OnWorks Linux و Windows Online WorkStations

الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

11.3. إضفاء الطابع الرسمي على التقييم‌


مع استعداد بيئة Kali الخاصة بك وتحديد نوع التقييم ، فأنت جاهز تقريبًا لبدء العمل. خطوتك الأخيرة هي إضفاء الطابع الرسمي على العمل الذي يتعين القيام به. هذا مهم للغاية ، لأن هذا يحدد ما ستكون عليه التوقعات للعمل ، ويمنحك الإذن لإجراء ما قد يكون بخلاف ذلك نشاطًا غير قانوني. سنقوم بتغطية هذا الأمر على مستوى عالٍ ، ولكن هذه خطوة معقدة ومهمة للغاية ، لذا من المحتمل أن ترغب في مراجعة الممثل القانوني لمؤسستك للحصول على المساعدة.

كجزء من عملية التشكيل ، ستحتاج إلى تحديد قواعد الاشتباك للعمل. يغطي هذا عناصر مثل:

• ما هي الأنظمة المسموح لك بالتفاعل معها؟ من المهم التأكد من أنك لا تتدخل بشكل صارم في أي شيء مهم لعمليات الأعمال.

• في أي وقت من اليوم وخلال أي نافذة هجوم يُسمح بالتقييم؟ تفضل بعض المنظمات الحد من الأوقات التي يمكن فيها إجراء أعمال التقييم.

• عندما تكتشف ثغرة أمنية محتملة ، هل يُسمح لك باستغلالها؟ إذا لم يكن كذلك ، فما هي عملية الموافقة؟ هناك بعض المنظمات التي تتخذ نهجًا متحكمًا للغاية في كل محاولة استغلال ، بينما يرغب البعض الآخر في اتباع نهج أكثر واقعية. من الأفضل تحديد هذه التوقعات بوضوح قبل بدء العمل.

• إذا تم اكتشاف مشكلة كبيرة ، فكيف يجب معالجتها؟ في بعض الأحيان ، تريد المنظمات أن يتم إبلاغها على الفور ، وإلا فسيتم تناولها عادةً في نهاية التقييم.

• في حالة الطوارئ ، بمن تتصل؟ من المهم دائمًا معرفة الجهة التي يجب الاتصال بها عند حدوث مشكلة من أي نوع.

• من سيعرف عن النشاط؟ كيف سيتم ايصالها لهم؟ في بعض الحالات ، سترغب المؤسسات في اختبار أداء الاستجابة للحوادث واكتشافها كجزء من التقييم. من الجيد دائمًا معرفة ذلك مسبقًا ، لذا فأنت تعرف ما إذا كان عليك أن تأخذ أي درجة من التخفي في نهج التقييم.


صورة

26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org‌‌

• ما هي التوقعات في نهاية التقييم؟ كيف سيتم توصيل النتائج؟ تعرف على ما يتوقعه جميع الأطراف في نهاية التقييم. تحديد الناتج هو أفضل طريقة لإسعاد الجميع بعد اكتمال العمل.


على الرغم من عدم اكتمالها ، تمنحك هذه القائمة فكرة عن التفاصيل التي يجب تغطيتها. ومع ذلك ، يجب أن تدرك أنه لا بديل عن التمثيل القانوني الجيد. بمجرد تحديد هذه العناصر ، تحتاج إلى الحصول على التفويض المناسب لإجراء التقييم ، نظرًا لأن الكثير من النشاط الذي ستقوم به في سياق التقييم قد لا يكون قانونيًا بدون تفويض مناسب من شخص لديه السلطة لمنح هذا الإذن.

مع وجود كل ذلك في مكانه الصحيح ، لا تزال هناك خطوة واحدة أخيرة ستحتاج إلى اتخاذها قبل بدء العمل: التقييم. لا تثق أبدًا في النطاق الذي تم توفيره لك - تحقق دائمًا من صحته. استخدم مصادر معلومات متعددة للتأكد من أن الأنظمة الموجودة في النطاق مملوكة بالفعل للعميل وأنه يتم تشغيلها من قبل العميل أيضًا. مع انتشار الخدمات السحابية ، قد تنسى المؤسسة أنها لا تمتلك فعليًا الأنظمة التي توفر لها الخدمة. قد تجد أنه يتعين عليك الحصول على إذن خاص من مزود الخدمة السحابية قبل بدء العمل. بالإضافة إلى ذلك ، تحقق دائمًا من كتل عناوين IP. لا تعتمد على افتراض المؤسسة أنها تمتلك كتل IP كاملة ، حتى لو قامت بتسجيل الخروج عليها كأهداف قابلة للتطبيق. على سبيل المثال ، لقد رأينا أمثلة من المنظمات التي تطلب تقييمًا لنطاق شبكة كامل من الفئة C بينما ، في الواقع ، تمتلك فقط مجموعة فرعية من هذه العناوين. من خلال مهاجمة مساحة عنوان الفئة C بالكامل ، كنا سننتهي بمهاجمة جيران شبكة المنظمة. ال تحليل OSINT فئة فرعية من جمع المعلومات تحتوي القائمة على عدد من الأدوات التي يمكن أن تساعدك في عملية التقييم هذه.


  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: