תיעודמבוא ל
הערכות אבטחה
הפרק
11
תוכן
קאלי לינוקס בהערכה 281 סוגי הערכות 283 פורמליזציה של ההערכה 293
סוגי התקפות 294 <br> סיכום 297
כיסינו הרבה תכונות ספציפיות לקאלי לינוקס עד לנקודה זו, אז אתה צריך להבין היטב מה מייחד את קאלי וכיצד לבצע מספר משימות מורכבות.
עם זאת, לפני השימוש ב-Kali, יש כמה מושגים הקשורים להערכות אבטחה שכדאי להבין. בפרק זה, נציג את המושגים הללו כדי להתחיל ולספק הפניות שיעזרו אם תצטרך להשתמש בקאלי כדי לבצע הערכת אבטחה.
ראשית, כדאי להקדיש זמן כדי לחקור בדיוק מה המשמעות של "אבטחה" כשעוסקים במערכות מידע. כאשר מנסים לאבטח מערכת מידע, אתה מתמקד בשלוש תכונות עיקריות של המערכת:
• סודיות: האם שחקנים שלא אמורה להיות להם גישה למערכת או למידע יכולים לגשת למערכת או למידע?
• שלמות: האם ניתן לשנות את הנתונים או את המערכת בדרך כלשהי שאינה מיועדת?
• זמינות: האם הנתונים או המערכת נגישים מתי ואיך הם אמורים להיות?
ביחד, מושגים אלה מרכיבים את שלישיית ה-CIA (סודיות, יושרה, זמינות) ובחלקם הגדול הם הפריטים העיקריים שבהם תתמקדו בעת אבטחת מערכת כחלק מפריסה, תחזוקה או הערכה סטנדרטית.
חשוב גם לציין שבמקרים מסוימים אתה עשוי להיות מודאג הרבה יותר מהיבט אחד של שלישיית ה-CIA מאשר אחרים. לדוגמה, אם יש לך יומן אישי שמכיל את המחשבות הסודיות ביותר שלך, הסודיות של היומן עשויה להיות חשובה לך הרבה יותר מהיושרה או הזמינות. במילים אחרות, ייתכן שאינך מודאג כל כך אם מישהו יכול לכתוב ליומן (בניגוד לקריאתו) או אם היומן תמיד נגיש או לא. מצד שני, אם אתם מאבטחים מערכת שעוקבת אחר מרשמים רפואיים, שלמות הנתונים תהיה קריטית ביותר. אמנם חשוב למנוע מאנשים אחרים לקרוא באילו תרופות מישהו משתמש וחשוב שתוכל לגשת לרשימת התרופות הזו, אבל אם מישהו היה מסוגל לשנות את תוכן המערכת (לשנות את השלמות), זה עלול להוביל ל תוצאות מסכנות חיים.
כאשר אתה מאבטח מערכת ומתגלה בעיה, תצטרך לשקול לאיזה משלושת המושגים הללו, או לאיזה שילוב ביניהם, הנושא נופל. זה עוזר לך להבין את הבעיה בצורה מקיפה יותר ומאפשר לך לסווג את הנושאים ולהגיב בהתאם. אפשר לזהות נקודות תורפה שמשפיעות על פריט בודד או מרובים משלישיית ה-CIA. כדי להשתמש ביישום אינטרנט עם פגיעות של הזרקת SQL כדוגמה:
• סודיות: פגיעות של הזרקת SQL המאפשרת לתוקף לחלץ את מלוא התוכן של יישום האינטרנט, מה שמאפשר לו לקבל גישה מלאה לקרוא את כל הנתונים, אך ללא יכולת לשנות את המידע או להשבית את הגישה למסד הנתונים.
• שלמות: פגיעות של הזרקת SQL המאפשרת לתוקף לשנות את המידע הקיים במסד הנתונים. התוקף לא יכול לקרוא את הנתונים או למנוע מאחרים לגשת למסד הנתונים.
• זמינות: פגיעות של הזרקת SQL שיוזמת שאילתה ארוכת טווח, הצורכת כמות גדולה של משאבים בשרת. שאילתה זו, כאשר היא מופעלת מספר פעמים, מובילה למצב של מניעת שירות (DoS). לתוקף אין יכולת לגשת או לשנות נתונים, אך הוא יכול למנוע ממשתמשים לגיטימיים לגשת לאפליקציית האינטרנט.
• מְרוּבֶּה: פגיעות של הזרקת SQL מובילה לגישה מלאה של מעטפת אינטראקטיבית למערכת ההפעלה המארחת שמריצה את יישום האינטרנט. עם גישה זו, התוקף יכול להפר את סודיות המערכת על ידי גישה לנתונים כרצונו, לסכן את שלמות המערכת על ידי שינוי נתונים, ואם יבחר בכך, להרוס את יישום האינטרנט, מה שיוביל לפגיעה בזמינות של מערכת.
המושגים מאחורי שלישיית ה-CIA אינם מסובכים מדי, ובאופן מציאותי הם פריטים שאתה עובד איתם באופן אינטואיטיבי, גם אם אינך מזהה אותם. עם זאת, חשוב לקיים אינטראקציה מודעת עם הרעיון מכיוון שהוא יכול לעזור לך לזהות לאן לכוון את המאמצים שלך. בסיס רעיוני זה יסייע לך בזיהוי המרכיבים הקריטיים של המערכות שלך ובכמות המאמץ והמשאבים שכדאי להשקיע בתיקון בעיות שזוהו.
מושג נוסף אליו נתייחס בהרחבה הוא הסיכון, ואיך זה מורכב איומים ו פגיעות. מושגים אלו אינם מורכבים מדי, אך קל לטעות בהם. נסקור את המושגים הללו בפירוט בהמשך, אבל ברמה גבוהה, עדיף לחשוב עליהם הסיכון כמו מה שאתה מנסה למנוע מלהתרחש, איום כמו מי יעשה לך את זה, ו פגיעות בתור מה שמאפשר להם לעשות את זה. ניתן להפעיל בקרות כדי לטפל באיום או בפגיעות, במטרה לצמצם את הסיכון.
לדוגמה, כשאתה מבקר בחלקים מסוימים של העולם, אתה עשוי להיות במצב משמעותי הסיכון של הידבקות במלריה. זה בגלל ש איום מספר היתושים גבוה מאוד באזורים מסוימים, וכמעט בטוח שאתה לא חסין למלריה. למרבה המזל, אתה יכול לשלוט על פגיעות עם תרופות וניסיון לשלוט על איום עם שימוש בתכשיר דוחה חרקים וכילות נגד יתושים. עם בקרות במקום המתייחסות הן ל איום ו פגיעות, אתה יכול לעזור להבטיח את הסיכון אינו מתממש.