Zaif tomonlarni baholash (hisoblash) - Vulnerability assessment (computing)
 |
Zaif tomonlarni baholash xavfsizlik teshiklarini aniqlash, aniqlash va tasniflash jarayonidir axborot texnologiyalari tizimlar. Hujumchi foydalanishi mumkin a zaiflik tizim xavfsizligini buzish. Ba'zi ma'lum zaifliklar - bu autentifikatsiya qilishning zaifligi, avtorizatsiyaning zaifligi va kirishni tasdiqlashning zaifligi.[1]
Maqsad
Tizimni joylashtirishdan oldin, avvalo, u tizimning barcha ma'lum xavfsizlik xavflaridan xavfsizligini ta'minlaydigan bir qator zaifliklarni baholashdan o'tishi kerak. Yangi zaiflik aniqlanganda, tizim ma'muri yana baholashni amalga oshirishi, qaysi modullar himoyasizligini aniqlashi va tuzatish jarayonini boshlashi mumkin. Tuzatishlar kiritilgandan so'ng, zaifliklar haqiqatan ham hal qilinganligini tekshirish uchun yana bir baholash mumkin. Baholash, yamoqlash va qayta baholashning ushbu tsikli ko'plab tashkilotlar uchun xavfsizlik masalalarini boshqarishning standart usuli bo'ldi.
Baholashning asosiy maqsadi tizimdagi zaif tomonlarni topishdir, ammo baholash to'g'risidagi hisobot manfaatdor tomonlarga tizim ushbu zaifliklardan himoyalanganligini etkazadi. Agar tajovuzkor zaif veb-serverlardan iborat tarmoqqa kirish huquqini qo'lga kiritgan bo'lsa, u ushbu tizimlarga ham kirish huquqini qo'lga kiritgan deb taxmin qilish mumkin.[2] Baholash hisoboti tufayli xavfsizlik ma'muri qanday qilib bosqinchilik sodir bo'lganligini aniqlay oladi, buzilgan aktivlarni aniqlaydi va tizimga jiddiy zarar etkazmaslik uchun tegishli xavfsizlik choralarini ko'radi.
Baholash turlari
Tizimga qarab, zaiflikni baholash turli xil va darajalarga ega bo'lishi mumkin.
Xostni baholash
Xostni baholash tizim uchun xavfli bo'lgan fayl ruxsatnomalari, dastur darajasidagi xatolar, orqa eshik va troyan otlari kabi zaifliklarni qidiradi. Buning uchun sinovdan o'tishi kerak bo'lgan har bir tizimga ma'muriy kirishdan tashqari, foydalaniladigan operatsion tizim va dasturiy ta'minot paketlari uchun maxsus vositalar kerak. Xostni baholash ko'pincha vaqt davomida juda qimmatga tushadi va shuning uchun faqat muhim tizimlarni baholashda foydalaniladi. Kabi vositalar COPS va Yo'lbars mezbonlarni baholashda mashhurdir.
Tarmoqni baholash
Tarmoqni baholashda ma'lum zaifliklar uchun tarmoqni baholash mumkin. U tarmoqdagi barcha tizimlarni joylashtiradi, qaysi tarmoq xizmatlaridan foydalanilayotganligini aniqlaydi va keyinchalik ushbu xizmatlarni potentsial zaifliklarini tahlil qiladi. Ushbu jarayon baholanadigan tizimlarda konfiguratsiyani o'zgartirishni talab qilmaydi. Xostni baholashdan farqli o'laroq, tarmoqni baholash ozgina hisoblash xarajatlari va kuch talab qiladi.
Noqulaylikni baholash va penetratsion sinov
Zaiflik darajasini baholash va penetratsion sinov ikki xil sinov usuli. Ular ma'lum o'ziga xos parametrlar asosida farqlanadi.
| Xavfsizlikni skanerlash | Penetratsiya testi | |
|---|---|---|
| Qancha tez-tez yugurish kerak | Doimiy ravishda, ayniqsa yangi uskunalar yuklangandan keyin | Yilda bir marta |
| Hisobotlar | So'nggi hisobotda qanday zaifliklar mavjudligi va o'zgarishi haqida batafsil ma'lumot | Qisqa va aniq, qaysi ma'lumotlar aslida buzilganligini aniqlaydi |
| Metrikalar | Ishlatilishi mumkin bo'lgan dasturiy ta'minotning ma'lum zaifliklarini ro'yxatlaydi | Oddiy biznes jarayonlariga noma'lum va ekspluatatsiya qilinadigan ta'sirlarni aniqlaydi |
| Tomonidan ijro etilgan | Uy xodimlarida odatdagi xavfsizlik profilidagi tajriba va bilimlarni oshiradi. | Mustaqil tashqi xizmat |
| Xarajatlar | Kamdan o'rtacha: taxminan $ 1200 / yil + xodimlar vaqti | Yuqori: har yili taxminan $ 10,000 tashqi maslahat |
| Qiymat | Uskunalar buzilganligini aniqlash uchun ishlatiladigan detektiv nazorat | Ta'sirni kamaytirish uchun ishlatiladigan profilaktik nazorat |
Adabiyotlar
- ^ "Turkum: Ojizlik - OWASP". www.owasp.org. Olingan 2016-12-07.
- ^ "Zaiflik darajasini baholash" (PDF). www.scitechconnect.elsevier.com. Olingan 2016-12-07.
- ^ "Penetratsion test va zaifliklarni skanerlash". www.tns.com. Olingan 2016-12-07.