OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

11.3. פורמליזציה של ההערכה


כשסביבת הקאלי שלכם מוכנה וסוג ההערכה מוגדר, אתם כמעט מוכנים להתחיל לעבוד. הצעד האחרון שלך הוא להכשיר את העבודה שיש לבצע. זה חשוב ביותר, שכן זה מגדיר מה יהיו הציפיות מהעבודה, ומעניק לך רשות לבצע מה שעלול להיות אחרת פעילות בלתי חוקית. אנו נתייחס לכך ברמה גבוהה, אך זהו שלב מאוד מורכב וחשוב ולכן סביר להניח שתרצה לבדוק עם הנציג המשפטי של הארגון שלך לסיוע.

כחלק מתהליך הפורמליזציה תצטרכו להגדיר את כללי ההתקשרות לעבודה. זה מכסה פריטים כגון:

• עם אילו מערכות מותר לך ליצור אינטראקציה? חשוב לוודא שאתה לא מתערב בטעות בכל דבר שהוא קריטי לפעילות העסקית.

• באיזו שעה ביום ובאיזה חלון תקיפה מותר להערכה להתרחש? ארגונים מסוימים אוהבים להגביל את הזמנים שבהם ניתן לבצע את עבודת ההערכה.

• כאשר אתה מגלה פגיעות פוטנציאלית, האם מותר לך לנצל אותה? אם לא, מהו תהליך האישור? ישנם כמה ארגונים הנוקטים בגישה מאוד מבוקרת לכל ניסיון ניצול, בעוד שאחרים היו רוצים גישה מציאותית יותר. עדיף להגדיר את הציפיות הללו בבירור לפני תחילת העבודה.

• אם מתגלה בעיה משמעותית, כיצד יש לטפל בה? לפעמים, ארגונים רוצים לקבל מידע מיד, אחרת זה בדרך כלל מטופל בסוף ההערכה.

• במקרה חירום למי לפנות? תמיד חשוב לדעת למי לפנות כאשר מתרחשת בעיה מכל סוג שהוא.

• מי יידע על הפעילות? איך זה יועבר אליהם? במקרים מסוימים, ארגונים ירצו לבדוק את תגובת האירוע וביצועי הזיהוי שלהם כחלק מההערכה. זה תמיד רעיון טוב לדעת זאת מראש, כדי שתדע אם עליך לנקוט מידה כלשהי של התגנבות בגישה להערכה.


תמונה

26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org‌‌

• מהן הציפיות בסוף ההערכה? כיצד ימסרו תוצאות? דע למה מצפים כל הצדדים בסוף ההערכה. הגדרת התוצר היא הדרך הטובה ביותר לשמור על כולם מרוצים לאחר השלמת העבודה.


למרות שאינו שלם, רישום זה נותן לך מושג לגבי הפרטים שיש לכסות. עם זאת, עליך להבין שאין תחליף לייצוג משפטי טוב. לאחר הגדרת הפריטים הללו, עליך לרכוש הרשאה מתאימה לביצוע ההערכה, מכיוון שחלק ניכר מהפעילות שתבצע במהלך הערכה עשויה להיות לא חוקית ללא סמכות מתאימה ממישהו בעל הסמכות לתת אישור זה.

עם כל זה, עדיין יש שלב אחרון שתרצו לעשות לפני תחילת העבודה: אימות. לעולם אל תסמוך על ההיקף שסופק לך - אמת אותו תמיד. השתמש במקורות מידע מרובים כדי לאשר שהמערכות שבתחום הן למעשה בבעלות הלקוח ושהן מופעלות גם על ידי הלקוח. עם השכיחות של שירותי ענן, ארגון עלול לשכוח שהם לא הבעלים של המערכות המספקות להם שירות. ייתכן שתגלה שעליך לקבל אישור מיוחד מספק שירותי ענן לפני תחילת העבודה. בנוסף, אמת תמיד חסימות של כתובות IP. אל תסמוך על ההנחה של ארגון שהם הבעלים של בלוקי IP שלמים, גם אם הם חותמים עליהם כיעדים ברי קיימא. לדוגמה, ראינו דוגמאות לארגונים המבקשים הערכה של טווח שלם של רשת מחלקה C, כאשר למעשה, הם היו בבעלותם רק תת-קבוצה של הכתובות הללו. על ידי תקיפת כל מרחב הכתובות של Class C, היינו בסופו של דבר תוקפים את שכני הרשת של הארגון. ה ניתוח OSINT תת קטגוריה של איסוף מידע התפריט מכיל מספר כלים שיכולים לסייע לך בתהליך אימות זה.


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: