آیا اگر آزمایش کنندگان قلم لیست سفید هستید ، می توانید از کد های تقلب استفاده کنید؟

در بعضی از مراحل در طی مراحل جابجایی با مشتری های جدید ، موضوع لیست سفید مطرح می شود. اکثر مشتریهای ما تصمیم می گیرند آدرس IP را در طول درگیری لیست کنیم ، اگرچه در ابتدا ممکن است ضد حساسیت به نظر برسد. شما ممکن است در حال فکر کردن باشید ، "چرا من همیشه می توانم آزمایش کنندگان شما را لیست کنم؟ ما می خواهیم شبیه سازی کنیم که چگونه مهاجمان واقعی ما را هدف قرار می دهند و لیست سفید کردن آن کار را برای شما غیر واقعی می کند. نه سپاسگزارم. "

در نگاه اول این دیدگاه قابل فهم است ، اما انتخاب لیست سفید در واقع نتیجه تصمیمات بزرگتری است که درباره پروژه اتخاذ می کنید ، نه یک عامل انگیزشی.

ما جلوتر رفتیم با شروع لیست سفید ، بنابراین بیایید یک قدم به عقب برداریم تا انگیزه بزرگتر درگیر شدن با یک شرکت آزمایش شخص ثالث مانند بیشاپ فاکس را بررسی کنیم. فرآیند نقشه برداری ما با پرسیدن سؤالات وسیع تر برای کمک به آگاهی از جزئیات ارزیابی آینده آغاز می شود. در تصویر بزرگ ، مهمترین سؤالها عبارتند از:

• چرا من آزمایش می کنم؟
• • من در محیط خودم بیشتر به چه چیزی علاقه دارم؟ محتمل ترین راه های حمله چیست؟ بدترین سناریو چیست؟
• چگونه می توانم از نتایج آزمایش استفاده کنم؟
  • آیا من توانایی اجرای تغییرات را دارم؟ آیا این تست مسائلی را ایجاد می کند که بتوانم آنها را اصلاح کنم یا آسیب پذیری های شخص ثالث را که نیاز به تغییر محصولات امنیتی مورد استفاده من دارد ، آشکار می کند؟

با بازگشت به این مقیاس بزرگتر ، آشکار می شود که تصمیم به لیست سفید (یا نه) متغیری است که تحت تأثیر درک سطح بالای اهداف پروژه شما قرار دارد. اولویت های پروژه باید راهنمای شما باشند و تصمیم گیری های لیست سفید نتیجه بعدی این اهداف است.

بنابراین لیست سفید در این زمینه به چه معنی است؟

WHITELISTING چیست؟

به طور کلی ، لیست سفید (همچنین به نام safelisting یا listlisting ) یک استراتژی است که لیستی صریح از داده هایی را که اجازه دسترسی یا مجوز دارند را تعیین می کند. (این لیست می تواند از هر چیزی باشد – گذرواژها ، انواع رسانه ها ، کلمات کلیدی ، نام افراد ، آدرس های IP و غیره) نقطه مقابل لیست سفید به لیست سیاه یا بلوک لیستینگ گفته می شود ، که صریحاً مواردی را که باید از دسترسی یا مجوزها محروم شوند ، نام می برد. [19659004] در آزمایش قلم ، مشتریان می توانند لیست های IP را که آزمایش کنندگان قلم برای کشف و دسترسی به شبکه خود در طول نامزدی از آنها استفاده می کنند ، انتخاب کنند ، یا می توانند آنها را از لیست خارج کنند به طوری که آزمایش کنندگان باید از کنترل های امنیتی خارجی مانند وب عبور کنند. دیوارهای برنامه ای (WAF) برای کشف سطح داخلی مشتری.

چه عواملی خوب هستند به لیست سفید؟

چندین دلیل خوب وجود دارد که شرکت ها انتخاب می کنند تا لیست سفید شود. بیایید نگاهی به چند مورد از آنها بیندازیم.

Warp Us to Level 99

بگذارید بگوییم که شما آزمایشگرهای بتا را استخدام کرده اید تا در بازی ویدیویی خود اشکالی پیدا کنید. شما می توانید از آنها بخواهید مانند یک بازیکن معمولی ، یک بازی جدید را در سطح 1 شروع کنند ، اما اگر به خصوص در مورد یک اشکال احتمالی در سطح 99 بازی خود کنجکاو هستید ، باید به مدت طولانی دیگر صبر کنید تا اطلاعات خود را بدست آورید.

دادن قابلیت آزمایش قلم به مناطقی که از آنها مراقبت می کنید ، خطرناک نیست اگر این چیزی است که شما می خواهید بیشتر بدانید تقلب نیست. در عوض ، به آنها امکان می دهید بیشتر وقت خود را در مناطق اولویت دار خود صرف کنند و در وقت و هزینه خود صرفه جویی کنند درست است که آنها ممکن است با عبور از هر سطح به صورت جداگانه ، چیزهای روشنگری را یاد بگیرند ، اما کار آنها طولانی تر خواهد شد و بیشتر وقت آنها از منطقه مورد نظر شما سپری خواهد شد. بدون ثبت لیست سفید ، ارزیابی به یک تست توانایی های آزمایش کننده قلم می پردازد ، نه محیط شما.

از هشدارهای غلط جلوگیری کنید

در یک سناریوی دیگر ، بگذارید بگوییم که شما علاقه مند به بهبود امنیت ساختمان دفتر فیزیکی خود هستید. شما از آزمایشکنندگان قلم می خواهید تا با شما صحبت کنند تا در مورد یک پروژه جدید صحبت کنند ، اما شما اعتبار لازم را برای ورود به آنها نمی دهید. این انتخاب احتمالاً باعث ایجاد تاخیر در شروع کار شما خواهد شد زیرا قفل کننده تست و مهندس اجتماعی راه خود را از طریق درهایی که می توانستید برای آنها اعتبار کسب کنید ، به وجود می آورید. این انتخاب همچنین ممکن است از وقت و انرژی تیم امنیتی شما برای تهدید جعلی استفاده کند ، این به معنای هشدار و مستندات است که منابع شما را از تهدیدهای واقعی منحرف می کند.

نقاط ضعف را فراتر از دیوارهای قلعه بیاموزید

جنبه دیگری که باید در نظر بگیرید این است که خارجی کنترل های امنیتی مانند WAF ها قبلاً با بودجه امنیتی فروشنده خودشان از طریق QA انجام شده اند. بنابراین نتایج آزمون قلم وضعیت امنیتی اعلام شده آنها را تأیید می کند ، شامل تنظیم مجدد تنظیمات پیش فرض آنها یا نیاز به انتخاب WAF جدید به دلیل آسیب پذیری های شناخته شده خواهد بود.

اگر آزمایش کنندگان قلم به جای تمرکز بر روی آسیب پذیری های موجود در پشت WAF ها باشند. از مسائلی که کنترل کاملتری بر روی اصلاح آنها دارید استفاده کنید – برنامه های خود ، اعتبار خود ، تنظیمات داخلی خود را. WAF ها ممکن است مانند دیوارهای قلعه محکم به نظر برسند ، اما ممکن است بیشتر شبیه به ضربات سرعت برای مهاجمان در طول زنجیره بهره برداری خود باشد ، به این معنی که باید توجه بیشتری به نحوه سازماندهی منابع در پشت آن دیوارها صرف شود. اولویت بندی اکتشافات در مناطقی که برای آنها ارزش قائل هستید و (مهمتر از همه) کنترل آنها می تواند به میزان قابل توجهی مراحل بهبودی را که در پایان آزمایش دریافت می کنید ، بهبود ببخشد.

چه ویژگی های متفاوتی را مورد حمله قرار می دهد از آزمونهای PEN؟

مزایایی که آزمایش کنندگان ندارند. هر یک از طرفین ذاتاً براساس تواناییها ، منابع و اهدافشان به صورت متفاوتی به شبکه شما نزدیک می شوند. لیست سفید یک راه حتی کمی برای زمین بازی است. بیایید به برخی عوامل دیگر که مهاجمان واقعی را از آزمایش کنندگان قلم اجیر شده جدا می کند ، نگاه کنیم.

مزایای حمله کننده

• هیچ محدودیتی برای شناسایی و برنامه ریزی وجود ندارد.
• هیچ قانونی برای مشارکت وجود ندارد.
• هیچ محدودیتی در مورد کجا و چگونگی اتصال آنها به محیط شما وجود ندارد.
• اگر آنها آسیب پذیری را در یک سیستم عامل یا برنامه متداول پیدا کنند ، آنها می توانند به چندین سازمان به طور همزمان حمله کرده و در معرض آسیب پذیرترین اهداف قرار گیرند.

مزیت های آزمایش کننده

• تخصص و تجربه تیم مشترک در زمینه کاوش در محیط های مشابه.
• برای جلوگیری از تشخیص و عواقب قانونی ، نیازی به ایجاد حملات منفرد نیست. برای شناسایی گاه به گاه در جلسات شروع کار از راه دور یا حضوری.
  • درباره برنامه ها و سیستم عامل های مورد استفاده ، نقشه های کف اداری ، و فرهنگ شرکت.
• پتانسیل کار از آدرس های IP در لیست سفید برای سریع تر و آسان تر کردن دسترسی (اشاره ، اشاره).

چه عواملی خوب نیستند. برای آزمایش لیست های سیاه و سفید؟

باز هم ، پاسخ این سوال برمی گردد به اهداف شما برای آزمون. اگر بخشی از محیط شما که بیشتر مورد علاقه شماست ، فاقد بیشترین اطلاعات در مورد آن هستید ، یا می خواهید دقیقانه تست کنید کنترل های امنیتی بیرونی است ، بنابراین سفید کردن لیست آزمایش کنندگان قلم شما معنی ندارد. همین مسئله صادق است اگر بیشتر بخواهید روند پاسخگویی تیم داخلی خود را به تهدیدهای ناشناخته آزمایش کنید ، یا سیاست هایی را که روی کاغذ دارید آزمایش کنید که مطمئن نیستید در حال حفظ یا اجرای آن هستند. حتی اگر شما قصد دارید مرکز عملیات امنیتی خود را بدون گفتن به آنها آزمایش کنید ، ما هنوز در مورد این حقایق در اولویت بندی این جنبه بحث خواهیم کرد و می دانیم که اگر کار ما باعث هشدار شود چه کسی باید وارد سیستم شود. ما در حال تلاش برای شبیه سازی یک حمله هستیم و تیم امنیتی را از تهدیدهای واقعی منحرف نمی کنیم. از بسیاری جهات ، تیم آزمایش قلم مانند پرونده EICAR است – یک پرونده خوش خیم که توسط آنتی ویروس به عنوان مخرب شناخته می شود. آزمایش قلم راهی برای آزمایش ساختارهای موجود بدون ایجاد ویرانی واقعی است.

و چه دلیل بدی برای لیست سفید نیست؟

در اینجا یک دلیل بد وجود دارد – انتخاب نکردن به لیست سفید ، زیرا تنها هدف شما عبور از انطباق و شما است. امیدوارم که ما را با WAF ها کندتر کند ، بنابراین ما به همان اندازه پیدا نمی کنیم. کمتر موارد شناسایی شده به معنای اصلاح کمتر است ، اما پنهان کردن سر شما در ماسه یک استراتژی امنیتی نیست. کم بودن هدف برای بررسی کادر برای رعایت این بدان معنی است که آزمایش ما به شما کمک نمی کند سطح حمله خود را بهتر بشناسید یا وضعیت امنیتی خود را تقویت کنید. ممکن است این یک پیروزی سریع باشد ، اما این عدم درک تصمیمات مربوط به گل آلود باعث می شود که شرکت ، محصول و کاربران شما را در معرض خطرات ناشناخته قرار دهد.

چرا BOTH؟

اگر می خواهید هر دو کنترل های خارجی خود را آزمایش می کنند و در مورد هر چه بیشتر آسیب پذیری ها می توانند بیاموزند ، همچنین می توانید از آزمایش کنندگان قلم خود بخواهید که ابتدا یک راه و سپس دیگری را آزمایش کند.

با ثبت لیست اول ، آزمایش کنندگان قلم می توانند آسیب پذیری های عمیق تر داخلی پیدا کنند و سپس لایه ای از کنترل های امنیتی خارجی برای یادگیری اینکه آیا این موضوعات هنوز هم قابل استفاده هستند یا خیر. این همچنین به جدا سازی آسیب پذیری های ناشی از مشکلات پیکربندی در محصولات شخص ثالث از مشکلات ناشی از اجازه یا تقسیم در شبکه های داخلی شما کمک می کند. اگر این روش تقسیم مفید به نظر برسد ، آزمایشکنندگان قلم می توانند با حمله از آدرس های IP مختلف برای ساده کردن روند ، "لیست سفید" را از لیست خود خاموش کنند.

انتخاب هر دو روش پاسخ بیشتر به سؤالات بیشتری می دهد زیرا شما قبل و بعد از مقایسه خود را مقایسه می کنید. امنیت محیطی ، اما تلاش اضافی به یک تعامل طولانی تر و گران تر تبدیل خواهد شد.

هر وقت شما سفید پوستان نباشید

حتی اگر تصمیم بگیرید که ما را در لیست سفید قرار ندهید ، ما هنوز به شما ارائه خواهیم داد. لیستی در ابتدای درگیری آدرس های IP استاتیک که ما از آنها استفاده خواهیم کرد. این بدان معنی است که اگر تیم شما هشدارهایی را از آن مکان دریافت کند ، مسئله تا نقطه تماس ما تشدید می شود ، چه کسی می داند وقت خود را برای بررسی آنها به عنوان تهدیدهای واقعی تلف نکنید. ] پاسخ های خوبی بگیرید

آزمایش کنندگان قلم حمله کننده نیستند. آنها با هم جمع می شوند ، سپس ابزاری را برای تقویت کار خود اختراع می کنند ، اما تفاوت یک حمله واقعی و یک آزمایش قلم بسیار بیشتر از مسئله سفید کردن است. شما می توانید لیست سفید کنید یا نه ، فقط مطمئن شوید که انتخاب شما را به سمت پاسخ هایی که واقعاً به دنبال آن هستید سوق می دهد. لیست سفید (یا نه) آن اهداف را تحت تأثیر قرار می دهد. آیا محدودیت های بودجه و زمان سختی دارید؟ آیا شما یک تیم امنیتی کوچک و بیش از حد کار دارید؟ اهداف خود را متمرکز کنید تا بدون هدر دادن منابع داخلی به آنچه نیاز دارید برسید. در اینجا دلایلی برای تصمیم گیری در یک راه یا دیگری وجود دارد:

• برای یادگیری آنچه که یک تهدید داخلی یا خارجی می تواند برای محیط زیست شما ایجاد کند
• برای یادگیری اینکه میراث شما و سیستم های شخص ثالث در برابر یک مهاجم اختصاصی چه تأثیر دارد
• برای کسب اطلاعات در مورد هرچه بیشتر آسیب پذیری ها در طول پنجره آزمایش
• برای پذیرش انطباق

نگران نباشید ، ما این موارد را در طول اسکوپینگ با هم خواهیم فهمید

در قفسه ، آزمایش قلم های بسته بندی نشده ای وجود ندارد به دلایل زیادی خوب است ، اما یکی این است که آنها فقط بررسی می کنند که شرکت آزمایش قلم چه فکر می کند مشتری برای رعایت ارزش خود را ارزیابی می کند یا باعث می شود که آنها کاملاً ظاهر شوند. ما نه. ما با هر مشتری در حین جابجایی به جزئیات می پردازیم تا مطمئن شویم که رویکرد ما به نیازهای تجاری آنها ، هر آنچه که باشد مرتبط است. با مشخص کردن اهداف در ابتدا ، از سرریز کردن مشاغل کوچک یا شرکتهای تحت خدمت با برنامه های امنیتی بالغ خودداری می کنیم. این در مورد تراز تجارت است: زمان ، اطلاعات ، پول. هر متغیر درگیر دارای یک تأثیر است ، لیست سفید فقط یکی از جنبه های رسیدگی به سلامت امنیت مشتری است.

برای کمک به آزمایش کنندگان قلم در یک پنجره کوتاه ، آسیب پذیری های بیشتری را پیدا می کنید ، می توانید اطلاعات مربوط به مناطق حساس را بدهید ، در حالی که مهاجمان. زمان نامحدودی بدست آورید و می توانید کثیف بازی کنید. در پایان ، هیچ ارزیابی ای 100٪ واقع بینانه نخواهد بود ، اما قرار گرفتن در همان صفحه در مورد اهداف می تواند منجر به یافته های بیشتری شود که در واقع برنامه امنیتی شما را بهبود می بخشد.

بنابراین ، لیست سفید نیست یا نکنید. به هر روشی که تصمیم بگیرید ، فقط اطمینان حاصل کنید که این کار را به دلایل درست انجام داده اید.