Ujian Kerentanan
Ujian Kerentanan juga disebut Penilaian Kerentanan adalah proses menilai risiko keselamatan dalam sistem perisian untuk mengurangkan kemungkinan ancaman. Tujuan ujian kerentanan adalah mengurangkan kemungkinan penyusup / penggodam mendapatkan akses sistem yang tidak dibenarkan. Ia bergantung pada mekanisme yang dinamakan Penilaian Kerentanan dan Ujian Penetrasi (VAPT) atau ujian VAPT.
Kerentanan adalah kesalahan atau kelemahan dalam prosedur keselamatan sistem, reka bentuk, pelaksanaan atau pengendalian dalaman yang dapat mengakibatkan pelanggaran kebijakan keselamatan sistem.
Dalam tutorial ini, anda akan belajar-
- Apa itu Penilaian Kerentanan
- Mengapa Penilaian Kerentanan
- Proses Penilaian Kerentanan dan Ujian Penetrasi (VAPT)
- Cara melakukan Ujian Kerentanan
- Jenis pengimbas kerentanan
- Alat untuk Mengimbas Kerentanan
- Kelebihan Penilaian Kerentanan
- Kelemahan Penilaian Kerentanan
- Perbandingan Penilaian Kerentanan dan Ujian Penetrasi
- Kaedah Ujian Kerentanan
Mengapa Penilaian Kerentanan
- Ini penting untuk keselamatan organisasi.
- Proses mencari dan melaporkan kerentanan, yang menyediakan cara untuk mengesan dan menyelesaikan masalah keselamatan dengan memberi peringkat kerentanan sebelum seseorang atau sesuatu dapat memanfaatkannya.
- Dalam proses ini Sistem operasi, Perisian Aplikasi dan Rangkaian diimbas untuk mengenal pasti kejadian kerentanan, yang merangkumi reka bentuk perisian yang tidak sesuai, pengesahan tidak selamat, dll.
Proses Penilaian Kerentanan
Berikut adalah Proses Penilaian Kerentanan langkah demi langkah untuk mengenal pasti kelemahan sistem.
Langkah 1) Matlamat & Objektif : - Tentukan tujuan dan objektif Analisis Kerentanan.
Langkah 2) Skop : - Semasa melakukan Penilaian dan Ujian, Skop Tugasan perlu ditentukan dengan jelas.
Berikut adalah tiga kemungkinan ruang lingkup yang ada:
- Ujian Kotak Hitam: - Pengujian dari rangkaian luaran tanpa pengetahuan sebelumnya mengenai rangkaian dan sistem dalaman.
- Ujian Kotak Kelabu: - Pengujian dari rangkaian luaran atau dalaman dengan pengetahuan mengenai rangkaian dan sistem dalaman. Ini adalah gabungan kedua-dua Ujian Kotak Hitam dan Ujian Kotak Putih.
- Ujian Kotak Putih: - Pengujian dalam rangkaian dalaman dengan pengetahuan mengenai rangkaian dan sistem dalaman. Juga dikenali sebagai Ujian Dalaman.
Langkah 3) Pengumpulan Maklumat : - Mendapatkan seberapa banyak maklumat mengenai persekitaran IT seperti Rangkaian, Alamat IP, Versi Sistem Operasi, dan lain-lain. Ini berlaku untuk ketiga-tiga jenis Skop seperti Pengujian Kotak Hitam, Pengujian Kotak Kelabu dan Pengujian Kotak Putih.
Langkah 4) Pengesanan Kerentanan : - Dalam proses ini, pengimbas kerentanan digunakan untuk mengimbas persekitaran IT dan mengenal pasti kelemahan.
Langkah 5) Analisis dan Perancangan Maklumat : - Ini akan menganalisis kerentanan yang telah dikenal pasti untuk membuat rancangan untuk menembusi ke dalam rangkaian dan sistem.
Cara melakukan Penilaian Kerentanan
Berikut adalah proses langkah demi langkah mengenai Cara Membuat Penilaian Kerentanan :
Langkah 1) Persediaan:
- Mulakan Dokumentasi
- Kebenaran Selamat
- Kemas kini Alat
- Konfigurasikan Alat
Langkah 2) Pelaksanaan Ujian:
- Jalankan Alat
- Jalankan paket data yang ditangkap (Paket adalah unit data yang disalurkan antara asal dan tujuan. Apabila ada fail, misalnya, pesanan e-mel, fail HTML, permintaan Uniform Resource Locator (URL), dll. dari satu tempat ke tempat lain di internet, lapisan TCP TCP / IP membahagikan fail menjadi sebilangan "potongan" untuk penghalaan yang cekap, dan setiap potongan ini akan diberi nombor secara unik dan akan menyertakan alamat Internet tujuan. Ini potongan disebut paket. Apabila semua paket tiba, paket akan dipasang semula ke dalam fail asal oleh lapisan TCP di hujung penerima semasa menjalankan alat penilaian
Langkah 3) Analisis Kerentanan:
- Menentukan dan mengelaskan sumber rangkaian atau Sistem.
- Menetapkan keutamaan kepada sumber daya (Cth: - Tinggi, Sederhana, Rendah)
- Mengenal pasti potensi ancaman terhadap setiap sumber.
- Mengembangkan strategi untuk menangani masalah yang paling diutamakan terlebih dahulu.
- Mendefinisikan dan melaksanakan cara untuk meminimumkan akibat sekiranya serangan berlaku.
Langkah 4) Melapor
Langkah 5) Pembaikan:
- Proses memperbaiki kelemahan.
- Dilakukan untuk setiap kelemahan
Jenis pengimbas kerentanan
- Berasaskan Host
- Mengenal pasti masalah dalam host atau sistem.
- Proses ini dilakukan dengan menggunakan pengimbas berasaskan host dan mendiagnosis kerentanan.
- Alat berasaskan host akan memuatkan perisian mediator ke sistem sasaran; ia akan mengesan peristiwa tersebut dan melaporkannya kepada penganalisis keselamatan.
- Berasaskan Rangkaian
- Ia akan mengesan port terbuka, dan mengenal pasti perkhidmatan yang tidak diketahui yang berjalan di port ini. Kemudian ia akan mendedahkan kemungkinan kelemahan yang berkaitan dengan perkhidmatan ini.
- Proses ini dilakukan dengan menggunakan Scanner berasaskan Rangkaian.
- Berasaskan Pangkalan Data
- Ia akan mengenal pasti pendedahan keselamatan dalam sistem pangkalan data menggunakan alat dan teknik untuk mencegah SQL Injections. (SQL Suntikan: - Menyuntikkan pernyataan SQL ke dalam pangkalan data oleh pengguna yang berniat jahat, yang dapat membaca data sensitif dari pangkalan data dan dapat mengemas kini data di Pangkalan Data.)
Alat untuk Mengimbas Kerentanan
Penceroboh
Penceroboh adalah pengimbas kerentanan dalam talian yang kuat yang menemui kelemahan keselamatan di seluruh persekitaran IT anda. Menawarkan pemeriksaan keselamatan terkemuka di industri, pemantauan berterusan dan platform yang mudah digunakan, Intruder memastikan perniagaan dari semua saiz selamat dari penggodam.
Ciri-ciri:
- Liputan ancaman terbaik di kelas dengan lebih 10,000 pemeriksaan keselamatan
- Memeriksa kelemahan konfigurasi, patch yang hilang, kelemahan aplikasi (seperti sQL injection & cross-site scripting) dan banyak lagi
- Analisis automatik dan keutamaan hasil imbasan
- Antaramuka intuitif, cepat disiapkan dan jalankan imbasan pertama anda
- Pemantauan keselamatan yang proaktif untuk kelemahan terkini
- Penyambung AWS, Azure dan Google Cloud
- Integrasi API dengan saluran paip CI / CD anda
| Kategori | Alat | Penerangan |
|---|---|---|
| Berasaskan Host | STAT | Imbas pelbagai sistem dalam rangkaian. |
| TARA | Pembantu Penyelidik Analisis Harimau. | |
| Kain & Abel | Pulihkan kata laluan dengan mengendus rangkaian, memecahkan kata laluan HTTP. | |
| Metasploit | Platform sumber terbuka untuk membangun, menguji dan mengeksploitasi kod. | |
| Berasaskan Rangkaian | Pengimbas Cisco Secure | Mendiagnosis dan Membaiki Masalah Keselamatan. |
| Wireshark | Penganalisis Protokol Rangkaian Sumber Terbuka untuk Linux dan Windows. | |
| Nmap | Utiliti Sumber Terbuka Percuma untuk pengauditan keselamatan. | |
| Nessus | Pengauditan tanpa had, Pelaporan dan integrasi pengurusan tampalan. | |
| Berasaskan Pangkalan Data | Diet SQL | Pintu alat Serangan Kamus untuk pelayan SQL. |
| Juruaudit Selamat | Membolehkan pengguna melakukan pengiraan, pengimbasan, pengauditan, dan ujian penembusan dan forensik pada OS. | |
| Imbasan DB | Pengesanan Trojan pangkalan data, mengesan Trojan tersembunyi dengan imbasan awal. |
Kelebihan Penilaian Kerentanan
- Alat sumber terbuka ada.
- Mengenal pasti hampir semua kelemahan
- Automatik untuk Pengimbasan.
- Mudah dijalankan secara berkala.
Kelemahan Penilaian Kerentanan
- Kadar positif palsu yang tinggi
- Boleh dikesan dengan mudah oleh Firewall Sistem Pengesanan Pencerobohan.
- Selalunya gagal menyedari kelemahan terkini.
Perbandingan Penilaian Kerentanan dan Ujian Penetrasi
| Penilaian Kerentanan | Ujian Penembusan | |
|---|---|---|
| Bekerja | Ketahui Kerentanan | Mengenal dan Mengeksploitasi Kerentanan |
| Mekanisme | Penemuan & Pengimbasan | Simulasi |
| Fokus | Lebar melebihi Kedalaman | Kedalaman Lebar |
| Liputan Kesempurnaan | Tinggi | Rendah |
| Kos | Rendah- Sederhana | Tinggi |
| Dipersembahkan oleh | Kakitangan di dalam rumah | Penyerang atau Pen Tester |
| Pengetahuan Penguji | Tinggi | Rendah |
| Berapa kerap Berlari | Selepas setiap peralatan dimuatkan | Setahun sekali |
| Keputusan | Berikan Sebahagian Perincian mengenai Kerentanan | Berikan Maklumat Lengkap Kerentanan |
Kaedah Ujian Kerentanan
Ujian Aktif
- Pengujian Tidak Aktif, penguji memperkenalkan data ujian baru dan menganalisis hasilnya.
- Semasa proses pengujian, penguji membuat model mental proses, dan ia akan berkembang lebih jauh semasa interaksi dengan perisian yang diuji.
- Semasa melakukan ujian, penguji akan terlibat secara aktif dalam proses mencari kes ujian dan idea baru. Itulah sebabnya ia dipanggil Ujian Aktif.
Ujian Pasif
- Ujian pasif, memantau hasil menjalankan perisian yang sedang diuji tanpa memperkenalkan kes atau data ujian baru
Ujian Rangkaian
- Pengujian Rangkaian adalah proses mengukur dan merekod keadaan semasa operasi rangkaian dalam jangka waktu tertentu.
- Pengujian dilakukan terutamanya untuk meramalkan rangkaian beroperasi di bawah beban atau untuk mengetahui masalah yang diciptakan oleh perkhidmatan baru.
- Kita perlu Menguji Karakteristik Rangkaian berikut: -
- Tahap penggunaan
- Bilangan Pengguna
- Penggunaan Aplikasi
Ujian Teragih
- Ujian Terdistribusi diterapkan untuk menguji aplikasi yang diedarkan, yang bermaksud, aplikasi yang bekerja dengan beberapa klien secara bersamaan. Pada dasarnya, menguji aplikasi yang diedarkan bermaksud menguji bahagian pelanggan dan pelayannya secara berasingan, tetapi dengan menggunakan kaedah pengujian yang diedarkan, kita dapat menguji semuanya bersama-sama.
- Bahagian ujian akan saling berinteraksi semasa Ujian Larian. Ini menjadikan mereka disegerakkan dengan cara yang sesuai. Penyegerakan adalah salah satu perkara yang paling penting dalam ujian diedarkan.
Kesimpulannya
Dalam Kejuruteraan Perisian, Ujian Kerentanan bergantung pada dua mekanisme iaitu Penilaian Kerentanan dan Ujian Penetrasi. Kedua-dua ujian ini berbeza antara satu sama lain dalam kekuatan dan tugas yang mereka laksanakan. Walau bagaimanapun, untuk mencapai laporan komprehensif mengenai Ujian Kerentanan, digabungkan gabungan kedua-dua prosedur tersebut.
Artikel ini disumbangkan oleh Syamini Sreedharan