Онлайн робочі станції OnWorks Linux та Windows

логотип

Безкоштовний онлайн-хостинг для робочих станцій

<Попередній | зміст | Наступна>

Вступ до

Оцінки безпеки

Глава

зображення

зображення

11


зміст


зображення


Kali Linux в оцінці 281 Види оцінок 283 Формалізація оцінки 293

Види атак 294 Підсумки 297


зображення

До цього моменту ми розглянули багато специфічних для Kali Linux функцій, тому ви повинні добре розуміти, що робить Kali особливим і як виконувати низку складних завдань.‌

Однак, перш ніж використовувати Kali, вам слід зрозуміти кілька понять, що стосуються оцінок безпеки. У цьому розділі ми познайомимо вас з цими поняттями, щоб почати роботу, і надамо посилання, які допоможуть, якщо вам потрібно використовувати Kali для оцінки безпеки.

Почнемо з того, що варто приділити деякий час, щоб вивчити, що саме означає «безпека» під час роботи з інформаційними системами. Намагаючись захистити інформаційну систему, ви зосереджуєтесь на трьох основних атрибутах системи:


Конфіденційність: чи можуть суб'єкти, які не повинні мати доступу до системи чи інформації, отримати доступ до системи чи інформації?

Цілісність: чи можна змінити дані чи систему якимось незапланованим способом?


доступність: чи доступні дані або система, коли і як вони мають бути?


Разом ці концепції складають тріаду CIA (Конфіденційність, Цілісність, Доступність) і значною мірою є основними елементами, на яких ви зосереджуєтеся під час забезпечення безпеки системи в рамках стандартного розгортання, обслуговування або оцінки.

Важливо також зазначити, що в деяких випадках вас може турбувати набагато більше один аспект тріади ЦРУ, ніж інші. Наприклад, якщо у вас є особистий щоденник, який містить ваші найпотаємніші думки, конфіденційність щоденника може бути набагато важливішою для вас, ніж цілісність чи доступність. Іншими словами, вас може не турбувати те, чи може хтось писати до журналу (а не читати його), чи завжди доступний журнал чи ні. З іншого боку, якщо ви захищаєте систему, яка відстежує медичні рецепти, цілісність даних буде найбільш важливою. Хоча важливо не дати іншим людям читати, які ліки хтось використовує, і важливо, щоб ви могли отримати доступ до цього списку ліків, якщо хтось міг змінити вміст системи (змінивши цілісність), це може призвести до небезпечні для життя результати.

Коли ви захищаєте систему і виявляєте проблему, вам доведеться розглянути, до якої з цих трьох концепцій або до якої їх комбінації відноситься проблема. Це допомагає вам більш повно зрозуміти проблему і дозволяє класифікувати проблеми та відповідним чином реагувати. Можна виявити вразливі місця, які впливають на один або декілька елементів із тріади ЦРУ. Для прикладу використання веб-програми з уразливістю ін’єкції SQL:


Конфіденційність: вразливість ін'єкції SQL, яка дозволяє зловмиснику витягти повний вміст веб-програми, дозволяючи їм мати повний доступ до читання всіх даних, але не має можливості змінити інформацію або вимкнути доступ до бази даних.

Цілісність: вразливість ін'єкції SQL, яка дозволяє зловмиснику змінювати наявну інформацію в базі даних. Зловмисник не може прочитати дані або перешкодити іншим отримати доступ до бази даних.

доступність: вразливість ін'єкції SQL, яка ініціює тривалий запит, що споживає велику кількість ресурсів на сервері. Цей запит, ініційований кілька разів, призводить до ситуації відмови в обслуговуванні (DoS). Зловмисник не має можливості отримати доступ або змінити дані, але може перешкодити легальним користувачам отримати доступ до веб-програми.

множинний: вразливість ін'єкції SQL призводить до повного інтерактивного доступу оболонки до операційної системи хоста, на якому запущено веб-додаток. Завдяки такому доступу зловмисник може порушити конфіденційність системи, отримавши доступ до даних, як йому заманеться, поставити під загрозу цілісність системи, змінивши дані, і, якщо так вирішить, знищити веб-додаток, що призведе до компромісу доступності системи.

Концепції, що стоять за тріадою ЦРУ, не надто складні, і насправді є предметами, з якими ви працюєте інтуїтивно, навіть якщо ви цього не впізнаєте. Однак важливо уважно взаємодіяти з концепцією, оскільки вона може допомогти вам зрозуміти, куди спрямувати свої зусилля. Ця концептуальна основа допоможе вам визначити критичні компоненти ваших систем і кількість зусиль і ресурсів, які варто інвестувати у виправлення виявлених проблем.

Ще одна концепція, яку ми детально розглянемо ризик, і як він складається з загрози та вразливості. Ці поняття не надто складні, але їх легко помилитися. Далі ми докладно розглянемо ці поняття, але краще продумати їх на високому рівні ризик як те, чого ви намагаєтеся запобігти, загроза як хто б це зробив з тобою, і вразливість як те, що дозволяє їм це робити. Для усунення загрози чи вразливості можна запровадити засоби контролю з метою пом’якшення ризику.

Наприклад, відвідуючи деякі частини світу, ви можете бути в значній мірі ризик зараження малярією. Це тому, що загроза кількість комарів дуже висока в деяких областях, і ви майже напевно не застраховані від малярії. На щастя, ви можете контролювати вразливість за допомогою ліків і спроби контролювати загроза із застосуванням засобів від клопів і москітних сіток. З налаштованими елементами керування, які стосуються обох загроза і вразливість, ви можете допомогти забезпечити ризик не реалізується.


 

Kali Linux в оцінціВиди оцінокОцінка вразливостіЙмовірність появиImpactЗагальний ризикУ РезюмеТест на проникнення відповідностіТрадиційний тест на проникненняОцінка заявкиФормалізація оцінкиВиди атакВідмова в обслуговуванніПошкодження пам'ятіВразливості веб-сайтівАтаки паролемАтаки на стороні клієнтаПідсумки

  

 

<Попередній | зміст | Наступна>

  

Найпопулярніші хмарні обчислення ОС на OnWorks: