Nüfuzetmə testi

Nüfuzetmə testi adətən, pentester və ya etik haker kimi tanınan şəxslər tərəfindən, sistemin təhlükəsizliyini qiymətləndirmək üçün həyata keçirilən, kompüter sisteminə edilən icazəli, simulyasiya edilmiş kiberhücumdur.[1][2] Bunu zəifliyin qiymətləndirilməsi ilə qarışdırmaq olmaz.[3] Test zəif tərəfləri (və ya zəiflikləri), o cümlədən icazəsiz tərəflərin sistemin xüsusiyyətlərinə və məlumatlarına giriş əldə etmək potensialını,[4][5] habelə güclü tərəfləri müəyyən etmək üçün həyata keçirilir ki,[6] bu da tam risk qiymətləndirməsinin tamamlanmasına imkan verir.

Proses adətən hədəf sistemləri və konkret məqsədi müəyyənləşdirir, sonra mövcud məlumatları nəzərdən keçirir və bu məqsədə çatmaq üçün müxtəlif vasitələrə əl atır. Nüfuzetmə testinin hədəfi ağ qutu (haqqında arxa fon və sistem məlumatı test edənə əvvəlcədən təqdim olunur) və ya qara qutu (haqqında şirkət adından başqa yalnız əsas məlumatlar verilir, başqa heç nə verilmir) ola bilər. Boz qutunun nüfuzetmə testi ikisinin birləşməsidir (hədəf haqqında məhdud bilik auditorla paylaşılır).[7] Nüfuzetmə testi sistemin hücuma qarşı zəifliklərini müəyyən etməyə və onun nə qədər həssas olduğunu təxmin etməyə kömək edə bilər.[8][6]

Nüfuzetmə testinin aşkar etdiyi təhlükəsizlik məsələləri sistem sahibinə bildirilməlidir.[9] Nüfuzetmə testi hesabatları, həmçinin təşkilata olan potensial təsirləri qiymətləndirə bilər və riski azaltmaq üçün əks-tədbirlər təklif edə bilər.[9]

Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzi nüfuzetmə testini belə təsvir edir: "Düşmən kimi eyni alət və üsullardan istifadə edərək, həmin sistemin təhlükəsizliyinin bir hissəsini və ya hamısını pozmağa cəhd etməklə İT sisteminin təhlükəsizliyinə əminlik əldə etmək üsulu".[10]

Nüfuzetmə testinin məqsədləri hər hansı tapşırıq üçün təsdiq edilmiş fəaliyyət növündən asılı olaraq dəyişir, əsas məqsəd hücumçu tərəfindən istifadə oluna bilən zəifliklərin tapılması və müştərini bu boşluqlar barədə məlumatlandırmaqdır.[11]

  1. "What Is Penetration Testing?". 2019-03-23 tarixində arxivləşdirilib. İstifadə tarixi: 2018-12-18.
  2. "Penetration Testing overview". 2019-02-01 tarixində arxivləşdirilib. İstifadə tarixi: 2019-01-25.
  3. "What's the difference between a vulnerability assessment and a penetration test?". 2023-08-11 tarixində arxivləşdirilib. İstifadə tarixi: 2020-05-21.
  4. The CISSP® and CAPCM Prep Guide: Platinum Edition. John Wiley & Sons. 2006-11-06. ISBN 978-0-470-00792-1. A penetration test can determine how a system reacts to an attack, whether or not a system's defenses can be breached, and what information can be acquired from the system
  5. Kevin M. Henry. Penetration Testing: Protecting Networks and Systems. IT Governance Ltd. 2012. ISBN 978-1-849-28371-7. Penetration testing is the simulation of an attack on a system, network, piece of equipment or other facility, with the objective of proving how vulnerable that system or "target" would be to a real attack.
  6. 1 2 Cris Thomas (Space Rogue), Dan Patterson. Password Cracking is easy with IBM's Space Rogue (Video). CBS Interactive. 2017. Event occurs at 4:30-5:30. 8 April 2019 tarixində arxivləşdirilib. İstifadə tarixi: 1 December 2017.
  7. "Pen Testing Types explained". 2017-06-09. 2019-04-08 tarixində arxivləşdirilib. İstifadə tarixi: 2018-10-23.
  8. "Penetration Testing: Assessing Your Overall Security Before Attackers Do". SANS Institute. 5 January 2014 tarixində arxivləşdirilib. İstifadə tarixi: 16 January 2014.
  9. 1 2 "Writing a Penetration Testing Report". SANS Institute. 7 January 2015 tarixində arxivləşdirilib. İstifadə tarixi: 12 January 2015.
  10. "Penetration Testing". NCSC. Aug 2017. 8 April 2019 tarixində arxivləşdirilib. İstifadə tarixi: 30 October 2018.
  11. Patrick Engebretson, The basics of hacking and penetration testing Arxiv surəti 4 yanvar 2017 tarixindən Wayback Machine saytında Arxivləşdirilib 2017-01-04 at the Wayback Machine, Elsevier, 2013
  12. Long, Johnny. Google Hacking for Penetration Testers. Elsevier Science. 2011. ISBN 978-0-08-048426-6.
  13. "Definitive Guide to Penetration Testing | Core Sentinel". Core Sentinel. 2018-10-23 tarixində arxivləşdirilib. İstifadə tarixi: 2018-10-23.

Xarici keçidlər

[redaktə | vikimətni redaktə et]