اقتحام لسبب وجيه

ليس كل المتسللين الذين يهاجمون الشركات هم أشرار ؛ البعض يتقاضون رواتبهم للقيام بذلك من خلال أهدافهم. في خدمة تُعرف باسم اختبار الاختراق ، تحاول شركة أمنية الوصول إلى أنظمة العميل أو التحكم فيها من أجل الكشف عن نقاط الضعف التي يمكن أن يستغلها مهاجم حقيقي.

كيف تغير الحمض النووي الخاص بك الآن

الكشافة عن المتاعب: بريان هوليفيلد ، الشريك المؤسس لشركة Gotham Digital

يقول بريان هوليفيلد ، أحد مؤسسي شركة جوثام ديجيتال ساينس ، وهي شركة مقرها نيويورك متخصصة في هذه الخدمة. قال هوليفيلد لتوم سيمونيت ، مراجعة التكنولوجيا محرر تكنولوجيا المعلومات للأجهزة والبرامج ، أنه خلال بعض الوظائف الكبيرة ، تنشر Gotham ثلاثة من قراصنةها ضد شركة لأسابيع في المرة الواحدة.



الأطفال : لماذا يلزم إجراء اختبار الاختراق؟ ألا يمكنك فقط إخبار الشركة بنقاط الضعف التي سيبحث عنها المهاجم؟

هوليفيلد: لا نبحث عن نقاط ضعف قياسية. في معظم الأوقات ، نبحث عن ثغرات أمنية على مستوى الشفرة في التطبيقات المخصصة. كل شخص لديه تطبيقات ويب الآن ، والحقيقة هي أن جدار الحماية لا يفعل الكثير لحمايتهم.

ما أنواع الشركات التي تعمل معها؟

نحن نعمل بشكل أساسي مع بائعي الخدمات المصرفية والمالية والرعاية الصحية والبرمجيات. من المتوقع أن تخضع جميع المواقع والأنظمة التي تقبل بطاقات الائتمان للاختبار إذا قامت بإجراء أكثر من عدد معين من المعاملات سنويًا. لكن الكثير من الشركات ليست مضطرة للقيام بذلك. أكبر سوق نخدمه هو الشركات التي تقدم البرامج كخدمة. يسألهم العملاء عما يفعلونه للتأكد من أنه آمن.

هل يخاف العملاء من التطوع ليتم اختراقهم؟

في المرة الأولى التي يمر فيها أي شخص بهذا ، هناك مستوى من العصبية وحتى جنون العظمة. علينا أن نعمل لحملهم على تنحية غرورهم جانبًا وفهم أنها ليست تمرينًا نحن ضدهم ؛ نحن لا نحاول جعل أي شخص يبدو سيئًا. عندما ينتهي اختبار القلم ، يسعد العملاء عمومًا أننا وجدنا المشكلة قبل الرجل السيئ.

أين يقع مقر ويكيليكس

ما هو المثال الجيد على نقاط الضعف التي وجدتها؟

في إحدى المشاركات الأخيرة ، اخترقنا موقعًا للتسويق على شبكة الإنترنت لمؤسسة مالية كبرى كانت تعمل على خادم ويب غير مصحح. تم استخدام هذا الخادم كنقطة انطلاق لاجتياز جدار الحماية والحصول على الاتصال بالأنظمة الموجودة على شبكتهم الداخلية.

وجدنا أن أحد الحسابات [مأخوذ من] خادم الويب (لقد اخترقنا كلمة المرور) كان أيضًا مسؤولًا في المخزن الذي يخزن كلمات مرور كل شخص لهذه الشبكة. يمكننا تسجيل الدخول مثل أي شخص. الدرس الجيد هنا هو أنه لمجرد أن النظام ليس بالغ الأهمية لا يعني أنه يمكن شطب الخادم من منظور أمني. بمجرد الوصول إلى المربع المحيط ، يكون لديك عادةً الكثير من الخيارات لمهاجمة الأنظمة الأكثر أهمية ، نظرًا لأنك الآن خلف جدار الحماية. الدرس الآخر هو أهمية عدم استخدام نفس كلمة المرور على أنظمة مختلفة.

بعد انتهاء هجومك ، ماذا تقدم للعميل؟

لدينا دائمًا تقرير مكتوب ولقطات شاشة خطوة بخطوة وإرشادات يمكننا تسليمها للمطور ونقول ، إليك كيفية القيام بذلك. بعد اختبار الاختراق نضيف قيمة من خلال توضيح ما يجب القيام به بالضبط. يُقارن ذلك بتدقيق الأمان الكلاسيكي الذي يميل إلى التركيز بشدة على أفضل الممارسات.

هل الأشخاص الذين يفعلون هذا من أجل الأخيار يختلفون عن الأشرار؟

رذاذ الشمس للنوافذ

لا يتطلب الأمر مهارات متخصصة فحسب ، بل يتطلب أيضًا نوعًا معينًا من الأشخاص. ليس الأمر أن الناس بارعون في عملهم بقدر ما هي هوايتهم ، ما يعيشون ويتنفسون. لديهم الرغبة ليس فقط في معرفة كيفية عمل شيء ما ولكن لمعرفة كيفية استخدام شيء ما [لغرض] لم يكن الغرض منه.

إنه خط رفيع بين شخص لديه هذا الشغف فقط من أجل الاهتمام والمعرفة وبين شخص سيتسبب في ضرر أو يحاول كسب المال. عندما نبحث عن المواهب ، فإن جزءًا من عملية التوظيف لدينا هو إجراء فحص صارم للغاية للخلفية للبحث عن الجانب المظلم. كانت هناك العديد من الحالات التي نعرف فيها أشخاصًا موهوبين جدًا ولا يمكننا توظيفهم.

هل أصبح اختبار الاختراق أكثر شيوعًا؟

نعم ، لقد بدأت تصبح أكثر شيوعًا. إحدى علامات ذلك هي كيف أصبح من الأسهل على الأشخاص الحصول على إذن من مزود خدمة الإنترنت الخاص بهم ، والذين يجب أن يعرفوا حتى يتمكنوا من فهم أنه ليس هجومًا حقيقيًا. اليوم ، تجعل شركات البنية التحتية مثل أمازون الأمر سهلاً للغاية. إذا كنت مستضافًا في سحابة Amazon ، فإن الحصول على إذن لاختبار الاختراق يكون سهلاً مثل ملء نموذج بسيط مستند إلى الويب.

تتبع كوفيد على الايفون

هل يمكن أن تكون اختبارات الاختراق قد أعدت شركة Sony للهجمات الأخيرة التي سُرقت فيها بيانات المستخدم؟

يركز اختبار الاختراق عادةً على الباب الأمامي ، ولكن هناك الكثير من النوافذ. أعتقد أن شركة Sony كانت مستهدفة على وجه التحديد. يمكن استخدام الهندسة الاجتماعية والتصيد بالرمح [صياغة رسائل لخداع شخص معين للكشف عن بيانات حساسة] ضد الأفراد الذين لديهم إمكانية الوصول إلى البيانات. يعد اختبار هجمات الهندسة الاجتماعية خيارًا للاختبار بالقلم ، لكن معظم الناس لا يذهبون إليه. إنهم يعرفون بالفعل المخاطر.

يخفي

التقنيات الفعلية

فئة

غير مصنف

تكنولوجيا

التكنولوجيا الحيوية

سياسة التكنولوجيا

تغير المناخ

البشر والتكنولوجيا

وادي السيليكون

الحوسبة

مجلة Mit News

الذكاء الاصطناعي

الفراغ

المدن الذكية

بلوكشين

قصة مميزة

الملف الشخصي للخريجين

اتصال الخريجين

ميزة أخبار معهد ماساتشوستس للتكنولوجيا

1865

وجهة نظري

77 Mass Ave

قابل المؤلف

ملامح في الكرم

شوهد في الحرم الجامعي

خطابات الخريجين

أخبار

انتخابات 2020

فهرس With

تحت القبه

خرطوم الحريق

مؤشر With

قصص لانهائية

مشروع تكنولوجيا الوباء

من الرئيس

غلاف القصه

معرض الصور

موصى به