OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

11.2.2. בדיקת חדירת תאימות‌


הסוג הבא של הערכה לפי סדר מורכבות הוא מבחן חדירה המבוסס על תאימות. אלו הם מבחני החדירה הנפוצים ביותר שכן הם דרישות ממשלתיות ותעשייתיות המבוססות על מסגרת ציות שהארגון כולו פועל תחתיה.

אמנם ישנן מסגרות תאימות רבות ספציפיות לתעשייה, אך הנפוצה ביותר תהיה ככל הנראה תקן אבטחת נתונים של תעשיית כרטיסי התשלום16 (PCI DSS), מסגרת המוכתבת על ידי חברות כרטיסי תשלום, שעל קמעונאים המעבדים תשלומים מבוססי כרטיסים לעמוד בה. עם זאת, קיימים מספר תקנים אחרים כגון מדריכי היישום הטכניים של סוכנות הביטחון למערכות מידע.17 (DISA STIG), תוכנית פדרלית לניהול סיכונים והרשאות18 (FedRAMP), חוק ניהול אבטחת מידע פדרלי19 (FISMA), ואחרים. במקרים מסוימים, לקוח תאגידי עשוי לבקש הערכה, או לבקש לראות את תוצאות ההערכה העדכנית ביותר מסיבות שונות. בין אם אד-הוק או מנדט, הערכות מסוג זה הן קולקטיביות


תמונה

13http://tools.kali.org/tools-listing 14http://docs.kali.org‌‌

15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx‌‌‌

18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/

נקראים מבחני חדירה מבוססי ציות, או פשוט "הערכות ציות" או "בדיקות ציות".

בדיקת תאימות מתחילה לרוב בהערכת פגיעות. במקרה של ביקורת תאימות PCI20, הערכת פגיעות, כאשר היא מבוצעת כראוי, יכולה לעמוד בכמה מדרישות הבסיס, כולל: "2. אל תשתמש בברירות מחדל שסופקו על ידי הספק עבור סיסמאות מערכת ופרמטרי אבטחה אחרים" (לדוגמה, עם כלים מה- התקפות סיסמא קטגוריית תפריט), "11. בדוק באופן קבוע מערכות ותהליכי אבטחה" (עם כלים מ- הערכת מסד נתונים קטגוריה) ואחרים. כמה דרישות, כגון "9. הגבל גישה פיזית לנתוני בעל הכרטיס" ו"12. שמירה על מדיניות המתייחסת לאבטחת מידע לכל הצוות" לא מתאימה להערכת פגיעות מסורתית מבוססת כלים ודורשת יצירתיות ובדיקות נוספות.

למרות העובדה שאולי לא נראה פשוט להשתמש ב-Kali Linux עבור חלק מהמרכיבים של מבחן תאימות, העובדה היא שקאלי מתאימה באופן מושלם בסביבה הזו, לא רק בגלל המגוון הרחב של כלים הקשורים לאבטחה, אלא בגלל סביבת הקוד הפתוח של דביאן עליה היא בנויה, המאפשרת התקנה של מגוון רחב של כלים. חיפוש במנהל החבילות עם מילות מפתח שנבחרו בקפידה מכל מסגרת תאימות שבה אתה משתמש הוא כמעט בטוח שיביא לתוצאות מרובות. כפי שזה נראה, ארגונים רבים משתמשים בקאלי לינוקס כפלטפורמה הסטנדרטית לסוגי הערכות אלו בדיוק.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: