Talaan ng mga Nilalaman:
Video: Фильм 14+ «История первой любви» Смотреть в HD (Nobyembre 2024)
Karamihan sa mga propesyonal sa IT ay maaaring dumaan sa anumang naibigay na araw sa pag-aakala na ang kanilang mga network ay protektado laban sa mga hacker. Kung kabilang ka sa mga iyon, malamang nasisiyahan ka na ang lahat ng mga pangunahing kaalaman ay nasa lugar upang ang ilang mga random na sociopath ay hindi maaaring mag-log in sa iyong network, i-pillage ang iyong kritikal na impormasyon, maaaring magtanim ng ilang mga malware, at pagkatapos ay umalis. Ang tanong ay: Sigurado ka?
Sa madaling salita, kailangan mong ma-hack ang iyong sarili upang malaman mo kung nasaan ang iyong mga kahinaan, at pagkatapos ay kailangan mong ayusin kung ano ang natagpuan ng mga (mga puting sumbrero na puti). Ang mga puting sumbrero ng sumbrero ay ang mga pinapiling mo kung nais mong subukan ang kalidad ng proteksyon ng iyong network nang hindi kinasasangkutan ng mga aktwal na masamang tao o mga itim na sumbrero na sumbrero. Ang ginagawa ng mga puting sumbrero sa hat ay ang pagsisiyasat ng mga panlaban ng iyong network sa anumang paraan na maaari nila, i-rate at irekord ang iyong seguridad sa kahabaan. Iyon ay tinatawag na pagtagos sa pagsubok o "pen testing, " at kung ano ang hindi napagtanto ng maraming mga pros pros na hindi mo kailangang kumita kaagad ng isang mamahaling pro upang gawin ito. Maaari mong simulan ang mga pangunahing kaalaman ng isang pagsubok sa pagtagos sa iyong sarili.
Mga Pinakamataas na Gawain ng Priority para sa IT at Security Propesyonal sa 2018
(Credit ng larawan: Statista)
"Ang pinakamahalagang bagay ay talagang pagtatasa ng kahinaan, pagtatasa ng panganib, " sabi ni Georgia Weidman, may-akda ng Penetration Testing: Isang Panimula-sa Panimula sa Pag-hack . Si Weidman ay din ang nagtatag at Chief Technology Officer (CTO) ng Shevirah, isang kompanya ng seguridad na dalubhasa sa pagsubok sa pagtagos. "Ang mga nasisiyahan. Ang mga kumpanya ay nag-aaksaya ng maraming pera sa mga pagsubok sa pagtagos, kapag mayroon silang pangunahing kahinaan." Sinabi niya na ang unang bagay na dapat gawin ng isang organisasyon ay isagawa ang pangunahing pagsubok sa kahinaan, at pagkatapos ay ayusin ang mga kahinaan bago lumipat sa pagsubok sa pagtagos. "Ang pagsubok sa penetration ay hindi dapat ang iyong unang hakbang, " aniya.
Iminungkahi din ni Weidman na tiyakin na ang iyong kumpanya ay gumawa ng mga unang hakbang sa kamalayan sa seguridad, kabilang ang pagsasanay sa phishing at social engineering. Sinabi niya na ang pinaka-ligtas na network ay maaari pa ring ma-penetrate kung ang isang tao ay nagbibigay ng layo sa mga kredensyal para sa pagkakaroon ng pag-access. Ito ang lahat ng mga bagay na susuriin ng isang mahusay na pagsubok sa pagtagos bago simulan ang anumang aktwal na pagsubok.
"Kung interesado sila sa kung gaano kahusay ang kanilang mga empleyado ay sinanay para sa kamalayan sa seguridad, pagkatapos ay i-set up ang iyong sariling pagsubok sa phishing, " sinabi ni Weidman. "Hindi mo kailangang magbayad ng isang tao upang gawin iyon, at ito ay isa sa mga pinakamalaking paraan ng pagpasok ng mga tao." Sinabi niya na gumamit din ng phishing sa pamamagitan ng text messaging at social media.
Subukan ang Iyong Mga Password
Sinabi ni Weidman na ang susunod na hakbang ay upang masubukan ang mga password ng iyong samahan at mga kakayahan sa pamamahala ng pagkakakilanlan. "I-download ang Mga Aktibong hashtag ng Direktor ng mga password at subukan ang mga ito sa mga tester ng password. Iyon ang isang bagay na ginagawa namin sa pagsubok ng pagtagos, " sabi niya.
Ayon kay Weidman, ang mga mahahalagang tool para sa pagsubok ng password ay kasama sina Hashcat at John the Ripper password cracker, na sinabi niya ay karaniwang ginagamit sa pagsubok sa pagtagos. Sinabi niya na, bilang karagdagan sa pag-check ng mga password mula sa Microsoft Azure Active Directory, maaari rin silang mai-sniff sa network sa pamamagitan ng paggamit ng isang protocol analyzer ng network tulad ng Wireshark. Ang layunin dito ay upang matiyak na ang iyong mga gumagamit ay hindi gumagamit ng madaling nahulaan na mga password, tulad ng "password, " para sa kanilang mga kredensyal.
Habang sinusuri mo ang iyong trapiko sa network, dapat kang maghanap ng Link-Local Multicast Name Resolution (LLMNR) at tiyakin na hindi ito pinagana kung posible. Sinabi ni Weidman na maaari mong makuha ang mga hashes ng password sa pamamagitan ng paggamit ng LLMNR. "Nakikinig ako sa network at nakakakuha ng mga hashes, at pagkatapos ay i-crack ang mga ito, " aniya.
Patunayan ang Iyong Mga Machines
Sinabi ni Weidman na sa sandaling na-crack niya ang mga password, ginamit niya ang mga ito upang mapatunayan sa mga makina sa network. "Maaaring mayroong isang lokal na tagapangasiwa dahil lahat sila ay pareho na tinulad, " aniya. "Sana mayroong isang domain administrator."
Kapag nakuha ni Weidman ang mga kredensyal ng administrator, maaari niyang gamitin ang mga upang makapasok sa mga lihim na lugar sa makina. Sinabi niya na kung minsan mayroong pangalawang pagpapatunay kaya kailangan din niyang i-crack ang mga password na iyon.
Sinabi ni Weidman na, kung gumawa ka ng iyong sariling pagsubok sa pagtagos, dapat kang mag-ingat. "Kapag nagsusubok ako ng pagsubok, hindi ko napigilang masira, " aniya, at idinagdag, "Walang 100 porsiyento na katiyakan na walang magiging mali."
Iwasan ang Pag-download ng Malware
Sinabi ni Weidman na ang isang napaka-kapaki-pakinabang na tool sa pagsubok sa pagtagos ay ang Metasploit free edition, ngunit nag-iingat siya laban sa pag-download ng isang pagsasamantala mula sa internet dahil maaari rin itong maglaman ng malware. "Huwag pag-atake ang iyong sarili sa hindi sinasadya, " binalaan niya. Sinabi niya na ang mga pagsasamantala na ibinigay para sa pagsubok ay madalas na naglalaman ng malware na atake sa iyo.
- Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019 Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019
- Ang Pinakamahusay na Pag-alis ng Malware at Proteksyon ng Software para sa 2019 Ang Pinakamahusay na Pag-alis ng Malware at Proteksyon ng Software para sa 2019
- Ang Pinakamahusay na Proteksyon ng Ransomware para sa Negosyo para sa 2019 Ang Pinakamahusay na Proteksyon ng Ransomware para sa Negosyo para sa 2019
Hindi sinasadya, nagbibigay din ang Microsoft ng isang tool sa pagtatasa ng kahinaan para sa Windows na tinawag na Microsoft Security Compliance Toolkit v1.0, na sumusuporta sa Microsoft Windows 10, Windows Server 2012R2, at Office 2016.
Ang pag-iingat ni Weidman laban sa pag-iisip na ang pagtagos ay ilang uri ng malalim na madilim na mahika. Sinabi niya na sa halip mahalaga na sakupin muna ang mga pangunahing kaalaman. "Lahat ay tumalon sa pagsubok sa pagtagos dahil mayroon itong isang sexy na pangalan, " aniya. "Ngunit mayroong maraming halaga sa paghahanap ng mababang nakabitin na prutas at pag-aayos muna."
