• 9b Kipshidze St., Tbilisi, Georgia
  • +995595511355
  • +995571381166
Facebook Linkedin Instagram
გახდი წევრი
გახდი წევრი
თარიღი
/   ავტორიdavit-user

ციფრული აქტივების ანგარიში – პირველი ნაბიჯი შეღწევადობის ტესტირების დაგეგმვისას.

 რუბრიკა:  სისუსტეები

ორგანიზაციები მუდმივად იცვლებიან, რაც უკიდურესად ართულებს, არსებული მდგომარეობის შეფასებას.

შეღწევადობის ტესტირებასთან დაკავშირებული სირთულეები

იმის გამო, რომ კომპანიები მუდმივად იცვლებიან და არსებული მდგომარეობის განსაზღვრა უფრო რთულია, ვიდრე ოდესმე, ბევრი მათგანი პრობლემის გადაწყვეტას შეღწევადობის ტესტირებაში ხედავს, როდესაც მესამე მხარის გუნდი აფასებს სიტუაციას და მიუთითებს, რაზე უნდა გამახვილდეს ყურადღება. უპირველეს ყოვლისა უსაფრთხოების გასაძლიერებლად (მაგალითად, პაჩინგი, სეგმენტაცია ან ზოგადად დაუცველობა).

შეღწევადობის ტესტირების დაგეგმვის მეთოდოლოგია მოიცავს კვლევას, აღმოჩენას, სკანირებას და ექსპლუატაციას.

სამწუხაროდ, შეღწევადობის ტესტირების შესრულებისას ე.წ. “ყუთიდან ამოღებას” ბევრი სირთულე აქვს. დამკვეთების უმეტესობას შეექმნა მსგავსი პრობლემები შეღწევადობის ტესტირების ორგანიზებისას, ასევე შესრულებისას. მაგალითად, მომხმარებლის თვალსაზრისით, შეღწევადობის შესრულება შეიძლება დაკავშირებული იყოს შემდეგ პრობლემებთან:

  • ყოველთვის არ არის ცნობილი, რა მიზნები აქვს მოტივირებულ თავდამსხმელს. შეიძლება გქონდეთ ვარაუდები მოსალოდნელი საფრთხის ვექტორების შესახებ, მაგრამ რა ხდება, როდესაც საქმე, შეეხება საინფორმაციო სისტემებს, რომლებიც გამოიყენება უშუალოდ სფეროში და არ არის დაკავშირებული ცენტრალურ ოფისთან, და სხვა რესურსებსა და სერვისებთან, რომელთა შესახებ წარმოდგენაც არ გაქვთ და არც კი იცით, რა რისკებს და საფრთხეებს შეიცავს.
  • თავდასხმის სქემა ყოველთვის არ არის ცნობილი და, შესაბამისად, რთულია ოპტიმალური შეღწევადობის ტესტირების სცენარის არჩევა.

რაც შეეხება სირთულეებს, რომლებსაც შეღწევადობის ტესტირების გუნდი აწყდება შედგენილი გეგმის განხორციელებისას? ამ შემთხვევაში, ასევე არსებობს რამდენიმე სერიოზული პრობლემა:

  • ამოცანას სვამს დამკვეთი ან მისი დასახვა ხდება დამკვეთისა და შემსრულებლის შეხვედრის დროს. თუმცა თავდამსხმელები სულ სხვაგვარად მოქმედებენ. როგორც წესი, შეღწევადობის ტესტერები რესურსებს პოულობენ ტესტირების შესრულების დაწყების შემდეგ, რაც იწვევს პროექტის ზრდას და შეიძლება არ იყოს სასიამოვნო როგორც მომხმარებლისთვის, ასევე შემსრულებლისთვის. შეფერხებას იწვევს მიზნების განხილვისადმი მიძღვნილი შეხვედრებიც.
  • მიზანი ხშირად დამოკიდებულია დამკვეთის ბიუჯეტზე, რაც გათვალისწინებული აქვს შეღწევადობის ტესტირებისთვის, კომპანიების უმეტესობას არ შეუძლია მიიღოს ყველაფერი, როგორც საერთო მიზნის ნაწილი. ეს ყველაფერი დამოკიდებულია, თუ რას ანიჭებენ პრიორიტეტს. რომელი რესურსები იქნება მიზნის ნაწილი და რომელი არა? და რა იქნება სამუშაოს საერთო ღირებულება?
  • ხშირად რეალური სცენარის ნაცვლად მომხმარებელს სურს ფოკუსირება მოახდინოს მხოლოდ რამდენიმე აპლიკაციაზე.

როგორც ალბათ უკვე მიხვდით, ეს სტატია გთავაზობთ ზემოთ აღნიშნული პრობლემების მარტივ, მაგრამ ელეგანტურ გადაწყვეტას და ძველი მეთოდოლოგიის შეცვლას, რომელსაც ასობით კომპანია ახორციელებს.

შეღწევადობის ტესტირების შესრულების უფრო ეფექტური გზა

მოტივირებული თავდამსხმელისთვის შეტევის განხორციელებისას ყველაზე მნიშვნელოვანია დაზვერვა, აღმოჩენა და სკანირება. ეს ეტაპები უკიდურესად მნიშვნელოვანია, მაგრამ მათ ხშირად არა სათანადოდ აფასებენ ზემოთ ნახსენები მიზნების დასახვის პროცესში. მას შემდეგ, რაც თავდამსხმელები ხშირად შეღწევას ახერხებენ უკიდურესად მარტივი გზით და რესურსების გამოყენებით, რომლებზეც კლიენტები ან საკმარის ყურადღებას არ აქცევენ, ან საერთოდ ვერც კი ხვდებიან მათ მნიშვნელობას.  შემსრულებლისთვის ეს ყველაფერი დამოკიდებულია დამკვეთის კომპანიის სრულყოფილ აღწერაზე შეღწევადობის ტესტების დაწყებამდე.

შეღწევადობის ტესტირება იყოფა ორ დიდ ფაზად. პირველი ეტაპი იძლევა ანგარიშს ციფრული აქტივების შესახებ. მეორე ეტაპზე ტარდება ტრადიციული შეღწევადობის ტესტირება. ამ შემთხვევაში ორივე მხარე იმარჯვებს. მოხსენებას (ან ციფრულ კვალს), რომელიც შეიცავს დაზვერვის, აღმოჩენისა და სკანირების შედეგებს ტესტირებამდე, დიდი მნიშვნელობა აქვს მრავალი თვალსაზრისით.

ცალკე ანგარიშში გადავხედოთ მრავალნაწილიანი შეღწევადობის ტესტის დაზვერვის, აღმოჩენისა და სკანირების შედეგების უპირატესობებს.

ამ შემთხვევაში მომხმარებელს შეეძლება აირჩიოს, რომელი რესურსი იქნება საერთო ამოცანის ნაწილი. და, რაც მთავარია, ის შეძლებს ინფორმირებული გადაწყვეტილების მიღებას იმის შესახებ, თუ რომელი რესურსების შემოწმება არ უნდა იყოს დაისახონ მიზნად. თავდაპირველად, მომხმარებელს შეიძლება გაუჩნდეს აზრები, თუ რა უნდა შეიტანოს საერთო ამოცანაში, მაგრამ წინასწარი ანგარიშის წაკითხვის შემდეგ, აზრი შეიძლება შეიცვალოს.

ხშირად დაუცველობა გვხვდება ღია წყაროს ძიების დროსაც კი, როდესაც სამიზნე ორგანიზაციის რესურსების შესწავლის შემდეგ, გაჟონვის შედეგები გვხვდება საძიებო სისტემებისა და სისტემების მიერ ინდექსირებული კონფიდენციალური ინფორმაციის სახით, რომლებსაც სათანადო ყურადღება არ ექცევა და აშკარად იკვეთება ხარვეზები. მომხმარებლის ციფრული ანაბეჭდის შექმნისას, მას პრაქტიკულად ყოველ ჯერზე შეუძლია გადაჭრას პრობლემების გადაჭრა პენტესტის დაწყებამდე.

ამ შემთხვევაში, კლიენტი ხედავს ინვესტიციით მისაღებ სარგებელს ძალიან ადრეულ ეტაპზე და შეუძლია გამოასწოროს აშკარა ხარვეზები, ხოლო შეღწევადობის ტესტერების გუნდს შეუძლია ფოკუსირება მოახდინოს უფრო მოწინავე სცენარებზე.

პასუხისმგებლობების განაწილებით დამკვეთის ამოცანა მნიშვნელოვნად მარტივდება. კვლევა, აღმოჩენა და სკანირება არ საჭიროებს განსაკუთრებულ მოქმედებებს. შესაბამისად, სამუშაოს მთლიანი მოცულობა და საბოლოო ფასი უფრო ხელმისაწვდომი ხდება, როდესაც მომხმარებელი დაუყოვნებლივ იწყებს მუშაობას გუნდთან ერთად და უფრო სწრაფად იღებს ხელშესახებ შედეგებს.

ორგანიზაციებისთვის, რომელთაც მიზნის სრულად გაცნობიერება სურთ, უფრო ადვილია სრული ტესტირების უზრუნველყოფა, რადგან ციფრული კვალი წინასწარ არის განსაზღვრული. გარდა ამისა, ამ შემთხვევაში უფრო ადვილია შეთანხმება სამუშაოს მოცულობასა და ღირებულებაზე.

და ბოლოს, ძალიან მნიშვნელოვანია, რომ შემსრულებელმა წარმოადგინოს პოტენციური თავდასხმის ვექტორების თავისებური გაგება. ამ შემთხვევაში, შღწევადობის ტესტერებისთვის ბევრად უფრო მოსახერხებელი ხდება თავიანთი სამუშაოს შესრულება. პროექტი ნაკლებად გაიზრდება და საერთო დავალება უფრო გასაგები გახდება და შესაძლებელი გახდება ფიქსირებულ ფასებში მუშაობაც. მოკლედ, მომხმარებელიც იმარჯვებს და შემსრულებელიც.

რას უნდა შეიცავდეს ციფრული ანაბეჭდის ანგარიში?

ანგარიში შეიძლება იყოს ნებისმიერი, სერვერებიდან, სერვისებიდან და ტექნოლოგიებიდან დაწყებული გაჟონვის შედეგად აღმოჩენილი ანგარიშებით დამთავრებული.

ტექნიკური აღწერილობა

დაიწყეთ ყველაზე მნიშვნელოვანი ფაქტებისა და დასკვნების ნაწილით, რომელიც შეიძლება იყოს მოკლე და ჩვეულებრივ შეიცავს შემდეგ ინფორმაციას:

  • მავნე დომენები, როგორიცაა ფიშინგ დომენები, მსგავსი დომენები და ა.შ.
  • დაუცველობა აღმოჩენილია იმ დროს, როდესაც შეღწევადობის ტესტები ჯერ არ დაწყებულა.
  • გაჟონვების შედეგად ნაპოვნი ანგარიშები.
  • ნებისმიერი სხვა ინფორმაცია, რომელიც შეიძლება გამოყენებულ იქნას კომპანიის წინააღმდეგ თავდასხმის დროს.

ამ განყოფილებაში შესაძლებელია სხვა ინფორმაციის მითითება, მაგალითად, რა შეუძლია გააკეთოს კომპანიამ, რათა უკეთ მოემზადოს შეღწევადობის ტესისთვის. ასევე კარგი იდეაა რაიმე სახის სტატისტიკის დართვა, რომელიც აჯამებს მოძიებულ ინფორმაციას პოტენციური თავდასხმის ვექტორებთან დაკავშირებით.

სერვერების სია

 აქ წარმოდგენილია ყველა ნაპოვნი დომენისა და IP მისამართის დეტალურ აღწერას, რომლებიც დაკავშირებულია სამიზნე კომპანიის სერვისების ჰოსტინგთან. ანგარიში შეიძლება შეიცავდეს შემდეგ ინფორმაციას:

  • პროვაიდერი (Amazon, Telenor, Rackspace)
  • IP-მისამართი
  • დომენი
  • ტესტერის კომენტარი
  • დაახლოებითი მოცულობა

თითოეული პროვაიდერისთვის სასურველია ყველა უნიკალური IP მისამართის და დომენის ჩამოთვლა, თუ ეს შესაძლებელია. კომენტარები ეხმარება ტესტერს სისტემებზე თავდასხმის ვექტორების იდენტიფიცირებაში. რაც შეეხება სავარაუდო ზომას, სასურველია რესურსის ზომის (მიკრო, პატარა, საშუალო, დიდი ან ზედმეტად დიდი) განსაზღვრის მეთოდოლოგის შემუშავება. ეს ვარიანტი შეიძლება გამოყენებულ იქნას თანამშრომლობის სქემების სახით ფიქსირებული ხარჯებით.

ასევე შეიძლება გამოსადეგი იყოს ფერადი კოდირების გამოყენება. მაგალითად, რესურსების მონიშვნა წითელ, ყვითელ, მწვანე ან თეთრ ფერებში, როდესაც აღვნიშნავთ, რამდენად კრიტიკული ან მაღალი პრიორიტეტია შესაბამისი რესურსი საერთო დავალების ფარგლებში. შედეგად მიღებული დოკუმენტი შეიძლება გამოყენებულ იქნას როგორც სამუშაო დოკუმენტი ამოცანის ჩამოყალიბების მიზნით.

ელფოსტა და პირადი მონაცემები

ამ განყოფილებაში რამდენიმე პუნქტია განხილული. პირველი, კომპანიის თანამშრომლების სია, ელექტრონული ფოსტის მისამართები და როლები. მე როლები 3 ტიპად, რომელთაგან თითოეულს აქვს საკუთარი თავდასხმის ვექტორები:

  • მენეჯმენტი და სხვა მსგავსი პოზიციები (მაგ. მენეჯერის თანაშემწე)
  • IT, დეველოპერები, უსაფრთხოების სპეციალისტები და სხვა მსგავსი სპეციალობები.
  • მდივნები, მომხმარებელთა მხარდაჭერის და სხვა მხარდაჭერასთან დაკავშირებული პოზიციები.
  • სხვა როლები, რომლებიც არ შედის წინა სამ ნაწილში.

თავდამსხმელისთვის განსაკუთრებით საინტერესოა საინფორმაციო ტექნოლოგიებთან დაკავშირებული პოზიციები. წარმატებული თავდასხმის სცენარების განხორციელება შესაძლებელია ბლოგის სტატიების, სერვისის ანგარიშების გაცნობის შემდეგ, როგორიცაა stack overflow, კოდების საცავი და ა.შ. უფრო გასაგები ვიზუალიზაციის მიზნით შეიძლება სხვა და სხვა როლის ფერადი კოდებით გამოყოფა.

ასევე შესაძლებელია საზიარო ელ.ფოსტის ანგარიშების პოვნა, რომლებიც შეიძლება იყოს რისკის ქვეშ სუსტი პაროლებისა და სხვა საფრთხეების გამო. ჩვეულებრივ, ასეთ ანგარიშებს ასე უწოდებენ:

  • incoming@
  • sales@
  • post@
  • security@

ასევე  საჭიროა გაჟონვის შედეგად აღმოჩენილი ჩანაწერების დემონსტრირება.

მობილური აპლიკაციები

კომპანიის მიერ შემუშავებული აპლიკაციები ასევე უნდა იყოს ჩამოთვლილი და  განხილული, როგორც პოტენციური თავდასხმის ვექტორების ნაწილი. ბევრ აპლიკაციას აქვს API-ის (Application Programming Interface) მეშვეობით ორგანიზაციის შიდა ინფრასტრუქტურასთან დაკავშირების შესაძლებლობა. ან არსებობს რისკები ანგარიშების გაჟონვის შემთხვევაში. მაგალითად, მობილური მოწყობილობების მართვა ავტორიზაციის გარეშე.

სოციალური მედიის ანგარიშები

სოციალური მედიის ანგარიშები ასევე შეიძლება განიხილებოდეს თავდამსხმელების მიერ, როგორც თავდასხმის ერთ-ერთი მთავარი ვექტორი. შეგიძლიათ წარმოიდგინოთ სიტუაცია, როდესაც თავდამსხმელი შედის პაროლის გამოყენებით “CompanyName123!” და ახლა შეუძლია უშუალოდ 20 ათას აბონენტთან ერთდროულად კომუნიკაცია? სოციალური მედიის ანგარიშების დაცვა არანაკლებ მნიშვნელოვანია, განსაკუთრებით თუ ის, რაც დაკავშირებულია თავად კომპანიასთან და არ არის დაკავშირებული სხვა ინდივიდუალური მომხმარებლის ანგარიშებთან.

სხვა ინფორმაცია

ციფრული აქტივების ანგარიშში შეიძლება იყოს სხვა ინფორმაცია. მაგრამ აქ საჭიროა დავრწმუნდეთ, რომ ეს მონაცემები მაღალი ღირებულებისაა სამიზნე ორგანიზაციისთვის, როგორიცაა ბიუჯეტის გეგმები, ნახაზები ან სხვადასხვა კონფიგურაციები.

დასკვნა

დამკვეთსა და შემსრულებლებს შორის ურთიერთსასარგებლო ურთიერთობებზე დაყრდნობით, შეღწევადობის ტესტირება უფრო ეფექტური იქნება. თუ შემსრულებელს შეუძლია რისკების აღება და ციფრული აქტივების ანგარიშის შექმნა ტესტირების დაწყებამდე, შემდგომი აქტივობები, სავარაუდოდ, ორმხრივად მომგებიანი იქნება. ციფრული ანაბეჭდის წარმოდგენა ძალიან მოსახერხებელია, რადგან ამ გზით შესაძლებელია ბევრი საკითხის გარკვევა უფრო რთული სცენარით ტესტირებამდე

პუბლიკაციის გაზიარება

Facebook
Twitter
LinkedIn
Telegram

მოგეწონათ სტატია ?

გამოიწერეთ ჩვენი სიახლეები

სხვა სტატიები

footer-logo-1
footer-logo-2(1)
footer-logo-3
networking-cisco
output-onlinepngtools
OPI_logo
footer1
footer2
footer3
networking-cisco
output-onlinepngtools
OPI_logo
 

შპს კომპიუტერული მეცნიერების სემინარებთან პარტნიორობით
IN THE PARTNERSHIP WITH LTD COMPUTER SCIENCE SEMINARS

SUPPORT BY scsa.ge

I agree to Privacy Policy of Scientific Cyber Security Association

accept