Nüfuzetmə testi

Nüfuzetmə testi adətən pentest və ya etik haker kimi tanınan şəxslər tərəfindən, sistemin təhlükəsizliyini qiymətləndirmək üçün həyata keçirilən, kompüter sisteminə icazə verilmiş simulyasiya edilmiş kiberhücumdur;[1][2] bunu zəifliyin qiymətləndirilməsi ilə qarışdırmaq olmaz.[3] Test zəif tərəfləri (və ya zəiflikləri), o cümlədən icazəsiz tərəflərin sistemin xüsusiyyətlərinə və məlumatlarına giriş əldə etmək potensialını,[4][5] habelə güclü tərəfləri müəyyən etmək üçün həyata keçirilir ki,[6] bu da tam risk qiymətləndirməsinin tamamlanmasına imkan verir.

Proses adətən hədəf sistemləri və konkret məqsədi müəyyənləşdirir, sonra mövcud məlumatları nəzərdən keçirir və bu məqsədə çatmaq üçün müxtəlif vasitələrə əl atır. Nüfuz sınağı hədəfi ağ qutu (haqqında hansı fon və sistem məlumatı sınaqçıya əvvəlcədən təqdim olunur) və ya qara qutu (haqqında şirkət adından yalnız əsas məlumatlar verilir başqa heç nə verilmir) ola bilər. Boz qutunun nüfuz testi ikisinin birləşməsidir (hədəf haqqında məhdud bilik auditorla paylaşılır).[7] Nüfuz testi sistemin hücuma qarşı zəifliklərini müəyyən etməyə və onun nə qədər həssas olduğunu təxmin etməyə kömək edə bilər.[8][6]

Nüfuz testinin aşkar etdiyi təhlükəsizlik məsələləri sistem sahibinə bildirilməlidir.[9] Nüfuz testi hesabatları həmçinin təşkilata potensial təsirləri qiymətləndirə və riski azaltmaq üçün əks tədbirlər təklif edə bilər.[9]

Böyük Britaniyanın Milli Kibertəhlükəsizlik Mərkəzi nüfuz testini belə təsvir edir: "Düşmən kimi eyni alət və üsullardan istifadə edərək, həmin sistemin təhlükəsizliyinin bir hissəsini və ya hamısını pozmağa cəhd etməklə İT sisteminin təhlükəsizliyinə əminlik əldə etmək üsulu".[10]

Nüfuz testinin məqsədləri hər hansı tapşırıq üçün təsdiq edilmiş fəaliyyət növündən asılı olaraq dəyişir, əsas məqsəd hücumçu tərəfindən istifadə oluna bilən zəifliklərin tapılması və müştərini bu boşluqlar barədə məlumatlandırmaqdır.[11]

Həmçinin bax[redaktə | mənbəni redaktə et]

İstinadlar[redaktə | mənbəni redaktə et]

  1. "What Is Penetration Testing?". İstifadə tarixi: 2018-12-18.
  2. "Penetration Testing overview". İstifadə tarixi: 2019-01-25.
  3. "What's the difference between a vulnerability assessment and a penetration test?". İstifadə tarixi: 2020-05-21.
  4. The CISSP® and CAPCM Prep Guide: Platinum Edition. John Wiley & Sons. 2006-11-06. ISBN 978-0-470-00792-1. A penetration test can determine how a system reacts to an attack, whether or not a system's defenses can be breached, and what information can be acquired from the system
  5. Kevin M. Henry. Penetration Testing: Protecting Networks and Systems. IT Governance Ltd. 2012. ISBN 978-1-849-28371-7. Penetration testing is the simulation of an attack on a system, network, piece of equipment or other facility, with the objective of proving how vulnerable that system or "target" would be to a real attack.
  6. 1 2 Cris Thomas (Space Rogue), Dan Patterson. Password Cracking is easy with IBM's Space Rogue (Video). CBS Interactive. 2017. Event occurs at 4:30-5:30. İstifadə tarixi: 1 December 2017.
  7. "Pen Testing Types explained". 2017-06-09. İstifadə tarixi: 2018-10-23.
  8. "Penetration Testing: Assessing Your Overall Security Before Attackers Do". SANS Institute. İstifadə tarixi: 16 January 2014.
  9. 1 2 "Writing a Penetration Testing Report". SANS Institute. İstifadə tarixi: 12 January 2015.
  10. "Penetration Testing". NCSC. Aug 2017. İstifadə tarixi: 30 October 2018.
  11. Patrick Engebretson, The basics of hacking and penetration testing Arxivləşdirilib 2017-01-04 at the Wayback Machine, Elsevier, 2013

Xarici keçidlər[redaktə | mənbəni redaktə et]