اختبار اختراق الامتثال من دليل Kali Linux بواسطة OnWorks

انتقل إلى المحتوى

11.2.2. اختبار الاختراق الامتثال‌

النوع التالي من التقييم بترتيب التعقيد هو اختبار الاختراق القائم على الامتثال. هذه هي اختبارات الاختراق الأكثر شيوعًا لأنها متطلبات تفرضها الحكومة والصناعة على أساس إطار الامتثال الذي تعمل به المنظمة بأكملها.

في حين أن هناك العديد من أطر الامتثال الخاصة بالصناعة ، فمن المرجح أن يكون معيار أمان بيانات صناعة بطاقات الدفع هو الأكثر شيوعًا16 (PCI DSS) ، وهو إطار عمل تمليه شركات بطاقات الدفع والذي يجب أن يلتزم به تجار التجزئة الذين يعالجون المدفوعات المستندة إلى البطاقات. ومع ذلك ، يوجد عدد من المعايير الأخرى مثل أدلة التنفيذ الفنية الخاصة بوكالة أنظمة المعلومات الدفاعية17 (DISA STIG) ، برنامج إدارة المخاطر والتفويض الفيدرالي18 (FedRAMP) ، قانون إدارة أمن المعلومات الفيدرالي19 (FISMA) وغيرها. في بعض الحالات ، قد يطلب العميل المؤسسي إجراء تقييم ، أو يطلب رؤية نتائج أحدث تقييم لأسباب مختلفة. سواء كانت مخصصة أو إلزامية ، فإن هذه الأنواع من التقييمات تكون جماعية

13http://tools.kali.org/tools-listing 14 http://docs.kali.org‌‌

15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17 http://iase.disa.mil/stigs/Pages/index.aspx‌‌

18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/

تسمى اختبارات الاختراق القائمة على الامتثال ، أو ببساطة "تقييمات الامتثال" أو "فحوصات الامتثال".

غالبًا ما يبدأ اختبار الامتثال بتقييم الضعف. في حالة تدقيق الامتثال PCI20، يمكن أن يفي تقييم الضعف ، عندما يتم إجراؤه بشكل صحيح ، بالعديد من المتطلبات الأساسية ، بما في ذلك: "2. لا تستخدم الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى "(على سبيل المثال ، مع أدوات من هجمات كلمة المرور فئة القائمة) ، "11. اختبر أنظمة وعمليات الأمان بانتظام "(باستخدام أدوات من تقييم قاعدة البيانات cat- egory) وغيرها. بعض المتطلبات ، مثل "9. تقييد الوصول المادي إلى بيانات حامل البطاقة "و" 12. الحفاظ على سياسة تتناول أمن المعلومات لجميع الموظفين "لا يبدو أنها تصلح لتقييم الضعف القائم على الأدوات التقليدية وتتطلب المزيد من الإبداع والاختبار.

على الرغم من حقيقة أنه قد لا يبدو استخدام Kali Linux مباشرًا لبعض عناصر اختبار الامتثال ، فإن الحقيقة هي أن Kali مناسبة تمامًا في هذه البيئة ، ليس فقط بسبب النطاق الواسع للأدوات المتعلقة بالأمان ، ولكن نظرًا لبيئة دبيان مفتوحة المصدر التي بُنيت عليها ، مما يسمح بتثبيت مجموعة واسعة من الأدوات. إن البحث في مدير الحزم باستخدام الكلمات الرئيسية المختارة بعناية من أي إطار امتثال تستخدمه يكاد يكون مؤكدًا لإظهار نتائج متعددة. كما هو الحال ، تستخدم العديد من المؤسسات Kali Linux كنظام أساسي قياسي لهذه الأنواع الدقيقة من التقييمات.

<السابق | المحتويات | التالي>