অনুপ্রবেশ পরীক্ষার পদ্ধতি এবং মান - আইবিএম ব্লগ

অনলাইন স্পেস দ্রুত বাড়তে থাকে, একটি কম্পিউটার সিস্টেম, নেটওয়ার্ক বা ওয়েব অ্যাপ্লিকেশনের মধ্যে সাইবার আক্রমণের জন্য আরও সুযোগ খুলে দেয়। এই ধরনের ঝুঁকি প্রশমিত করতে এবং প্রস্তুত করার জন্য, অনুপ্রবেশ পরীক্ষা নিরাপত্তা দুর্বলতা খুঁজে বের করার জন্য একটি প্রয়োজনীয় পদক্ষেপ যা একজন আক্রমণকারী ব্যবহার করতে পারে।

অনুপ্রবেশ পরীক্ষা কি?

A অনুপ্রবেশ পরীক্ষা, বা "পেন টেস্ট," হল একটি নিরাপত্তা পরীক্ষা যা সাইবার আক্রমণকে উপহাস করার জন্য চালানো হয়। ক সাইবার একটি ফিশিং প্রচেষ্টা বা একটি নেটওয়ার্ক নিরাপত্তা ব্যবস্থা লঙ্ঘন অন্তর্ভুক্ত হতে পারে. প্রয়োজনীয় নিরাপত্তা নিয়ন্ত্রণের উপর নির্ভর করে একটি সংস্থার জন্য বিভিন্ন ধরণের অনুপ্রবেশ পরীক্ষার উপলব্ধ রয়েছে। পরীক্ষাটি ম্যানুয়ালি বা স্বয়ংক্রিয় সরঞ্জামগুলির সাথে একটি নির্দিষ্ট কোর্সের লেন্সের মাধ্যমে বা কলম পরীক্ষার পদ্ধতির মাধ্যমে চালানো যেতে পারে।

কেন অনুপ্রবেশ পরীক্ষা এবং কারা জড়িত?

শর্তাবলী "নৈতিক হ্যাকিং" এবং "অনুপ্রবেশ পরীক্ষা" কখনও কখনও বিনিময়যোগ্যভাবে ব্যবহার করা হয়, কিন্তু একটি পার্থক্য আছে। এথিক্যাল হ্যাকিং একটি বিস্তৃত সাইবার নিরাপত্তা ক্ষেত্র যা নেটওয়ার্ক নিরাপত্তা উন্নত করতে হ্যাকিং দক্ষতার যেকোনো ব্যবহার অন্তর্ভুক্ত করে। নৈতিক হ্যাকাররা যে পদ্ধতিগুলি ব্যবহার করে তার মধ্যে পেনিট্রেশন পরীক্ষা হল একটি। এথিক্যাল হ্যাকাররা ক্ষতির পরিবর্তে নিরাপত্তার দুর্বলতা উন্মোচন ও ঠিক করার জন্য ম্যালওয়্যার বিশ্লেষণ, ঝুঁকি মূল্যায়ন এবং অন্যান্য হ্যাকিং সরঞ্জাম ও কৌশলও প্রদান করতে পারে।

আইবিএম এর একটি ডেটা লঙ্ঘন প্রতিবেদনের খরচ 2023 2023 সালে ডেটা লঙ্ঘনের বিশ্বব্যাপী গড় খরচ USD 4.45 মিলিয়ন, যা 15 বছরে 3% বৃদ্ধি পেয়েছে। এই লঙ্ঘনগুলি প্রশমিত করার একটি উপায় হল সঠিক এবং নির্দেশিত অনুপ্রবেশ পরীক্ষা করা।

কোম্পানিগুলি তাদের অ্যাপ, নেটওয়ার্ক এবং অন্যান্য সম্পদের বিরুদ্ধে সিমুলেটেড আক্রমণ শুরু করার জন্য পেন টেস্টারদের ভাড়া করে। জাল আক্রমণ মঞ্চায়ন করে, অনুপ্রবেশ পরীক্ষকরা সাহায্য করে সুরক্ষা দল গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা উন্মোচন এবং সামগ্রিক নিরাপত্তা ভঙ্গি উন্নত. এই আক্রমণগুলি প্রায়ই লাল দল, বা আক্রমণাত্মক নিরাপত্তা দল দ্বারা সঞ্চালিত হয়। দ্য লাল দল নিরাপত্তা ঝুঁকি মূল্যায়নের উপায় হিসেবে সংগঠনের নিজস্ব সিস্টেমের বিরুদ্ধে প্রকৃত আক্রমণকারীদের কৌশল, কৌশল এবং পদ্ধতি (TTPs) অনুকরণ করে।

পেন টেস্টিং প্রক্রিয়ায় প্রবেশ করার সাথে সাথে বিবেচনা করার জন্য বেশ কয়েকটি অনুপ্রবেশ পরীক্ষার পদ্ধতি রয়েছে। প্রতিষ্ঠানের পছন্দ নির্ভর করবে লক্ষ্য প্রতিষ্ঠানের ক্যাটাগরি, কলম পরীক্ষার লক্ষ্য এবং নিরাপত্তা পরীক্ষার সুযোগ। কোনো এক-আকার-ফিট-সব পদ্ধতি নেই। পেন টেস্টিং প্রক্রিয়ার আগে একটি ন্যায্য দুর্বলতা বিশ্লেষণ করার জন্য এটির জন্য একটি সংস্থার নিরাপত্তা সমস্যা এবং নিরাপত্তা নীতি বুঝতে হবে।

এক্স-ফোর্স থেকে পেন টেস্টিং ডেমো দেখুন

5 টপ পেনিট্রেশন টেস্টিং পদ্ধতি

কলম পরীক্ষা প্রক্রিয়ার প্রথম ধাপগুলির মধ্যে একটি হল কোন পদ্ধতি অনুসরণ করা হবে তা নির্ধারণ করা।

নীচে, আমরা স্টেকহোল্ডার এবং সংস্থাগুলিকে তাদের নির্দিষ্ট প্রয়োজনের জন্য সর্বোত্তম পদ্ধতিতে গাইড করতে এবং এটি সমস্ত প্রয়োজনীয় ক্ষেত্রগুলিকে কভার করে তা নিশ্চিত করতে সহায়তা করার জন্য সবচেয়ে জনপ্রিয় পাঁচটি অনুপ্রবেশ পরীক্ষার কাঠামো এবং পেন টেস্টিং পদ্ধতির মধ্যে ডুব দেব।

1. ওপেন সোর্স সিকিউরিটি টেস্টিং মেথডলজি ম্যানুয়াল

ওপেন-সোর্স সিকিউরিটি টেস্টিং মেথডলজি ম্যানুয়াল (OSSTMM) হল পেনিট্রেশন টেস্টিং এর অন্যতম জনপ্রিয় মান। এই পদ্ধতিটি নিরাপত্তা পরীক্ষার জন্য সমকক্ষ-পর্যালোচনা করা হয় এবং এটি ইনস্টিটিউট ফর সিকিউরিটি অ্যান্ড ওপেন মেথডোলজিস (ISECOM) দ্বারা তৈরি করা হয়েছে।

পদ্ধতিটি পরীক্ষকদের জন্য অ্যাক্সেসযোগ্য এবং অভিযোজিত গাইড সহ কলম পরীক্ষার একটি বৈজ্ঞানিক পদ্ধতির উপর ভিত্তি করে। OSSTMM মূল বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করে, যেমন একটি অপারেশনাল ফোকাস, চ্যানেল টেস্টিং, মেট্রিক্স এবং এর পদ্ধতিতে বিশ্বাস বিশ্লেষণ।

OSSTMM পেন টেস্টিং পেশাদারদের জন্য নেটওয়ার্ক অনুপ্রবেশ পরীক্ষা এবং দুর্বলতা মূল্যায়নের জন্য একটি কাঠামো প্রদান করে। সংবেদনশীল ডেটা এবং প্রমাণীকরণের আশেপাশের সমস্যাগুলির মতো দুর্বলতাগুলি খুঁজে পেতে এবং সমাধান করার জন্য এটি প্রদানকারীদের জন্য একটি কাঠামো হতে বোঝানো হয়েছে৷

2. ওয়েব অ্যাপ্লিকেশন নিরাপত্তা প্রকল্প খুলুন

OWASP, সংক্ষেপে ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট, একটি ওপেন সোর্স সংস্থা যা ওয়েব অ্যাপ্লিকেশন নিরাপত্তার জন্য নিবেদিত।

অলাভজনক সংস্থার লক্ষ্য হল এর সমস্ত উপাদান বিনামূল্যে এবং সহজেই অ্যাক্সেসযোগ্য করা যে কেউ তাদের নিজস্ব ওয়েব অ্যাপ্লিকেশন সুরক্ষা উন্নত করতে চায়৷ OWASP এর নিজস্ব আছে শীর্ষ 10 (লিঙ্ক এর বাইরে থাকে আইবিএম.কম), যা ওয়েব অ্যাপ্লিকেশনগুলির সবচেয়ে বড় নিরাপত্তা উদ্বেগ এবং ঝুঁকির রূপরেখা, যেমন ক্রস-সাইট স্ক্রিপ্টিং, ভাঙা প্রমাণীকরণ এবং ফায়ারওয়ালের পিছনে থাকা একটি ভালভাবে রক্ষণাবেক্ষণ করা রিপোর্ট৷ OWASP তার OWASP টেস্টিং গাইডের ভিত্তি হিসাবে শীর্ষ 10 তালিকা ব্যবহার করে। 

গাইডটি তিনটি ভাগে বিভক্ত: ওয়েব অ্যাপ্লিকেশন ডেভেলপমেন্টের জন্য OWASP টেস্টিং ফ্রেমওয়ার্ক, ওয়েব অ্যাপ্লিকেশন টেস্টিং পদ্ধতি এবং রিপোর্টিং। ওয়েব অ্যাপ্লিকেশন পদ্ধতি আলাদাভাবে বা ওয়েব অ্যাপ্লিকেশন অনুপ্রবেশ পরীক্ষা, মোবাইল অ্যাপ্লিকেশন অনুপ্রবেশ পরীক্ষা, API অনুপ্রবেশ পরীক্ষা, এবং IoT অনুপ্রবেশ পরীক্ষার জন্য ওয়েব পরীক্ষার কাঠামোর অংশ হিসাবে ব্যবহার করা যেতে পারে।

3. পেনিট্রেশন টেস্টিং এক্সিকিউশন স্ট্যান্ডার্ড

PTES, বা পেনিট্রেশন টেস্টিং এক্সিকিউশন স্ট্যান্ডার্ড, একটি ব্যাপক অনুপ্রবেশ পরীক্ষার পদ্ধতি।

পিটিইএস তথ্য সুরক্ষা পেশাদারদের একটি দল দ্বারা ডিজাইন করা হয়েছে এবং এটি কলম পরীক্ষার সমস্ত দিক কভার করে সাতটি প্রধান বিভাগ নিয়ে গঠিত। পিটিইএস-এর উদ্দেশ্য হল প্রযুক্তিগত দিকনির্দেশনা যাতে একটি অনুপ্রবেশ পরীক্ষা থেকে প্রতিষ্ঠানের কী আশা করা উচিত এবং প্রি-এনগেজমেন্ট পর্যায়ে শুরু করে পুরো প্রক্রিয়া জুড়ে তাদের গাইড করা।

PTES-এর লক্ষ্য হল অনুপ্রবেশ পরীক্ষার জন্য বেসলাইন হওয়া এবং নিরাপত্তা পেশাদার এবং সংস্থাগুলির জন্য একটি প্রমিত পদ্ধতি প্রদান করা। গাইড শুরু থেকে শেষ পর্যন্ত অনুপ্রবেশ পরীক্ষা প্রক্রিয়ার প্রতিটি পর্যায়ে সর্বোত্তম অনুশীলনের মতো বিভিন্ন সংস্থান সরবরাহ করে। PTES-এর কিছু মূল বৈশিষ্ট্য হল শোষণ এবং শোষণ পরবর্তী। শোষণ বলতে অনুপ্রবেশ কৌশলগুলির মাধ্যমে একটি সিস্টেমে অ্যাক্সেস লাভের প্রক্রিয়াকে বোঝায় যেমন সামাজিক প্রকৌশল এবং পাসওয়ার্ড ক্র্যাকিং। পোস্ট শোষণ হল যখন একটি আপসহীন সিস্টেম থেকে ডেটা বের করা হয় এবং অ্যাক্সেস বজায় রাখা হয়।

4. ইনফরমেশন সিস্টেম সিকিউরিটি অ্যাসেসমেন্ট ফ্রেমওয়ার্ক

ইনফরমেশন সিস্টেম সিকিউরিটি অ্যাসেসমেন্ট ফ্রেমওয়ার্ক (ISSAF) হল একটি কলম টেস্টিং ফ্রেমওয়ার্ক যা ইনফরমেশন সিস্টেম সিকিউরিটি গ্রুপ (OISSG) দ্বারা সমর্থিত।

এই পদ্ধতিটি আর রক্ষণাবেক্ষণ করা হয় না এবং সম্ভবত সবচেয়ে আপ-টু-ডেট তথ্যের জন্য সর্বোত্তম উৎস নয়। যাইহোক, এর প্রধান শক্তিগুলির মধ্যে একটি হল এটি নির্দিষ্ট কলম পরীক্ষার সরঞ্জামগুলির সাথে পৃথক কলম পরীক্ষার ধাপগুলিকে লিঙ্ক করে। এই ধরনের বিন্যাস একটি পৃথক পদ্ধতি তৈরি করার জন্য একটি ভাল ভিত্তি হতে পারে।

5. ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি  

এনআইএসটি, ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজির সংক্ষিপ্ত, একটি সাইবার নিরাপত্তা কাঠামো যা ফেডারেল সরকার এবং বাইরের সংস্থাগুলিকে অনুসরণ করার জন্য পেন পরীক্ষার মানগুলির একটি সেট প্রদান করে। NIST হল ইউএস ডিপার্টমেন্ট অফ কমার্সের মধ্যে একটি এজেন্সি এবং অনুসরণ করার জন্য সর্বনিম্ন মান হিসাবে বিবেচনা করা উচিত।

NIST অনুপ্রবেশ পরীক্ষা NIST দ্বারা প্রেরিত নির্দেশিকা অনুসারে সারিবদ্ধ। এই ধরনের নির্দেশিকা মেনে চলার জন্য, সংস্থাগুলিকে অবশ্যই নির্দেশিকাগুলির পূর্ব-নির্ধারিত সেট অনুসরণ করে অনুপ্রবেশ পরীক্ষা করতে হবে।

কলম পরীক্ষার পর্যায়

একটি সুযোগ সেট করুন

একটি কলম পরীক্ষা শুরু হওয়ার আগে, পরীক্ষাকারী দল এবং কোম্পানি পরীক্ষার জন্য একটি সুযোগ নির্ধারণ করে। কোন সিস্টেমগুলি পরীক্ষা করা হবে, কখন পরীক্ষা করা হবে এবং কলম পরীক্ষকরা যে পদ্ধতিগুলি ব্যবহার করতে পারে সে সুযোগটি রূপরেখা দেয়। কলম পরীক্ষকদের কাছে সময়ের আগে কত তথ্য থাকবে তাও স্কোপ নির্ধারণ করে।

পরীক্ষা শুরু করুন

পরবর্তী পদক্ষেপটি হবে স্কোপিং প্ল্যান পরীক্ষা করা এবং দুর্বলতা এবং কার্যকারিতা মূল্যায়ন করা। এই ধাপে, নেটওয়ার্ক এবং দুর্বলতা স্ক্যানিং সংস্থার পরিকাঠামো সম্পর্কে আরও ভালভাবে বোঝার জন্য করা যেতে পারে। অভ্যন্তরীণ পরীক্ষা এবং বাহ্যিক পরীক্ষা প্রতিষ্ঠানের প্রয়োজনের উপর নির্ভর করে করা যেতে পারে। ব্ল্যাক-বক্স পরীক্ষা, সাদা-বক্স পরীক্ষা, এবং ধূসর-বক্স পরীক্ষা সহ কলম পরীক্ষকরা বিভিন্ন ধরনের পরীক্ষা করতে পারেন। প্রতিটি লক্ষ্য সিস্টেম সম্পর্কে বিভিন্ন মাত্রার তথ্য প্রদান করে।

একবার নেটওয়ার্কের একটি ওভারভিউ প্রতিষ্ঠিত হলে, পরীক্ষকরা প্রদত্ত সুযোগের মধ্যে সিস্টেম এবং অ্যাপ্লিকেশনগুলি বিশ্লেষণ করা শুরু করতে পারেন। এই ধাপে, কলম পরীক্ষকরা কোনো ভুল কনফিগারেশন বোঝার জন্য যতটা সম্ভব তথ্য সংগ্রহ করছেন।

ফলাফলের উপর রিপোর্ট

চূড়ান্ত পদক্ষেপ হল রিপোর্ট এবং ডিব্রিফ। এই ধাপে, চিহ্নিত দুর্বলতাগুলির রূপরেখা দিয়ে পেন পরীক্ষার সমস্ত ফলাফল সহ একটি অনুপ্রবেশ পরীক্ষার প্রতিবেদন তৈরি করা গুরুত্বপূর্ণ। রিপোর্টে প্রশমনের জন্য একটি পরিকল্পনা এবং প্রতিকার না হলে সম্ভাব্য ঝুঁকি অন্তর্ভুক্ত করা উচিত।

পেন টেস্টিং এবং আইবিএম

আপনি সবকিছু পরীক্ষা করার চেষ্টা করলে, আপনি আপনার সময়, বাজেট এবং সম্পদ নষ্ট করবেন। ঐতিহাসিক ডেটা সহ একটি যোগাযোগ এবং সহযোগিতা প্ল্যাটফর্ম ব্যবহার করে, আপনি আপনার নিরাপত্তা পরীক্ষার প্রোগ্রাম অপ্টিমাইজ করতে উচ্চ-ঝুঁকিপূর্ণ নেটওয়ার্ক, অ্যাপ্লিকেশন, ডিভাইস এবং অন্যান্য সম্পদগুলিকে কেন্দ্রীভূত, পরিচালনা এবং অগ্রাধিকার দিতে পারেন। X-Force® রেড পোর্টালটি প্রতিকারের সাথে জড়িত প্রত্যেককে দুর্বলতা উন্মোচিত হওয়ার সাথে সাথে পরীক্ষার ফলাফল দেখতে এবং তাদের সুবিধামত নিরাপত্তা পরীক্ষার সময়সূচী করতে সক্ষম করে।

এক্স-ফোর্স থেকে নেটওয়ার্ক পেনিট্রেশন টেস্টিং পরিষেবাগুলি অন্বেষণ করুন৷