एक नई सुरक्षा प्रणाली स्थापित करते समय, आपको यह सुनिश्चित करने की आवश्यकता है कि यह यथासंभव कम कमजोरियों के साथ ठीक से काम करता है। जहां हजारों डॉलर की डिजिटल संपत्ति शामिल है, आप अपनी गलतियों से सीखने का जोखिम नहीं उठा सकते हैं और केवल अपनी सुरक्षा में अंतराल भर सकते हैं जो कि पहले शोषण किया था।
अपने नेटवर्क की सुरक्षा में सुधार और गारंटी देने का सबसे अच्छा तरीका यह है कि इसे लगातार परीक्षण करके, ठीक करने के लिए खामियों की तलाश करें।
प्रवेश परीक्षण क्या है?
तो पेन टेस्ट क्या है?
पेनिट्रेशन परीक्षण, जिसे पेन परीक्षण के रूप में भी जाना जाता है, एक मंचित साइबर अटैक है जो वास्तविक सुरक्षा घटना की नकल करता है। नकली हमला आपके सुरक्षा तंत्र के एक या कई हिस्सों को निशाना बना सकता है, कमजोर बिंदुओं की तलाश में एक दुर्भावनापूर्ण हैकर शोषण कर सकता है।
एक वास्तविक साइबर हमले के अलावा इसे जो सेट करता है वह यह है कि ऐसा करने वाला व्यक्ति एक सफेद-टोपी या नैतिक-हैकर है जिसे आप किराए पर लेते हैं। उनके पास अपने ब्लैक-हैट समकक्षों के दुर्भावनापूर्ण इरादे के बिना आपके बचाव में घुसने का कौशल है।
पेंट्स के प्रकार
नैतिक हैकर द्वारा किए गए हमले के प्रकार, पहले से प्राप्त जानकारी और उनके कर्मचारी द्वारा निर्धारित सीमा के आधार पर पेंटेस्ट के विभिन्न उदाहरण हैं।
एक पंचक एक हो सकता है, या प्राथमिक पंच प्रकार के संयोजन, जिसमें शामिल हैं:
इनसाइडर पेंटेस्ट
एक अंदरूनी सूत्र या आंतरिक पंचक एक अंदरूनी साइबर हमले का अनुकरण करता है, जहां एक दुर्भावनापूर्ण हैकर एक वैध कर्मचारी के रूप में काम करता है और कंपनी के आंतरिक नेटवर्क तक पहुंच प्राप्त करता है।
यह फ़ायरवॉल, एंटीवायरस और एंडपॉइंट सुरक्षा जैसे बाहरी लोगों के बजाय आंतरिक सुरक्षा और नेटवर्क निगरानी जैसे आंतरिक सुरक्षा खामियों को खोजने पर निर्भर करता है।
आउटसाइडर पेंटेस्ट
जैसा कि नाम से पता चलता है, इस प्रकार का सबसे बड़ा हैकर कंपनी के आंतरिक नेटवर्क या कर्मचारियों के लिए कोई पहुँच नहीं देता है। यह उन्हें कंपनी की बाहरी तकनीक जैसे सार्वजनिक वेबसाइटों और खुले संचार बंदरगाहों के माध्यम से हैकिंग का विकल्प देता है।
आउटसाइडर पेंटेस्ट सोशल इंजीनियरिंग पेंट्स के साथ ओवरलैप कर सकते हैं, जहां हैकर ट्रिक्स और किसी कर्मचारी को कंपनी के आंतरिक नेटवर्क तक पहुंच प्रदान करने में, उसके बाहरी अतीत में हेरफेर करता है सुरक्षा।
डेटा-प्रेरित पेंटेस्ट
डेटा-चालित पंचक के साथ, हैकर को उनके लक्ष्य के बारे में सुरक्षा जानकारी और डेटा प्रदान किया जाता है। यह एक पूर्व कर्मचारी या किसी ऐसे व्यक्ति के हमले का अनुकरण करता है जिसने लीक किया गया सुरक्षा डेटा प्राप्त किया है।
ब्लाइंड पेंटेस्ट
डेटा-संचालित परीक्षण के विपरीत, एक नेत्रहीन परीक्षण का मतलब हैकर को उनके नाम के अलावा उनके लक्ष्य के बारे में कोई जानकारी नहीं है और सार्वजनिक रूप से क्या उपलब्ध है।
डबल-ब्लाइंड पेंटेस्ट
कंपनी के डिजिटल सुरक्षा उपायों (हार्डवेयर और सॉफ्टवेयर) के परीक्षण के अलावा, इस परीक्षण में इसके सुरक्षा और आईटी कर्मचारी भी शामिल हैं। इस मंचन के हमले में, कंपनी में किसी को भी इस बारे में जानकारी नहीं थी कि वह किसी दुर्भावनापूर्ण साइबर हमले का सामना करने के लिए प्रतिक्रिया करने के लिए मजबूर हो जाए।
यह कंपनी की समग्र सुरक्षा और कर्मचारियों की तत्परता और दोनों के परस्पर क्रिया पर मूल्यवान डेटा प्रदान करता है।
पेनिट्रेशन टेस्टिंग कैसे काम करती है
दुर्भावनापूर्ण हमलों के समान, एथिकल हैकिंग को सावधानीपूर्वक योजना बनाने की आवश्यकता है। कई चरणों में एथिकल हैकर को एक सफल पेंटेस्ट सुनिश्चित करने के लिए पालन करने की आवश्यकता होती है जो मूल्यवान अंतर्दृष्टि देता है। यहाँ पेन्स्टेस्ट पद्धति में एक अंतर्दृष्टि है।
1. सूचना और योजना को इकट्ठा करना
चाहे वह अंधा हो या डेटा से चलने वाला पंचर, हैकर को सबसे पहले एक स्थान पर अपने लक्ष्य के बारे में जानकारी इकट्ठा करने और इसके चारों ओर हमले की योजना बनाने की आवश्यकता है।
2. भेद्यता का मूल्यांकन
दूसरा कदम है, हमले के अपने राजस्व को स्कैन करना, शोषण के लिए अंतराल और कमजोरियों की तलाश करना। हैकर पहुंच बिंदुओं की तलाश करता है, फिर सुरक्षा प्रणाली कैसे प्रतिक्रिया करती है यह देखने के लिए कई छोटे पैमाने पर परीक्षण चलाता है।
3. भेद्यता को उजागर करना
सही प्रवेश बिंदु खोजने के बाद, हैकर अपनी सुरक्षा को भेदने और नेटवर्क तक पहुंचने का प्रयास करेगा।
यह वास्तविक ing हैकिंग ’कदम है जिसमें वे सुरक्षा प्रोटोकॉल, फायरवॉल और निगरानी प्रणालियों को बायपास करने के लिए हर संभव तरीके का उपयोग करते हैं। वे SQL इंजेक्शन जैसे तरीकों का उपयोग कर सकते हैं, सामाजिक इंजीनियरिंग हमले, या क्रॉस-साइट स्क्रिप्टिंग।
जानें कि सामाजिक इंजीनियरिंग आपको कैसे प्रभावित कर सकती है, साथ ही इन योजनाओं से आपको पहचानने और सुरक्षित रहने में मदद करने के लिए सामान्य उदाहरण।
4. गुप्त प्रवेश को बनाए रखना
अधिकांश आधुनिक साइबर सुरक्षा डिफेंस सिस्टम, सुरक्षा का अधिक से अधिक पता लगाने पर भरोसा करते हैं। हमले के सफल होने के लिए, हैकर को लंबे समय तक नेटवर्क के अंदर रहना होगा अपने लक्ष्य को प्राप्त करने के लिए पर्याप्त है, चाहे वह डेटा लीक हो रहा हो, सिस्टम या फाइलों को भ्रष्ट कर रहा हो या स्थापित कर रहा हो मालवेयर।
5. रिपोर्टिंग, विश्लेषण और मरम्मत
हमले के समापन के बाद-सफल या नहीं-हैकर अपने निष्कर्षों के साथ अपने नियोक्ता को रिपोर्ट करेगा। सुरक्षा पेशेवर तब हमले के डेटा का विश्लेषण करते हैं, इसकी तुलना करते हैं कि उनकी निगरानी प्रणाली क्या रिपोर्ट करती है, और उनकी सुरक्षा में सुधार के लिए उचित संशोधनों को लागू करती है।
6. कुल्ला करें और दोहराएं
अक्सर एक छठा चरण होता है जहां कंपनियां एक अन्य प्रवेश परीक्षा का आयोजन करके अपनी सुरक्षा प्रणाली में किए गए सुधारों का परीक्षण करती हैं। यदि वे डेटा-चालित हमलों का परीक्षण करना चाहते हैं या किसी अन्य के लिए एक नेत्रहीन हैकर को एक ही एथिकल-हैकर रख सकते हैं।
एथिकल हैकिंग केवल एक कौशल का पेशा नहीं है। अधिकांश नैतिक हैकर अपने काम को आसान बनाने और मैन्युअल गलतियों से बचने के लिए विशेष OSes और सॉफ़्टवेयर का उपयोग करते हैं, जिससे प्रत्येक व्यक्ति को अपना सब कुछ देना पड़ता है।
तो पेन परीक्षण हैकर्स क्या उपयोग करते हैं? कुछ उदाहरण निम्नलिखित हैं।
तोता सुरक्षा एक लिनक्स-आधारित ओएस है जिसे पैठ परीक्षण और भेद्यता मूल्यांकन के लिए डिज़ाइन किया गया था। यह क्लाउड-फ्रेंडली, उपयोग में आसान और विभिन्न ओपन सोर्स पेंटेस्ट सॉफ्टवेयर का समर्थन करता है।
इसके अलावा एक लिनक्स ओएस, लाइव हैकिंग एक पंचकेटर है, क्योंकि यह हल्का है और इसमें उच्च हार्डवेयर आवश्यकताएं नहीं हैं। यह पैठ परीक्षण और एथिकल हैकिंग के लिए टूल और सॉफ्टवेयर के साथ प्री-पैक भी आता है।
नामप एक है ओपन सोर्स इंटेलिजेंस (OSINT) टूल यह एक नेटवर्क की निगरानी करता है और उपकरणों के होस्ट और सर्वर के बारे में डेटा एकत्र करता है और उसका विश्लेषण करता है, जिससे यह काला-, ग्रे- और व्हाइट-हैट हैकर्स के लिए मूल्यवान हो जाता है।
यह क्रॉस-प्लेटफ़ॉर्म भी है और लिनक्स, विंडोज और मैकओएस के साथ काम करता है, इसलिए शुरुआती एथिकल हैकर के लिए आदर्श है।
WebShag भी एक OSINT उपकरण है। यह एक सिस्टम ऑडिटिंग टूल है जो HTTPS और HTTP प्रोटोकॉल को स्कैन करता है और रिश्तेदार डेटा और जानकारी एकत्र करता है। इसका इस्तेमाल एथिकल हैकर्स सार्वजनिक वेबसाइटों के माध्यम से बाहरी लोगों के प्रदर्शन के लिए करते हैं।
पेनेट्रेशन टेस्टिंग के लिए कहां जाएं
अपने स्वयं के नेटवर्क का पेन परीक्षण करना आपका सबसे अच्छा विकल्प नहीं है, क्योंकि आपको इसकी व्यापक जानकारी है, जिससे बॉक्स के बाहर सोचना और छिपी कमजोरियों का पता लगाना कठिन हो जाता है। आपको या तो एक स्वतंत्र नैतिक हैकर या एक कंपनी की सेवाओं को किराए पर लेना चाहिए जो पेन परीक्षण प्रदान करता है।
फिर भी, अपने नेटवर्क में हैक करने के लिए किसी बाहरी व्यक्ति को काम पर रखना बहुत जोखिम भरा हो सकता है, खासकर यदि आप उन्हें सुरक्षा जानकारी या अंदरूनी जानकारी प्रदान कर रहे हैं। यही कारण है कि आपको विश्वसनीय 3 पार्टी प्रदाताओं से चिपके रहना चाहिए। यहाँ उपलब्ध लोगों का एक छोटा सा नमूना है।
HackerOne एक सैन फ्रांसिस्को-आधारित कंपनी है जो पैठ परीक्षण, भेद्यता मूल्यांकन और प्रोटोकॉल अनुपालन परीक्षण सेवाएँ प्रदान करती है।
Texas में स्थित, ScienceSoft भेद्यता आकलन, कलम परीक्षण, अनुपालन परीक्षण और बुनियादी ढाँचा सेवाओं की पेशकश करता है।
अटलांटा, जॉर्जिया में स्थित, रक्सिस पेन परीक्षण और सुरक्षा कोड समीक्षा से मूल्यवान सेवाएं प्रदान करता है प्रतिक्रिया प्रशिक्षण, भेद्यता आकलन और सामाजिक इंजीनियरिंग निवारक प्रशिक्षण की घटना के लिए।
पेनेट्रेशन टेस्टिंग का सबसे अधिक उपयोग करना
हालांकि यह अभी भी अपेक्षाकृत नया है, पेन टेस्टिंग एक हैकर के मस्तिष्क के कामकाज में अद्वितीय अंतर्दृष्टि प्रदान करता है जब वे हमला कर रहे होते हैं। यह मूल्यवान जानकारी है कि सबसे कुशल साइबर सुरक्षा पेशेवर सतह पर भी काम नहीं कर सकते।
ब्लैक हैट हैकर्स द्वारा लक्षित होने और परिणाम भुगतने से बचने के लिए पेन परीक्षण एकमात्र तरीका हो सकता है।
छवि क्रेडिट: अनपलाश।
एथिकल हैकिंग साइबर क्राइम द्वारा उत्पन्न सुरक्षा जोखिमों से निपटने का एक तरीका है। क्या नैतिक हैकिंग कानूनी है? हमें इसकी आवश्यकता क्यों है?
- सुरक्षा
- ऑनलाइन सुरक्षा
Anina MakeUseOf में एक फ्रीलांस तकनीक और इंटरनेट सुरक्षा लेखक है। औसत व्यक्ति के लिए इसे और अधिक सुलभ बनाने की उम्मीद में उसने 3 साल पहले साइबर स्पेस में लिखना शुरू किया था। नई चीजों को सीखने के लिए उत्सुक और एक विशाल खगोल विज्ञान बेवकूफ।
हमारे न्यूज़लेटर की सदस्यता लें
टेक टिप्स, समीक्षा, मुफ्त ईबुक और विशेष सौदों के लिए हमारे न्यूज़लेटर में शामिल हों!
एक और कदम…!
कृपया हमें आपके द्वारा भेजे गए ईमेल में अपने ईमेल पते की पुष्टि करें।