिंटर काम नहीं कर रहा है क्योंकि तार कंप्यूटर से जुड़ा नहीं है;
- कंपनी में वित्त निदेशक को यह समझाना कि कंप्यूटर पर स्टिकर पर पासवर्ड लिखना बहुत बुरा है;
- 256MB RAM वाले कंप्यूटर पर 4Gb की न्यूनतम आवश्यकताओं के साथ सॉफ़्टवेयर स्थापित करें;
- घर के राउटर पर कॉर्पोरेट ग्रिड स्थापित करें ताकि सब कुछ उड़ जाए;
- एक साधारण सूचना प्रणाली तक पहुंच प्राप्त करने पर सहमत होने के लिए कुछ महीनों तक प्रतीक्षा करें;
- इंटरनेट से "मछली" डाउनलोड करके कुछ दिनों में एक सूचना सुरक्षा नीति विकसित करना;
- कोड में कुछ भी बदले बिना, कार्यक्रम को संकलित करने के लिए भगवान से पूछें और सफलता प्राप्त करें;
- योजना बनाने के लिए योजना बनाने की तुलना में 2 गुना तेज, और पुरस्कार के बजाय, और भी अधिक काम करें;
- आदि
अन्यथा, ग्राहक के वास्तविक अभ्यास और व्यक्तित्व को समझने के बिना आपकी पूरी रिपोर्ट कागज का एक सुंदर टुकड़ा बनी रहेगी, और सिफारिशें कभी पूरी नहीं होंगी।
बहु-सहस्र कंपनी में आमतौर पर एक "छेद" ढूंढना मुश्किल नहीं है, लेकिन जीवन के अनुभव के बिना, अन्य प्रणालियों को समझने के बिना पूरी तरह से विश्लेषण और दरार करना मुश्किल होगा:
- यह कैसे बनाया गया था? (गुणात्मक या पदार्थों के अंतर्गत)
- ऐसा क्यों? (आलस्य, बजट, शर्तें, कर्मचारी)
- डेवलपर / वास्तुकार / नेटवर्कर क्या याद कर सकता है?
- सिस्टम को हैक करने के लिए कोई जिम्मेदार क्यों नहीं है? (और ऐसा होता है)
- कोई भी आपकी सुपर महत्वपूर्ण भेद्यता को ठीक क्यों नहीं करना चाहता है? (और ऐसा होता है)
- कुछ घंटों में एक महत्वपूर्ण भेद्यता क्यों तय नहीं की जा सकती है? (शायद लोगों ने अपने कार्य दिवस को समाप्त कर दिया और कोई भी प्रसंस्करण के लिए भुगतान नहीं करता है)
- एक खोजी भेद्यता को ठीक करना कितना आसान है? (शायद एक्सपायर्ड आउटसोर्सिंग के लिए समर्थन है)
- आदि
पेंटेस्टर आवश्यकताएँ
ऐसे विशेषज्ञ की आवश्यकताएं, निश्चित रूप से, एक अंतरिक्ष यात्री के लिए आवश्यकताओं से भिन्न होती हैं, शारीरिक रूप से लचीला होना आवश्यक नहीं है, आप आम तौर पर लंबे समय तक सोफे से नहीं उठ सकते हैं, लेकिन आपकी खुद की कुछ बारीकियां हैं।
यहाँ नमूना नौकरी जिम्मेदारियाँ हैं:- प्रवेश परीक्षण (पेंटेस्ट):
- बाहरी और आंतरिक पैठ परीक्षण;
- वेब अनुप्रयोगों का सुरक्षा विश्लेषण;
- वायरलेस नेटवर्क का सुरक्षा विश्लेषण;
- समाजशास्त्रीय इंजीनियरिंग के तरीकों का उपयोग करके प्रवेश परीक्षण;
- पीसीआई डीएसएस मानक के हिस्से के रूप में प्रवेश परीक्षण।
- आयोजित परीक्षणों पर रिपोर्ट और सिफारिशों का विकास।
- सूचना सुरक्षा के क्षेत्र में विभाग की दक्षता का विकास और विकास।
नमूना आवश्यकताओं:सूचना सुरक्षा के क्षेत्र में उच्च तकनीकी शिक्षा की उपस्थिति।- प्रशासन का ज्ञान * निक्स और विंडोज सिस्टम, वेब सर्वर।
- नेटवर्क प्रोटोकॉल (टीसीपी / आईपी), सुरक्षा प्रौद्योगिकियों (802.1x), साथ ही नेटवर्क प्रोटोकॉल (एआरपी-स्पूफिंग, एनटीएलएम-रिले) की मुख्य कमजोरियों का ज्ञान।
- वेब प्रोटोकॉल और प्रौद्योगिकियों (http, https, साबुन, aax, json, rest ...) के काम का ज्ञान, साथ ही साथ मुख्य वेब भेद्यताएं (OWASP Top 10)।
- सूचना सुरक्षा उत्पादों (निर्माताओं, आपूर्तिकर्ताओं, प्रतियोगियों, विकास के रुझान, मांग की विशेषताओं, जरूरतों और ग्राहकों की अपेक्षाओं) के बाजार का ज्ञान।
- सूचना सुरक्षा प्रौद्योगिकियों (WAF, VPN, VLAN, IPS / IDS, DLP, DPI, आदि) को समझना।
- प्रोग्राम्स के साथ अनुभव nmap, sqlmap, dirb, wirehark, burp स्वीट, Metasploit, Responder, Bloodwound।
- काली लिनक्स ओएस के साथ अनुभव।
- OWASP, PCI-DSS के तरीकों का ज्ञान।
- पायथन, पीएचपी, रूबी, बैश, पॉवर्सशेल, जावा, सी, विधानसभा में विकास का अनुभव।
- रिवर्स इंजीनियरिंग की मूल बातें समझना।
- अंग्रेजी का ज्ञान इंटरमीडिएट स्तर से कम नहीं है।
चीनी का ज्ञान (जल्द ही प्रतीक्षा करें)।
प्लस:- रिवर्स इंजीनियरिंग और मैलवेयर विश्लेषण में अनुभव।
- द्विआधारी कमजोरियों का शोषण करने में अनुभव।
- पेशेवर प्रमाणपत्र CEH, OSCP, OSCE, आदि की उपलब्धता
- पेशेवर प्रतियोगिताओं (CTF, hackathon, olympiads) में भागीदारी।
- बग बाउंटी कार्यक्रमों में भागीदारी।
- अपने CVE होने।
- पेशेवर सम्मेलनों में भाषण।
खुद से:इस मामले में, कुछ लोग तकनीकी जीनियस-सोशियोफोब में रुचि रखते हैं; आमतौर पर, यहां एक निवर्तमान व्यक्ति की आवश्यकता होती है, जो:
- ग्राहक को समझाएं कि वह वास्तव में क्या चाहता है और यह कैसा दिखेगा;
- सही ढंग से मौजूद और लिखित और मौखिक रूप में अपने कार्यों और सिफारिशों की रक्षा करना;
- यदि सफल हो, तो "वाह प्रभाव" बनाएं;
- विफलता के मामले में, एक "वाह प्रभाव" बनाएं (पेन्टेस्ट के खनिक सूचना सुरक्षा के फायदे हैं);
- तनाव-प्रतिरोधी होना (यह गर्म है, विशेष रूप से छिपे हुए काम के साथ);
- क्रॉस-प्रोजेक्ट के साथ भी समय पर कार्यों को हल करें।
- एक प्रवृत्ति में होना (ओह, हाँ, एक प्रवृत्ति में होना सभी आईटी पेशेवरों का "बोझ" है):
- [आप बस इसे नहीं ले सकते हैं और काम के बाद काम के बारे में नहीं सोच सकते]।
- लगातार विकसित करने की जरूरत है।
- टेलीग्राम में चैट रूम पढ़ें, विदेशी ब्लॉग पढ़ें, समाचार पढ़ें, ट्विटर को ट्रैक करें, हैबर पढ़ें, रिपोर्ट देखें।
- नए टूल सीखें, रिपॉजिटरी में बदलाव को ट्रैक करें।
- सम्मेलनों में भाग लें, अपने लिए बोलें, लेख लिखें ।
- नए कर्मचारियों को प्रशिक्षित करें।
- प्रमाणित होना।
- बाहर जला मत करो।
सबसे गहरा दर्शन
यह सोचने की ज़रूरत नहीं है कि पेंटेस्ट सभी समस्याओं को दिखाएगा, जिसके परिणामस्वरूप कंपनी (उत्पाद) में आपकी सूचना सुरक्षा का एक उद्देश्य मूल्यांकन होगा।
पंचक केवल यह दिखाता है कि किसी विशेष विशेषज्ञ की टीम को किन परिस्थितियों में (समय, स्थान, किसी हमलावर का मॉडल, दक्षताओं, अनुमत कार्यों, विधायी प्रतिबंधों, प्राथमिकताओं,
चंद्रमा चरण ) का परिणाम मिलता है, जो किसी हमलावर के काम की नकल करके प्राप्त कर सकता है।
याद रखें: पेंटर असली
घुसपैठिए नहीं हैं जो चोरी, हैकिंग, ब्लैकमेल, कर्मचारियों की रिश्वत, दस्तावेजों की जालसाजी, उनके प्रभाव और अन्य सार्वभौमिक मानवीय कारकों को जोड़ सकते हैं, सब कुछ यहां 100 बार समन्वित होता है, लोड नियंत्रित होता है और सब कुछ पता है।
पेंटेस्ट भी भाग्य है। आज आप RAM से व्यवस्थापक पासवर्ड निकालने में कामयाब रहे और पूरे कॉर्पोरेट नेटवर्क के लिए डोमेन व्यवस्थापक तक गए, और कल यह पहले से ही नहीं है, और केवल अनपेक्षित (सरल) एक्सेस कुछ प्राचीन, कोई भी दिलचस्प सर्वर पर रिपोर्ट में नहीं जाएगा।
करीबी स्थलों से अंतर
"Pentesters" के अलावा, "Redtimers", "Bagunters", "Researchers", "Auditors" भी हैं, बस सूचना सुरक्षा विशेषज्ञ - यह सब एक व्यक्ति हो सकता है, या अलग-अलग लोग हो सकते हैं, केवल आंशिक रूप से प्रतियोगिताओं के मामले में ओवरलैपिंग। लेकिन इन शब्दों को थोड़ा "चबाने" का प्रयास करें:
"लेखा परीक्षक"
इस विशेषज्ञ को सभी दस्तावेजों, नेटवर्क आरेख, डिवाइस कॉन्फ़िगरेशन के साथ प्रदान किया जाता है, जिसके आधार पर संगठन के लिए ऑडिटर्स के सर्वोत्तम मानकों और अनुभव के अनुसार निष्कर्ष और सिफारिशें की जाती हैं। जानकारी के खुलेपन के कारण, यह सभी आईएस प्रक्रियाओं के लिए सबसे बड़ा कवरेज और संपूर्ण बुनियादी ढांचे का एक समग्र दृष्टिकोण प्रदान करता है।
लेखा परीक्षक शायद ही कभी संगठन में प्रत्येक सेटिंग की स्वतंत्र रूप से जांच करता है, आमतौर पर जानकारी उसे स्वयं ग्राहक द्वारा प्रदान की जाती है, कभी-कभी पुरानी या गलत।
व्यापार प्रक्रियाओं और व्यवहार में उनके कार्यान्वयन के साथ कागज के दोनों टुकड़ों की जांच करने के लिए लेखा परीक्षकों और पंचों के प्रयासों को संयोजित करना आवश्यक है।
"शोधकर्ता"
अपने सबसे शुद्ध रूप में पेंटेस्टर एक शोधकर्ता नहीं है, उसके पास बस इसके लिए समय नहीं है। शोधकर्ता द्वारा, मेरा मतलब है कि एक विशेषज्ञ जो एक स्टैंड उठा सकता है, कुछ सॉफ़्टवेयर को तैनात कर सकता है और केवल कई हफ्तों या महीनों तक इसकी जांच कर सकता है।
अब कल्पना कीजिए, आप अपने कॉर्पोरेट बुनियादी ढांचे का परीक्षण करने के लिए एक विशेषज्ञ को काम पर रख रहे हैं, और वह हर समय वहां बैठा रहा और कर्मचारियों में से एक के कंप्यूटर पर "वेलेंटाइन भेजें" सॉफ़्टवेयर का अध्ययन किया। सफल होने पर भी, आप उसके कार्य परिणामों में बहुत रुचि नहीं रखते हैं।
"Redtimer"
Redtim एक पूरी तरह से अलग परीक्षण दर्शन है। परिपक्व आईएस वाली कंपनियों के लिए उपयुक्त, जिन्होंने पहले से ही ऑडिट और पेंटेस्ट का आयोजन किया है, साथ ही सभी कमियों को समाप्त कर दिया गया है।
यहां, यह एक वास्तविक हमलावर के सबसे करीब है, और संगठन की आईएस सेवा और संबद्ध सेवाएं (
एसओसी ...) पहले से ही सत्यापन के अधीन हैं।
पेंटेस्ट से अंतर:
- काम के बारे में कम ही लोग जानते हैं, बाकी लोग हमलों के लिए वास्तविक समय में जवाब देंगे।
- गुप्त रूप से काम किया जाता है - आप रात में क्लाउड होस्टर्स से हमला कर सकते हैं।
- परीक्षण कवरेज करने की कोई आवश्यकता नहीं है - आप कम से कम प्रतिरोध के मार्ग का अनुसरण कर सकते हैं और github.com पर पासवर्ड पा सकते हैं।
- वाइडर एक्सपोजर रेंज - 0day को लागू किया जा सकता है, सिस्टम में तय किया गया है।
- यह कार्य लंबी अवधि (कई महीने, एक वर्ष) के लिए किया जाता है, इसके लिए जल्दबाजी की आवश्यकता नहीं है - यह यहाँ है कि आप उठाए गए स्टैंडों पर ग्राहक के बुनियादी ढांचे पर शोध करने के लिए सुरक्षात्मक उपकरणों के उपयोग को कम कर सकते हैं।
"BagHanter"
एक पंचर के साथ एक बैगनटर की तुलना करना गलत है - यह नरम के साथ गर्म की तरह है, एक दूसरे के साथ हस्तक्षेप नहीं करता है। लेकिन अलगाव के लिए, मैं कह सकता हूं कि पेंटेस्टर एक स्थिति है, काम में कथित कार्यप्रणाली के अनुसार ग्राहक के साथ एक समझौते के तहत कई औपचारिक कार्य शामिल हैं और सिफारिशों के गठन के साथ।
यह किसी भी व्यक्ति के लिए एक छेद खोजने के लिए पर्याप्त है (आमतौर पर साइट पर एक सूची से) और एक त्रुटि का प्रमाण भेजते हैं (पूर्व शर्त, कदम)।
एक बार फिर, कोई प्रारंभिक समझौते, कोई अनुमोदन नहीं - मुझे बस भेद्यता मिली और साइट के माध्यम से ग्राहक को भेजा गया (साइट
www.hackerone.com साइट के एक उदाहरण के रूप में सेवा कर सकती है)। आप यह भी देख सकते हैं कि सिर्फ पेट्या ने संगठन "ए" में कैसे किया और इसे वहीं "बी" संगठन में दोहराया। यहाँ प्रतियोगिता अधिक है, और "कम लटका हुआ फल" कम और कम आता है। यह पंचक के लिए अतिरिक्त आय के रूप में विचार करना बेहतर है।
इंटीग्रेटर कंपनी से पेंटेस्ट की विशिष्टता
यह खंड विज्ञापन लग सकता है, लेकिन आप तथ्यों से दूर नहीं होंगे।प्रत्येक पंचक अपने तरीके से अद्वितीय है (हालांकि तकनीक को स्टीरियोटाइप किया जा सकता है)। कई कारक इसे अद्वितीय बनाते हैं, लेकिन मुख्य रूप से लोग, विशेषज्ञों की एक टीम, जिनकी शैली निश्चित रूप से उस कंपनी से प्रभावित होती है जहां वे काम करते हैं।
इसलिए, उदाहरण के लिए, केवल पेंटेंट ही एक कंपनी के लिए महत्वपूर्ण है, इसके परिणाम, वे केवल इस पर पैसा बनाते हैं। दूसरी कंपनी अपने सुरक्षात्मक समाधान को बेचने के लिए पेंटेस्ट के दौरान विशिष्ट खामियां बनाना चाहती है। तीसरा समस्याओं की एक पूरी परत को बढ़ाने के लिए बाधित व्यावसायिक प्रक्रियाओं पर अधिक ध्यान केंद्रित करता है और उन्हें हल करने के उपायों का प्रस्ताव करता है।
एक
इंटीग्रेटर कंपनी में काम करते हुए, मैं बाहरी ग्राहकों के लिए हमारे कीटों की सुविधाओं के बारे में बात करूंगा। विशिष्टता यह है कि:
- हम एक कीट के लिए एक कीट का संचालन करने और इसे कई महीनों तक खींचने में रुचि नहीं रखते हैं।
- काम कम से कम समय में किया जाता है, और परिणाम ग्राहक की सूचना सुरक्षा की वास्तविक तस्वीर की पहचान करने के उद्देश्य से होते हैं।
- महत्वपूर्ण बुनियादी ढांचे के बिंदुओं का परीक्षण करके सूचना सुरक्षा की समस्याग्रस्त व्यावसायिक प्रक्रियाओं को उजागर करना आवश्यक है। तो, यदि 20 में से 20 कंप्यूटरों पर एक पुरानी ऑपरेटिंग सिस्टम का पता चला है, तो एक और 200 दिखाने की क्या बात है? पूर्ण कवरेज की अक्सर आवश्यकता नहीं होती है, और इसकी गारंटी कौन दे सकता है?
- पंचक के परिणामों के अनुसार, कंपनी तुरंत एक ऑडिट आयोजित करने, व्यावसायिक प्रक्रियाओं का निर्माण करने, सुरक्षात्मक उपायों का प्रस्ताव करने, उन्हें लागू करने, साथ देने और निगरानी करने की पेशकश कर सकती है। रूस में, कई कंपनियां इस तरह के अवसरों का दावा नहीं कर सकती हैं। यह सुविधाजनक है जब ऐसी परियोजनाओं में सेवाओं का पूरा पैकेज एक कंपनी द्वारा विशाल अनुभव के साथ प्रदान किया जा सकता है।
कर्मचारी के दृष्टिकोण से, एक एकीकृत कंपनी देश भर में छोटे और बहुत बड़े ग्राहकों के साथ सभी प्रकार के काम की परियोजनाओं की एक भीड़ है। यह रूस और विदेश दोनों में व्यापारिक यात्राओं की उपस्थिति है। और निश्चित रूप से, लेखा परीक्षकों, कार्यान्वयन, रखरखाव इंजीनियरों, विक्रेताओं, आदि के साथ एक टीम में कंधे से कंधा मिलाकर काम करना।
कार्य जीवन
कल्पना करें कि आप पहले से ही एक पेंटर के रूप में काम कर रहे हैं। आपके कार्य दिवस क्या दिखेंगे?
सोमवार से शुक्रवार तक आप एक सहकर्मी के साथ मिलकर ग्राहक 1 का "बाहरी पंचक" आयोजित करते हैं। ग्राहक की बारीकियों को ध्यान में रखते हुए व्यक्तिगत अनुभव और अंतर्राष्ट्रीय तरीकों के आधार पर काम किया जाता है। आप स्कैनर लॉन्च करते हैं, एक नक्शा संकलित करते हैं, चेकलिस्ट के साथ जांच करते हैं, खोजी गई भेद्यताओं के बारे में एक सहयोगी के साथ मेल खाते हैं।
उसी समय, एक अन्य टीम ग्राहक के कर्मचारियों को फोन करना शुरू कर देती है, सुरक्षा सेवा के रूप में प्रस्तुत करती है, दुर्भावनापूर्ण संलग्नक के साथ दुर्जेय पत्र भेजती है, कोई व्यक्ति फ्लैश ड्राइव फेंकने और ग्राहक के क्षेत्र पर पोस्टर लगाने के लिए भी छोड़ देता है।
यह एक प्रतियोगिता नहीं है, दिलचस्प कमजोरियां हमेशा यहां नहीं पाई जाती हैं, लोग हमेशा फोन पर पासवर्ड की रिपोर्ट नहीं करते हैं और सुरक्षा उपायों को हमेशा "लीक" नहीं किया जाता है, इसलिए केवल प्रदर्शन किए गए काम की एक सूची रिपोर्ट पर जा सकती है, लेकिन आप चिंता न करें, क्योंकि हर पेंटेस्ट आपको कुछ सिखाता है। कुछ नया और दिलचस्प मानव कारक दिखाता है।
ग्राहक के इनपुट डेटा के फ़्यूज़िंग के बाद कुछ समय, सेवाओं की सेवाक्षमता ख़राब हो जाती है, और काम निलंबित हो जाता है। प्रतिबंधों के समायोजन के बाद, वे जारी हैं। सब कुछ सामान्य है। एक रिपोर्ट लिखिए।
फिर आपको N के शहर की व्यावसायिक यात्रा के साथ Customer2 के "आंतरिक पंचक" को सौंपा गया है, आपके एक साथी को मोबाइल एप्लिकेशन का परीक्षण करने के लिए मिलता है। आगमन पर, आपको एक अलग कार्यालय में ले जाया जाएगा, एक कार्यस्थल प्रदान करेगा। आप शांत रूप से नेटवर्क केबल को लैपटॉप से कनेक्ट करें और बताए गए समझौते के अनुसार एक "आंतरिक पेंटेस्ट" का संचालन करें। शायद आप ms17-010 के माध्यम से काम शुरू करने के 3 घंटे बाद डोमेन नियंत्रक पर कब्जा कर लेते हैं और बाकी दिनों में अन्य वैक्टर एकत्र करते हैं। शायद आप प्राप्त खातों की एक जोड़ी पर "प्राधिकरण के कार्बरोस प्रतिनिधिमंडल" के साथ "खेलने" के लिए पूरे सप्ताह की कोशिश कर रहे हैं। आईबी के कर्मचारी निश्चित रूप से आपके पास आएंगे और पूछेंगे कि उन्होंने क्या पाया है। पहले से ही 15 मिनट के बाद आप प्रश्न की उम्मीद करते हैं: “ठीक है? क्या आपने कुछ क्रैक करने का प्रबंधन किया था? ", हालांकि नैंप ने" वार्म अप "भी नहीं किया था। किसी भी मामले में, आपके पास आमतौर पर सुरक्षा गार्ड के साथ आश्चर्यचकित करने के लिए कुछ होता है, और यहां तक कि प्रिंटर से एक खाते के साथ, आप एक्सचेंज एक्सचेंज बैकअप ले सकते हैं। आगे की रिपोर्ट, सहकर्मियों को "महान यात्रा" के बारे में कहानियां, ग्राहक को आश्चर्यचकित करना, बहुत सारी सिफारिशें और यहां तक कि अधिक स्पष्टीकरण भी, लेकिन अंत में कंपनी वास्तव में यह समझना शुरू कर देती है कि सुरक्षा एक प्रक्रिया है, न कि एक बार का उपाय, और आप किए गए कार्य से प्रसन्न होंगे।
फिर आपको एक लाल टीम को सौंपा गया है, आप एक सहयोगी के साथ एक कार में ड्राइव करते हैं, बैंक के बगल में पार्क करते हैं। लैपटॉप और एक विशेष एंटीना का उपयोग करके वाई-फाई पर हमला शुरू करें। आप GRU नहीं हैं, आपके पास पपड़ी नहीं है, आप अप्रत्याशित गार्ड से वास्तव में "एक टोपी पकड़ सकते हैं", इसलिए ऐन्टेना छिपा हुआ है और आपके पास एक किंवदंती है जो आप दोस्तों से अपेक्षा करते हैं।
लेकिन अब कॉर्पोरेट वाई-फाई वाईफाई-हैंडशेक प्राप्त होता है, और कार्यालय में आपके सहयोगियों ने पहले से ही इसे बंद कर दिया है और इंटरनेट के माध्यम से शीर्ष प्रबंधक के मेलबॉक्स में चले गए हैं। यह एक सफलता है। सूचना, रिपोर्ट, प्रस्तुतियों का आगे संग्रह।
कार्यदिवसों पर आप अपने काम के भाग को अनुकूलित करने के लिए स्क्रिप्ट लिखते हैं। समाचार पढ़ें और स्टैंड पर नई तकनीकों का परीक्षण करें। समानांतर में, पुराने ग्राहक आपको एक महीने पहले काम के बारे में सवाल भेजते हैं।
शनिवार को कुछ घंटे (प्रसंस्करण लागत का भुगतान किया जाता है), लोड परीक्षण की ग्राहक पर योजना बनाई जाती है, आप साइट को शुरू होने के 10 मिनट बाद छोड़ देते हैं, और अनुमान लगाते हैं कि क्या है? परिणामों पर एक रिपोर्ट लिखें।
जल्द ही कंपनी की कीमत पर एक दिलचस्प एएसयू टीपी पेंटेस्ट और आईएस सम्मेलन के लिए एक यात्रा होगी। आप खुशी के आंसू छोड़ते हैं और एक नए वेब फॉर्म में उद्धरण चिह्न डालते हैं।
निष्कर्ष में
पेंट्स का विषय नया नहीं है, उन्होंने इसके बारे में और विभिन्न तरीकों से बहुत कुछ लिखा (आप इसे
यहां और
यहां पढ़ सकते हैं)
विश्वविद्यालयों में उपयुक्त अनुशासन दिखाई देते हैं, प्रतियोगिताएं आयोजित की जाती हैं, विभिन्न सम्मेलन आयोजित किए जाते हैं, लेकिन स्टाफिंग "भूख" हर साल बढ़ रही है। इसके अलावा, कई कंपनियों की सूचना सुरक्षा की परिपक्वता बढ़ रही है, अधिक से अधिक सूचना सुरक्षा उपकरण दिखाई दे रहे हैं, और विशेषज्ञों से उच्च और बहुमुखी योग्यताएं आवश्यक हैं। यह कम से कम एक बार वास्तविक पंचक में भाग लेने के लिए प्रत्येक आईटी विशेषज्ञ (सूचना सुरक्षा विशेषज्ञों का उल्लेख नहीं करना) के लिए उपयोगी होगा।
और स्वचालन की शुरुआत (
यहां एक उदाहरण) के बावजूद, यह संभावना नहीं है कि कुछ अगले दस वर्षों में एक जीवित सक्षम व्यक्ति को बदल देगा।