لمتطلبات الامن استشاري


  Share  
|

هناك متطلبات معينة يجب عليك ان تجتمع من اجل ان تكون اداة فعالة في اختراق فاحص دور استشارى مستقل. متطلبات التعامل مع قيادتكم مستوى المهارات الامنية ، والشبكه الخاصة بك نظم المعرفه ، وعمق واتساع ادوات تحت تصرفكم ، ونظام التشغيل والاجهزه التي أنت على استخدامها. كما الحرجه هو انتباهكم الى حفظ السجلات والحفاظ على اخلاقيات الامن. ارباب العمل المحتملين من اختراق الامن يؤدون خدمات الاستشاريين ينبغي النظر فيما يلي قائمة قبل التعاقد مع خبير استشاري.

مجموعة مهارات

أ مستشار الامن يجب ان يكون على الاقل على مستوى مدير النظام (الطبقة اثنين وهاكر) من اجل تقديم الامن بفعاليه الخدمات الاستشاريه. وهذا لا يعني ان السكريبت الاطفال لا تعترف الامن العيوب او لا يمكن ان المأجور - وكما ذكر سابقا ، وكثيرا ما يفعل أكثر من الاضرار المتسكعين في أي مستوى آخر. السكريبت الأطفال عموما ليست لديها فهم كامل للادوات واستغل التي يستخدمونها ، وبالتالي فإنها اما الانسه الحرجه ثقوب او اضرار محتملة النظم.

كما المدفوعه ، مستشار ، انت يتوقع ان يؤكد بصورة قاطعة ان ما تقومون به وجميع الآثار المحتملة قد تكون اجراءاتك. على وجه التحديد ، عليك أن تكون قادرة على الدفاع عن اختيارك للأداة ، لماذا كنت تستخدم عليه ، وماذا كنت تستخدم لانه خلال التجارب. انت المتوقع أيضا للإجابة على اي وجميع المسائل المتصله كاداه للتشكيل. بعض هذه الادوات الامنية يمكن ان تسبب اضرارا جسيمة او التوقف لشبكات اذا لم تستخدم على الوجه الصحيح. عند الانتهاء من الاختبار ، ولكم سيطلب الى توضيح الطريقة المستخدمة لاختراق النظم وتقديم توصيات بشأن كيفية اصلاح الامن الثقوب التي حددت اثناء الاختبار.

المعرفه

الاستشاريون الناجحة الامن ينبغي ان يكون مطلعا على عدة قطع من التكنولوجيا ، مثل الجدران الناريه ، ونظم كشف الاقتحام ، التشمم ، مراجعة الادوات ، وآليات التوثيق - والقائمة تطول. ولئن كان من المؤكد ان من المستحسن ان يكون خبيرا في اكبر عدد ممكن من التكنولوجيات ، فاحص يجب أن تكون على الأقل على معرفة كيفية عمل تقنيه (والمنتجات التي تنفذ التكنولوجيا) من اجل ايجاد سبل حول الامن ان توفر هذه النظم. فان فاحص ينبغي ادري الرئيسية في جميع انظمة التشغيل (ويندوز ، يونكس ، نظام التشغيل ماكنتوش ، وربما نوفل) ، وخبير في واحدة. في معرفة متعمقه لمشاريع التعاون التقني / الملكيه الفكريه وبروتوكولات الربط الشبكي هو المطلوب. المعرفه للتطبيق البرمجه او برمجة تجربة الماضي يمكن ان يكون مفيدا ايضا نظرا لان العديد من مآثر جديدة باستمرار المفرج "العمل" مع المدونه بين الحين والعيوب. وتأتي هذه التجربه في كتابه مفيد عندما هجمات مختلفة ، مثل عازلة الفيضانات.

فان فاحص يجب ان تكون قادرة على استخدام مختلف أدوات التقطيع ، مخطوطات ، ويستغل من اجل اختبار للتعرف البق ومواطن الضعف. وعلاوة على ذلك ، فاحص ان يتمكن من الوصول الى ضعف الخدمات التي يمكن له او لها ان تبقى ابلغ من احدث أدوات الاختراق الحاسوبي ، مخطوطات ، واستغل كذلك البق امنية جديدة اكتشفت في جميع الكبرى معدات والبرمجيات ونظم التشغيل. وهذا لا بد ان تكون الخدمة المدفوعه ، ولكن يجب ان يكون موثوقا واحدث ، ويجب أن يوفر معلومات عن كيفية استغلال المعروف البق وكذلك تقديم مجموعة شاملة من مآثر والادوات.

حفظ الحالية حول آخر التطورات الأمنية والاتجاهات أمر اساسي لنجاح اي مستشار الامن. مستشار الأمن ينبغي للاكتتاب والمشاركة في مجموعة من الأمن قوائم البريد الالكتروني. وبالاضافة الى قراءة المواد التقنيه ، وينبغي ان دورية امنية الاستشاريين استعراض ما يجري نشره الى "تحت الارض" المواقع على شبكة الإنترنت. أفضل وسيلة للدفاع ضد التهديدات هو استغلال او فهمها.

مجموعة أدوات

الاستشاريون تطوير مجموعة من البرامج المفيدة ، مجموعة من الأدوات ، مع أدوات ومخطوطات لأداء جميع أنواع العمل الامني ، من قبيل ضعف الاختبار ، واختبار الاختراق ، والاتصال الهاتفي في الاختراق ، والنفاذ الى شبكة الانترنت ، والحرمان من الخدمة ، وكلمة السر من الانشقاق ، عازلة الفيضانات ، وتقييمات المخاطر. وينبغي ان تحدد هذه الاداه تشمل كلا من ويندوز (9x/nt/2000) ويونيكس (بما في الخيارين ، لينكس ، شركة هولت باكرد / قرينة ، اكس ، ايركس ، المديرية العامة / قرينة ، bsds ، وهلم جرا) ونظم التشغيل. كما بنفسك تقنيه المتقدمه ، قد تجد الادوات التي تعمل على نحو افضل لطريقتك.

الاجهزه

اختبار الاختراق وغالبا ما يستخدم الكثير من الوقت وحده المعالجه المركزية وعرض النطاق الترددي. الاقوى الآلة ، وافضل كفاءه. وقد وجدنا ان مزدوج الحذاء لينكس / NT حجريه (مع اخر وحدة المعالجه المركزية ، أكثر الرام ، وبأسرع ما يمكن) ان يكون كافيا لتشكيل. أ حجريه غالبا ما تكون افضل مما هي المكتبي لأن تسمح للتنقل. ادارة vmware يتيح لك تشغيل كل من انظمة التشغيل في وقت واحد. وهذا يضيف راحة ، في ان الادوات المتاحة للعامة واحدة على الاقل من هذه البيئات ، ولكن التكاليف أكثر من حيث سرعة المعالج والذاكرة.

وبالاضافة الى ذلك ، تدير المرافق التقاط ضربة المفتاح هو وسيلة فعالة لسجل الاختبار. هذه المرافق وسجل الوقت خاتم جميع الانشطه في ضربة المفتاح المستوى ، الى حد افراغ حفظ السجلات لكم من عبء الى حجريه.

حفظ السجلات

حفظ دقيقة ، وسجلات مفصلة يشكل نشاطا جوهريا لحدوث اختراق المختبرين. ونحن نوصي سجلاتك توفير ما يكفي من التفصيل باعادة اختبار الاختراق الخطوات. في الحدث المؤسف ان الشركة ينبغي ان الادعاء بأن يقوم استشاري مسؤولة عن الاضرار التي تكبدوها نتيجة لتغلغل اختبار ، ومراجعة السجلات وسوف تكون هذه هى الخطوة الاولى فى حل هذه المساله.

سجل بتفصيل كل شيء تم انجازه خلال التجارب ، بما فيها كل أداة تستخدم كل واصدرت القيادة ونظم او عناوين بروتوكول انترنت التي فرضت عليها المستخدم. الممارسه هي مفيدة للوثيقه الاجراءات الخاصة بك وانت منهم أداء واستخدام الجزء الاخير من اليوم الى النوع الخاص بك تلاحظ وتسجل نتائجك.

أحيانا مدير النظام واتهام احد المختبرين بأنها المسءوله عن الهجمات التي وقعت قبل او بعد العمل قد انجز. من اجل الدفاع عن نفسه ضد هذه الاتهامات ، وثائق مفصلة مطلوب. الجذوع من ضربة المفتاح التقاط المنافع وكذلك بنفسك تلاحظ ان توفر الاساس للدفاع.

ليس فقط هو انه من المهم ان تتبع الاجراءات المنجزه خلال اختراق الاختبار ، ومن المهم ايضا ان تتبع جميع المعلومات التي تم جمعها حول عميلك. ويمكن ان يشمل ذلك معلومات عن نقاط الضعف في شبكة العميل ، وكلمة السر الملفات ، والعمليات التجارية ، والملكيه الفكريه ، اي مثل الوثائق المتعلقة بالبراءات في انتظار العمليات. ومن المهم ان تبقى هذه المعلومات حتى تتمكن من تقديم هذه المعلومات الى عميل للتحقق من تمكنتم من الوصول اليه ، والتشديد على اهمية الضعف ان يسمح لكم للحصول عليها. ومع ذلك ، فان جميع المعلومات التى حصلت عليها من العميل ينبغي ان تعامل على انها سرية للغاية. واذا كانت هذه المعلومات الى الخروج ، الى هاكر او الشركات المتنافسه ، فإنه يمكن وضع العميل في تنافسي كبير ، مما يؤدي الى الخسارة في رأس المال. وبالاضافة الى ذلك ، خبر نجاح اختبار الاختراق قد يؤدي ايضا الى انخفاض ثقة المستهلكين.

الاخلاق

اختبار الاختراق ارتباطات ملزمة نطاق ومدة المنصوص عليها في النظام الداخلي للاشتباك. هذه هي القواعد التي يحددها الزبون وتمكين المنظمه تشعر بالراحه بما يكفي للسماح للشروع في اجراء التجارب. هذه القواعد معالجة قضايا الحرمان من الخدمة ، ومعلومات الاتصال ، ونطاق المشروع ، والجداول الزمنية. تقدم هذه المعلومات الحدود للمشاركة ولا يمكن ان يساء تفسيرها.

في المساله هنا هو الثقة. ومن اهم الامور الامنية الاستشاريون لتقديم عملائها هو تأكيد وثقة إنه في حين أن دراسة الخبير الاستشاري هو العميل الأمن ، كما انها لن تكون زراعة المنافذ الخلفية او تعريض العميل الشبكه. وللاسف لا يوجد اي اداة او السكريبت ان ضمانات نزاهه الخبير الاستشاري. كل استشاري بعناية ويجب حمايه بلده او في نزاهتها عن كل مشاركة والاحاله. اذا كان جهازك النزاهه يشكك ، ولو لمرة واحدة ، فإنك لن تتعافى من هذه التهمة. وهناك مجال كبير للخطأ ، حوادث ، او مشاكل. اختبار الاختراق يتطلب الزبون لاعطاء قدر كبير من الثقة الى خبير استشاري. ان الثقة يجب ان تكون محميه.

هذا هو مقال اضافها ابراهيم همفري

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions