ma'lum bir zaiflik uchun foydalanish, bu mavjud emas degani emas (yoki mavjud emas)

yaratish). Masalan, ko'plab tashkilotlar hech qachon qilinmaydigan tijoratlashtirilgan ekspluatatsiyani sotadilar

jamoat, shuning uchun barcha zaifliklarni potentsial foydalanishga yaroqli deb hisoblash kerak.

11.2.1. Zaiflik darajasini baholash

A zaifliklarni murosa uchun, ba'zi tarzda foydalanish mumkin bo'lgan zaiflik hisoblanadi

axborot tizimining maxfiyligi, yaxlitligi yoki mavjudligi. Zaif tomonlarni baholashda,

sizning maqsadingiz - maqsadga muvofiq atrofda aniqlangan zaifliklarning oddiy inventarizatsiyasini yaratishdir.

mijozingizning maqsadli tarmog'i va talab qilinadigan maqsadlari doirasida. Tashqaridan sudralib yurish

baholash doirasi xizmatning to'xtatilishiga, mijozingizga bo'lgan ishonchning buzilishiga yoki

sizga va ish beruvchingizga qarshi qonuniy choralar.

Nisbatan soddaligi tufayli zaiflik testi ko'pincha etuk muhitda yakunlanadi

muntazam ravishda o'zlarining ehtiyotkorliklarini namoyish etishning bir qismi sifatida. Ko'pgina hollarda, avtomatlashtirilgan vosita,

kabi zaifliklar tahlilidagi kabi7 va veb-ilovalar Kali asboblarining 8 toifasi

sayt va Kali ish stoli dasturlari menyusi, maqsadli muhitda jonli tizimlarni topish uchun ishlatiladi,

tinglash xizmatlarini aniqlash va iloji boricha ko'proq ma'lumotni topish uchun ularni ro'yxatga olish

server dasturi sifatida, versiyasi, platformasi va boshqalar.

Ushbu ma'lumot potentsial muammolar va zo'ravonliklarning imzolari to'g'risida tekshirildi. Bular

imzolar ma'lum masalalarni namoyish etishga mo'ljallangan ma'lumotlar nuqtalari kombinatsiyalaridan iborat.

Bir nechta ma'lumotlar punktlaridan foydalaniladi, chunki siz qancha ko'p ma'lumotlardan foydalansangiz, shuncha aniq bo'ladi.

tifikatsiya. Juda ko'p sonli potentsial ma'lumotlar punktlari mavjud, shu jumladan:

• Operatsion tizim versiyasi: Bitta dastur uchun dasturiy ta'minot himoyasiz bo'lishi odatiy holdir.

tizim versiyasini yo'q qilish, ammo boshqasida emas. Shu sababli, brauzer bunga harakat qiladi

qaysi operatsion tizim versiyasi maqsadga yo'naltirilganligini iloji boricha aniqroq aniqlang

dastur.

versiya ma'lumotlarini ajrating, ammo shunga qaramay zaiflik javob berish usulini o'zgartiring yoki

hatto zaiflikni butunlay yo'q qilish.

• Protsessor arxitekturasi: Ko'p dasturiy ta'minot dasturlari bir nechta protsessor uchun mavjud

Intel x86, Intel x64 kabi arxitekturalar, ARM, UltraSPARC ning bir nechta versiyalari va boshqalar.

5

https://en.wikipedia.org/wiki/Executable_space_protection#Windows

6

https://en.wikipedia.org/wiki/Address_space_layout_randomizatsiya

7

http://tools.kali.org/category/vulnerability-analysis

8

http://tools.kali.org/category/web-applications

284

ma'lumot to'g'ri imzo uchun juda muhim bo'lishi mumkin.

• Dasturiy ta'minot versiyasi: maqsadli dasturiy ta'minotning versiyasi - bu zarur bo'lgan asosiy narsalardan biri

zaiflikni aniqlash uchun qo'lga olinishi kerak.

Ushbu va boshqa ko'plab ma'lumotlar nuqtalari, zaiflikning bir qismi sifatida imzo qo'yish uchun ishlatiladi

skanerlash. Uchrashuvni belgilab qo'yilgan, aniq belgilab qo'yilgan imzo bo'lishi mumkin. Qachon

imzo o'yinlari bilan ishlashda siz bir nechta potentsial natijalarga ega bo'lishingiz mumkin:

• Haqiqiy ijobiy: Imzo mos keladi va u haqiqiy zaiflikni aks ettiradi. Ushbu natijalar

ta'qib qilishingiz va to'g'rilashingiz kerak bo'lgan narsalar, chunki bu zararli narsalar

jismoniy shaxslar sizning tashkilotingizga (yoki sizning mijozingizga) zarar etkazishi mumkin.

• Noto'g'ri ijobiy: Imzo mos keladi; ammo aniqlangan muammo haqiqiy zaif emas

bility. Baholashda, ular ko'pincha shovqin deb hisoblanadilar va umidsizlikka olib kelishi mumkin. Siz

hech qachon haqiqiy ijobiyni yolg'on ijobiy deb bekor qilishni istamang.

• Haqiqiy salbiy: imzo mos kelmagan va zaiflik mavjud emas. Bu ideal

maqsad bo'yicha zaiflik mavjud emasligini tasdiqlovchi stsenariy.

• Soxta Salbiy: Imzo mos kelmagan, ammo mavjud zaiflik mavjud. Yomon

soxta ijobiy bo'lsa, noto'g'ri salbiy juda yomon. Bunday holda, muammo mavjud, ammo

brauzer buni aniqlay olmadi, shuning uchun sizda uning mavjudligi to'g'risida hech qanday ma'lumot yo'q.

Siz tasavvur qilganingizdek, aniq natijalar uchun imzolarning aniqligi juda muhimdir.

Qanchalik ko'p ma'lumotlar taqdim etilsa, aniq natijalarga erishish imkoniyati shunchalik katta

imzoga asoslangan avtomatlashtirilgan skanerlash, shuning uchun autentifikatsiya qilingan skanerlar ko'pincha juda mashhur.

Tasdiqlangan skanerlashda skanerlash dasturi tasdiqlash uchun taqdim etilgan hisobga olish ma'lumotlaridan foydalanadi

maqsadga. Bu maqsadga imkon qadar chuqurroq ko'rinishni ta'minlaydi.

ble. Masalan, oddiy skanerlashda siz faqat tizim haqida ma'lumotni topishingiz mumkin

tinglash xizmatlaridan va ular taqdim etadigan funktsional imkoniyatlardan kelib chiqadi. Bu biroz ma'lumot bo'lishi mumkin

Matsiyalar bir necha marta, lekin sizni qabul qiladigan ma'lumotlar bilan bir qatorda raqobatlasha olmaydi.

tizimda autentifikatsiya qilish va o'rnatilgan barcha dasturlarni, qo'llaniladigan yamoqlarni har tomonlama ko'rib chiqish;

ishlaydigan jarayonlar va boshqalar. Ushbu ma'lumotlarning kengligi zaifliklarni aniqlash uchun foydalidir

noto'g'ri topilgan bo'lishi mumkin.

Yaxshi olib borilgan zaifliklarni baholash potentsial muammolarni sinanorganizmlarning rasmini namoyish etadi

zation va vaqt o'tishi bilan o'zgarishni o'lchash uchun ko'rsatkichlarni beradi. Bu juda engil baho,

ammo shunga qaramay, ko'plab tashkilotlar muntazam ravishda zaifliklarni avtomatlashtirilgan skanerlashdan o'tkazadilar.

xizmatning mavjudligi va tarmoqli kengligi mavjud bo'lgan kun davomida yuzaga kelishi mumkin bo'lgan muammolarni oldini olish uchun soat

eng muhim.

Ilgari aytib o'tganimizdek, zaifliklarni skanerlashda turli xil ma'lumotlar nuqtalarini tekshirish kerak bo'ladi

aniq natijaga erishish uchun buyurtma. Ushbu turli xil tekshiruvlarning barchasi maqsad tizimiga yuk yaratishi mumkin

shuningdek, tarmoqli kengligi iste'mol qiladi. Afsuski, qancha manbani aniq bilish qiyin

maqsad bo'yicha iste'mol qilinadi, chunki bu ochiq xizmatlar soniga va turlariga bog'liq

285

11-bob - Xavfsizlikni baholashga kirish

tizim resurslarini egallash. Iste'mol qilinadigan resurslar va qanday ishlatilishi haqida umumiy tasavvurga ega bo'lish

maqsadli tizimni qabul qilishi mumkin bo'lgan katta yuk ushbu vositalarni ishlatishda muhim ahamiyatga ega.

Iplarni skanerlash Aksariyat zaiflik skanerlari har bir skanerlash uchun mos keladigan iplarni o'rnatish imkoniyatini o'z ichiga oladi

bir vaqtning o'zida amalga oshiriladigan bir vaqtda o'tkazilgan tekshiruvlar soniga. Bu raqam ko'paymoqda

to'g'ridan-to'g'ri baholash platformasidagi yukga va tarmoqqa bevosita ta'sir qiladi

siz aloqada bo'lgan ishlar va maqsadlar. Buni siz kabi yodda tutish muhimdir

ushbu brauzerlardan foydalaning. Skanerlashni yakunlash uchun iplarni ko'paytirish qiziq

tezroq, lekin buni amalga oshirish bilan bog'liq yukning sezilarli darajada oshishini eslang.

Xavfsizlikni skanerlash tugagandan so'ng, aniqlangan muammolar odatda sanoat bilan bog'lanadi

CVE raqami kabi standart identifikatorlar9 , EDB-ID 10 va sotuvchiga maslahat. Ushbu ma'lumot,

zaifliklar bilan bir qatorda CVSS ballari 11 , xavf reytingini aniqlash uchun ishlatiladi. Soxta bilan birga

salbiy (va noto'g'ri ijobiy), bu o'zboshimchalik bilan xatarlar reytingi bo'lishi kerak bo'lgan keng tarqalgan muammolar

skanerlash natijalarini tahlil qilishda ko'rib chiqiladi.

Avtomatlashtirilgan vositalar zaif tomonlarni aniqlash uchun imzolar ma'lumotlar bazasidan foydalanganligi sababli, har qanday ozgina og'ish

ma'lum imzodan natijani o'zgartirishi va shu kabi sezilgan zaiflikning haqiqiyligini o'zgartirishi mumkin.

ity. Noto'g'ri ijobiy mavjud bo'lmagan zaiflikni noto'g'ri belgilaydi, noto'g'ri esa salbiy

zaiflikni samarali ravishda ko'r qiladi va bu haqda xabar bermaydi. Shu sababli, skaner tez-tez aytiladi

faqat uning imzo qoidalari bazasi kabi yaxshi bo'lishi uchun. Shu sababli, ko'plab sotuvchilar bir nechta signallarni etkazib berishadi

tabiat to'plamlari: ulardan biri uy foydalanuvchilari uchun bepul bo'lishi mumkin, ikkinchisi esa juda qimmat to'plam

odatda korporativ mijozlarga sotiladigan keng qamrovli.

Xavfsizlikni skanerlashda tez-tez uchraydigan boshqa masala - tavsiya etilganlarning haqiqiyligi

xavf darajasi. Ushbu xavf ko'rsatkichlari turli xil omillarni hisobga olgan holda umumiy asosda aniqlanadi

imtiyoz darajasi, dasturiy ta'minot turi va autentifikatsiyadan oldin yoki keyin. O'zingizga bog'liq

atrof-muhit, ushbu reytinglar qo'llanilishi mumkin yoki qo'llanilmasligi mumkin, shuning uchun ular ko'r-ko'rona qabul qilinmasligi kerak.

Tizimlarni yaxshi biladiganlar va zaif tomonlargina xavf-xatar darajasini to'g'ri tasdiqlashlari mumkin.

Xatarlarni baholash bo'yicha universal belgilangan kelishuv mavjud bo'lmasa ham, NIST Special 800-30 12 nashri

sizning atrofingizdagi xavf-xatar darajalari va ularning aniqligini baholash uchun asos sifatida tavsiya etiladi.

ment. NIST SP 800-30 topilgan zaiflikning haqiqiy xavfini kombinatsiyasi sifatida belgilaydi

yuzaga kelish ehtimoli va yuzaga kelishi mumkin bo'lgan ta'sir .

9

https://cve.mitre.org

10

https://www.exploit-db.com/about/

11

https://www.first.org/cvss

12

http://csrc.nist.gov/publications/PubsSPs.html#800-30

286

Milliy Standartlar va Texnologiyalar Instituti (NIST) ma'lumotlariga ko'ra yuzaga kelish ehtimoli

rentsiya, ma'lum bir tahdidning ma'lum bir vulqondan foydalanishga qodir bo'lish ehtimoliga asoslanadi.

nerabillik, past, o'rtacha yoki yuqori darajadagi reytinglari bilan.

• Yuqori: potentsial raqib yuqori malakaga ega va g'ayratli va choralari bor

zaiflikdan himoya qilish uchun etarli emas.

• O'rta: potentsial raqib g'ayratli va malakali, ammo belgilangan choralar ko'riladi

zaiflikdan himoya qilish ularning muvaffaqiyatiga to'sqinlik qilishi mumkin.

• Kam: potentsial raqib malakasiz yoki motivatsiyaga ega emas va bu borada choralar mavjud

qisman yoki to'liq samarali bo'lgan zaiflikdan himoya qilish uchun joy.

Ta'sir darajasi, agar zararli ta'sir ko'rsatadigan zarar miqdorini baholash orqali aniqlanadi.

ko'rib chiqilayotgan nerabillikdan foydalanilgan yoki boshqa usullardan foydalanilgan.

• Yuqori: zaiflikdan foydalanish juda katta moliyaviy yo'qotishlarga olib kelishi mumkin,

tashkilot missiyasiga yoki obro'siga jiddiy zarar etkazish yoki hatto jiddiy shikast etkazish,

hayotni yo'qotish bilan bog'liq.

• O'rta: zaiflikdan foydalanish moliyaviy zararlarga, zarar etkazilishiga olib kelishi mumkin

tashkilotning missiyasi yoki obro'si yoki inson jarohati.

• Kam: zaiflikdan foydalanish ma'lum darajada moliyaviy yo'qotishlarga olib kelishi mumkin

tashkilotning missiyasi va obro'siga ta'sir qilish.

Vujudga kelish va ta'sir qilish ehtimoli aniqlangandan so'ng, siz buni aniqlashingiz mumkin

ikkala reytingning funktsiyasi sifatida tavsiflangan umumiy xavf reytingi. Umumiy xavfni baholash mumkin

Ta'minot va texnik xizmat ko'rsatishda mas'ul bo'lgan ko'rsatmalarni ta'minlaydigan past, o'rta yoki yuqori.

ko'rib chiqilayotgan tizimlar.

• Yuqori: himoya qilish uchun qo'shimcha chora-tadbirlarni amalga oshirish uchun qat'iy talab mavjud

zaiflikka qarshi. Ba'zi hollarda tizimga ishlashni davom ettirishga ruxsat berilishi mumkin

ammo reja iloji boricha tezroq tuzilishi va amalga oshirilishi kerak.

• O'rta: himoya qilish uchun qo'shimcha choralar ko'rish talab qilinadi

zaiflikka qarshi. Kerakli choralarni amalga oshirish rejasi a

o'z vaqtida.

287

zaiflikdan himoya qilish uchun yoki ular o'rniga tavakkalchilikni tanlab, tark etishlari mumkin

tizim o'zgarishsiz.

Qisqa bayoni; yakunida

Kashf etilgan zaiflikning haqiqiy xavfini keltirib chiqaradigan juda ko'p omillar bilan oldindan aniqlangan xavf

asboblar ishlab chiqarishidagi reytinglar faqat uchun haqiqiy xavfni aniqlash uchun boshlang'ich nuqtasi sifatida ishlatilishi kerak

umumiy tashkilot.

Zaiflik darajasini baholash bo'yicha malakali ravishda tayyorlangan hisobotlar, mutaxassis tomonidan tahlil qilinganida,

muvofiqlik penetratsion sinovlari kabi boshqa baholash uchun dastlabki poydevor bo'lishi mumkin. Sifatida

Shunday qilib, ushbu dastlabki baholashdan kelib chiqishi mumkin bo'lgan natijalar muhim ahamiyatga ega.

Kali zaifliklarni baholash uchun juda yaxshi platforma yaratadi va bunga hojat yo'q

har qanday maxsus konfiguratsiya. Kali Applications menyusida siz ko'p sonli vositalarni topasiz.

Axborot yig'ish, zaifliklarni tahlil qilish va veb-ilovada nerabillikni baholash

Tahlil toifalari. Bir nechta saytlar, jumladan yuqorida aytib o'tilgan Kali Linux vositalari ro'yxati13 , The

Kali Linux rasmiy hujjatlari 14 sayti va bepul Metasploit ishga tushirildi15 ta dars

zaiflikni baholash paytida Kali Linux-dan foydalanish uchun asosiy manbalar.

11.2.2. Muvofiqlikni sinab ko'rish

Murakkablik tartibida baholashning navbatdagi turi - bu muvofiqlikka asoslangan penetratsion test. Bular

eng keng tarqalgan penetratsion sinovlar, chunki ular hukumat va sanoat tomonidan talab qilingan

butun tashkilot faoliyat yuritadigan muvofiqlik doirasiga asoslangan shartnomalar.

Ko'pgina sohalarga mos kelish tizimlari mavjud bo'lsa-da, eng keng tarqalgani ehtimol

bo'lishi to'lov kartasi sanoati Data Xavfsizlik standarti16 (PCI DSS), to'lov asosida belgilanadigan ramka

kartalar asosida to'lovlarni amalga oshiruvchi chakana sotuvchilar bajarishi kerak bo'lgan karta kompaniyalari. Biroq, a

numberofotherstandardsexistsuchasthe DefenseInformationSystemsAgencySecurityTechni-

(FedRAMP), Federal Axborot xavfsizligini boshqarish to'g'risidagi qonun19 (FISMA) va boshqalar. Ba'zi hollarda,

korporativ mijoz baholashni talab qilishi yoki so'nggi baholash natijalarini ko'rishni so'rashi mumkin -

har xil sabablar. Birgalikda ajratilgan holda, baholash tezislari

13

http://tools.kali.org/tools-listing

14

http://docs.kali.org

15

https://www.offensive-security.com/metasploit-unleashed/

16

https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf

17

http://iase.disa.mil/stigs/Pages/index.aspx

18

https://www.fedramp.gov/about-us/about/

19

http://csrc.nist.gov/groups/SMA/fisma/

288

cheklar ”.

Muvofiqlik testi ko'pincha zaiflikni baholash bilan boshlanadi. PCI muvofiqligi holatida

auditorlik 20 , zaiflikni baholash, to'g'ri bajarilganda, bazaning bir nechtasini qondirishi mumkin

talablar, shu jumladan: “2. Tizim parollari va uchun sotuvchi tomonidan taqdim etilgan birlamchi parametrlardan foydalanmang

boshqa xavfsizlik parametrlari »(masalan, Password Attacks menyusidagi toifadagi vositalar bilan),

"11. Xavfsizlik tizimlari va jarayonlarini muntazam ravishda sinab ko'ring ”(Ma'lumotlar bazasini baholash katalogi vositalari bilan

egory) va boshqalar. Ba'zi talablar, masalan “9. Karta egasi ma'lumotlariga jismoniy kirishni cheklash ».

va "12. Barcha xodimlar uchun axborot xavfsizligini ta'minlashga qaratilgan siyosatni olib boring »kabi ko'rinmaydi

o'zlarini an'anaviy vositalarga asoslangan zaifliklarni baholashga qaratish va qo'shimcha ijodiy ehtiyojlarni talab qilish

ity va test.

Ba'zi elementlar uchun Kali Linux-dan foydalanish to'g'ri ko'rinmasligi mumkinligiga qaramay

muvofiqlik testi, haqiqatan ham Kali bu muhitga juda mos keladi, chunki u nafaqat

xavfsizlik bilan bog'liq vositalarning keng doirasi, ammo ochiq manbali Debian muhiti tufayli

keng ko'lamli vositalarni o'rnatishga imkon beruvchi qurilgan. Paket menejerini qidirish

qaysi moslik doirasidan deyarli foydalanayotganligingizdan ehtiyotkorlik bilan tanlangan kalit so'zlar bilan

bir nechta natijalarni oshirish uchun aniq. Ma'lumki, ko'plab tashkilotlar standart sifatida Kali Linuxdan foydalanadilar

ushbu aniq baholash uchun platforma.

11.2.3. An'anaviy Penetratsiya testi

An'anaviy penetratsion testni aniqlash qiyin narsaga aylandi, chunki ko'pchilik turli xillardan ishlaydi.

faoliyat doirasiga qarab aniq ta'riflar. Ushbu bozor chalkashliklarining bir qismi qo'zg'aladi

"Penetratsiya testi" atamasi avvalgilar uchun keng qo'llanilganligi bilan

nomuvofiqlik asosida penetratsion sinov (yoki hatto zaiflikni baholash), bu erda

imzo qo'ying, siz minimal darajadan yuqori bo'lish kerak bo'lgan qiymatni baholashda echim topasiz.

talablar.

Ushbu bo'limning maqsadi uchun biz ushbu munozarali munozarani olib boramiz va ushbu toifadan foydalanamiz:

minimal talablardan oshadigan sessiyalar; aslida ishlab chiqilgan baholashlar

tashkilotning umumiy xavfsizligini yaxshilash.

Ilgari muhokama qilingan baholash turlaridan farqli o'laroq, penetratsion testlar ko'pincha boshlanmaydi

qamrov doirasi ta'rifi, ammo buning o'rniga "ichki foydalanuvchi bo'lsa nima bo'lishini simulyatsiya qilish

murosaga kelganda »yoki« agar tashkilot diqqat bilan hujumga duchor bo'lsa, nima bo'lishini aniqlang

tashqi zararli partiya ”. Ushbu turdagi baholarning asosiy farqlovchi xususiyati shundaki, ular baholanmaydi

shunchaki zaif tomonlarni toping va tasdiqlang, aksincha eng yomoni aniqlash uchun aniqlangan muammolardan foydalaning

ish stsenariysi. Faqat kuchli zaifliklarni skanerlash vositalariga tayanish o'rniga, ularga rioya qilishingiz kerak

ekspluatatsiya yoki soxta ijobiy tomonlarni yo'q qilish uchun testlardan foydalanish orqali topilgan natijalarni tasdiqlash bilan

va yashirin zaifliklarni yoki noto'g'ri negativlarni aniqlash uchun qo'lingizdan kelganicha harakat qiling. Bu ko'pincha ekspluatatsiya qilishni o'z ichiga oladi

20

https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_2.pdf

289

11-bob - Xavfsizlikni baholashga kirish