प्रवेश परीक्षण पद्धतियाँ और मानक - आईबीएम ब्लॉग

ऑनलाइन स्थान तेजी से बढ़ रहा है, जिससे कंप्यूटर सिस्टम, नेटवर्क या वेब एप्लिकेशन के भीतर साइबर हमलों के अधिक अवसर खुल रहे हैं। ऐसे जोखिमों को कम करने और उनके लिए तैयारी करने के लिए, सुरक्षा कमजोरियों का पता लगाने के लिए प्रवेश परीक्षण एक आवश्यक कदम है जिसका उपयोग एक हमलावर कर सकता है।

पैठ परीक्षण क्या है?

A प्रवेश परीक्षा, या "पेन टेस्ट", एक सुरक्षा परीक्षण है जो कार्रवाई में साइबर हमले का मजाक उड़ाने के लिए चलाया जाता है। ए साइबर हमले का इसमें फ़िशिंग प्रयास या नेटवर्क सुरक्षा प्रणाली का उल्लंघन शामिल हो सकता है। आवश्यक सुरक्षा नियंत्रणों के आधार पर किसी संगठन के लिए विभिन्न प्रकार के प्रवेश परीक्षण उपलब्ध हैं। परीक्षण को कार्रवाई के एक विशिष्ट पाठ्यक्रम, या पेन परीक्षण पद्धति के लेंस के माध्यम से मैन्युअल रूप से या स्वचालित उपकरणों के साथ चलाया जा सकता है।

प्रवेश परीक्षण क्यों और इसमें कौन शामिल है?

शर्तें "नैतिक हैकिंग" और "प्रवेश परीक्षण" का प्रयोग कभी-कभी एक दूसरे के स्थान पर किया जाता है, लेकिन इनमें अंतर है। एथिकल हैकिंग व्यापक है साइबर सुरक्षा वह क्षेत्र जिसमें नेटवर्क सुरक्षा में सुधार के लिए हैकिंग कौशल का कोई भी उपयोग शामिल है। पेनेट्रेशन परीक्षण एथिकल हैकर्स द्वारा उपयोग की जाने वाली विधियों में से एक है। एथिकल हैकर नुकसान पहुंचाने के बजाय सुरक्षा कमजोरियों को उजागर करने और ठीक करने के लिए मैलवेयर विश्लेषण, जोखिम मूल्यांकन और अन्य हैकिंग टूल और तकनीक भी प्रदान कर सकते हैं।

आईबीएम की डेटा ब्रीच रिपोर्ट की लागत 2023 में डेटा उल्लंघन की वैश्विक औसत लागत 2023 मिलियन अमेरिकी डॉलर पाई गई, जो 4.45 वर्षों में 15% की वृद्धि है। इन उल्लंघनों को कम करने का एक तरीका सटीक और सटीक प्रवेश परीक्षण करना है।

कंपनियां अपने ऐप्स, नेटवर्क और अन्य परिसंपत्तियों के खिलाफ नकली हमले शुरू करने के लिए पेन परीक्षकों को नियुक्त करती हैं। नकली हमलों का मंचन करके, प्रवेश परीक्षक मदद करते हैं सुरक्षा दल महत्वपूर्ण सुरक्षा कमजोरियों को उजागर करें और समग्र सुरक्षा स्थिति में सुधार करें। ये हमले अक्सर लाल टीमों, या आक्रामक सुरक्षा टीमों द्वारा किए जाते हैं। लाल समूह सुरक्षा जोखिम का आकलन करने के तरीके के रूप में संगठन की अपनी प्रणाली के विरुद्ध वास्तविक हमलावरों की रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) का अनुकरण करता है।

पेन परीक्षण प्रक्रिया में प्रवेश करते समय आपको कई प्रवेश परीक्षण पद्धतियों पर विचार करना होगा। संगठन की पसंद लक्ष्य संगठन की श्रेणी, पेन परीक्षण के लक्ष्य और सुरक्षा परीक्षण के दायरे पर निर्भर करेगी। कोई एक आकार-सभी के लिए उपयुक्त दृष्टिकोण नहीं है। पेन परीक्षण प्रक्रिया से पहले निष्पक्ष भेद्यता विश्लेषण के लिए एक संगठन को अपने सुरक्षा मुद्दों और सुरक्षा नीति को समझने की आवश्यकता होती है।

एक्स-फोर्स से पेन परीक्षण डेमो देखें

5 शीर्ष प्रवेश परीक्षण पद्धतियाँ

पेन परीक्षण प्रक्रिया के पहले चरणों में से एक यह तय करना है कि किस पद्धति का पालन किया जाए।

नीचे, हम हितधारकों और संगठनों को उनकी विशिष्ट आवश्यकताओं के लिए सर्वोत्तम विधि के लिए मार्गदर्शन करने में मदद करने के लिए सबसे लोकप्रिय प्रवेश परीक्षण ढांचे और पेन परीक्षण पद्धतियों में से पांच में गोता लगाएंगे और यह सुनिश्चित करेंगे कि यह सभी आवश्यक क्षेत्रों को कवर करता है।

1. ओपन-सोर्स सुरक्षा परीक्षण पद्धति मैनुअल

ओपन-सोर्स सुरक्षा परीक्षण पद्धति मैनुअल (ओएसएसटीएमएम) प्रवेश परीक्षण के सबसे लोकप्रिय मानकों में से एक है। इस पद्धति की सुरक्षा परीक्षण के लिए सहकर्मी-समीक्षा की गई है और इसे इंस्टीट्यूट फॉर सिक्योरिटी एंड ओपन मेथडोलॉजीज़ (ISECOM) द्वारा बनाया गया था।

यह विधि परीक्षकों के लिए सुलभ और अनुकूलनीय गाइड के साथ पेन परीक्षण के वैज्ञानिक दृष्टिकोण पर आधारित है। ओएसएसटीएमएम में इसकी कार्यप्रणाली में परिचालन फोकस, चैनल परीक्षण, मेट्रिक्स और ट्रस्ट विश्लेषण जैसी प्रमुख विशेषताएं शामिल हैं।

ओएसएसटीएमएम पेन परीक्षण पेशेवरों के लिए नेटवर्क प्रवेश परीक्षण और भेद्यता मूल्यांकन के लिए एक रूपरेखा प्रदान करता है। इसका उद्देश्य प्रदाताओं के लिए संवेदनशील डेटा और प्रमाणीकरण से संबंधित मुद्दों जैसी कमजोरियों को खोजने और हल करने के लिए एक रूपरेखा है।

2. वेब एप्लिकेशन सुरक्षा प्रोजेक्ट खोलें

OWASP, ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट का संक्षिप्त रूप, एक ओपन-सोर्स संगठन है जो वेब एप्लिकेशन सुरक्षा के लिए समर्पित है।

गैर-लाभकारी संगठन का लक्ष्य अपनी सभी सामग्री को निःशुल्क और उन लोगों के लिए आसानी से सुलभ बनाना है जो अपने स्वयं के वेब एप्लिकेशन सुरक्षा में सुधार करना चाहते हैं। OWASP का अपना है शीर्ष 10 (लिंक बाहर रहता है आईबीएम.कॉम), जो एक सुव्यवस्थित रिपोर्ट है जो वेब अनुप्रयोगों के लिए सबसे बड़ी सुरक्षा चिंताओं और जोखिमों को रेखांकित करती है, जैसे क्रॉस-साइट स्क्रिप्टिंग, टूटा हुआ प्रमाणीकरण और फ़ायरवॉल के पीछे रहना। OWASP अपने OWASP परीक्षण गाइड के आधार के रूप में शीर्ष 10 सूची का उपयोग करता है। 

गाइड को तीन भागों में विभाजित किया गया है: वेब एप्लिकेशन विकास के लिए OWASP परीक्षण ढांचा, वेब एप्लिकेशन परीक्षण पद्धति और रिपोर्टिंग। वेब एप्लिकेशन कार्यप्रणाली का उपयोग वेब एप्लिकेशन प्रवेश परीक्षण, मोबाइल एप्लिकेशन प्रवेश परीक्षण, एपीआई प्रवेश परीक्षण और IoT प्रवेश परीक्षण के लिए अलग से या वेब परीक्षण ढांचे के एक भाग के रूप में किया जा सकता है।

3. प्रवेश परीक्षण निष्पादन मानक

पीटीईएस, या प्रवेश परीक्षण निष्पादन मानक, एक व्यापक प्रवेश परीक्षण विधि है।

पीटीईएस को सूचना सुरक्षा पेशेवरों की एक टीम द्वारा डिजाइन किया गया था और यह पेन परीक्षण के सभी पहलुओं को कवर करने वाले सात मुख्य वर्गों से बना है। पीटीईएस का उद्देश्य यह बताने के लिए तकनीकी दिशानिर्देश बनाना है कि संगठनों को प्रवेश परीक्षण से क्या अपेक्षा करनी चाहिए और प्री-एंगेजमेंट चरण से शुरू होने वाली पूरी प्रक्रिया में उनका मार्गदर्शन करना है।

पीटीईएस का लक्ष्य प्रवेश परीक्षणों के लिए आधार रेखा बनना और सुरक्षा पेशेवरों और संगठनों के लिए एक मानकीकृत पद्धति प्रदान करना है। गाइड शुरू से अंत तक प्रवेश परीक्षण प्रक्रिया के प्रत्येक चरण में सर्वोत्तम प्रथाओं जैसे संसाधनों की एक श्रृंखला प्रदान करता है। पीटीईएस की कुछ प्रमुख विशेषताएं शोषण और शोषण के बाद हैं। शोषण से तात्पर्य पैठ तकनीकों के माध्यम से किसी सिस्टम तक पहुंच प्राप्त करने की प्रक्रिया से है सोशल इंजीनियरिंग और पासवर्ड क्रैक करना। पोस्ट शोषण तब होता है जब किसी समझौता किए गए सिस्टम से डेटा निकाला जाता है और पहुंच बनाए रखी जाती है।

4. सूचना प्रणाली सुरक्षा मूल्यांकन ढांचा

सूचना प्रणाली सुरक्षा मूल्यांकन ढांचा (आईएसएसएएफ) सूचना प्रणाली सुरक्षा समूह (ओआईएसएसजी) द्वारा समर्थित एक पेन परीक्षण ढांचा है।

यह पद्धति अब कायम नहीं है और संभवतः नवीनतम जानकारी के लिए यह सबसे अच्छा स्रोत नहीं है। हालाँकि, इसकी एक मुख्य ताकत यह है कि यह व्यक्तिगत पेन परीक्षण चरणों को विशिष्ट पेन परीक्षण उपकरणों से जोड़ता है। इस प्रकार का प्रारूप व्यक्तिगत कार्यप्रणाली बनाने के लिए एक अच्छा आधार हो सकता है।

5. राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान  

एनआईएसटी, नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी का संक्षिप्त रूप, एक साइबर सुरक्षा ढांचा है जो संघीय सरकार और बाहरी संगठनों को पालन करने के लिए पेन परीक्षण मानकों का एक सेट प्रदान करता है। एनआईएसटी अमेरिकी वाणिज्य विभाग के अंतर्गत एक एजेंसी है और इसे पालन करने के लिए न्यूनतम मानक माना जाना चाहिए।

एनआईएसटी प्रवेश परीक्षण एनआईएसटी द्वारा भेजे गए मार्गदर्शन के अनुरूप है। ऐसे मार्गदर्शन का अनुपालन करने के लिए, संगठनों को दिशानिर्देशों के पूर्व-निर्धारित सेट का पालन करते हुए प्रवेश परीक्षण करना होगा।

कलम परीक्षण चरण

एक दायरा निर्धारित करें

पेन परीक्षण शुरू होने से पहले, परीक्षण टीम और कंपनी परीक्षण के लिए एक दायरा निर्धारित करते हैं। दायरा यह बताता है कि किन प्रणालियों का परीक्षण किया जाएगा, परीक्षण कब होगा और पेन परीक्षक किन तरीकों का उपयोग कर सकते हैं। दायरा यह भी निर्धारित करता है कि पेन परीक्षकों के पास समय से पहले कितनी जानकारी होगी।

परीक्षण प्रारंभ करें

अगला कदम स्कोपिंग योजना का परीक्षण करना और कमजोरियों और कार्यक्षमता का आकलन करना होगा। इस चरण में, संगठन के बुनियादी ढांचे की बेहतर समझ प्राप्त करने के लिए नेटवर्क और भेद्यता स्कैनिंग की जा सकती है। संगठन की आवश्यकताओं के आधार पर आंतरिक परीक्षण और बाह्य परीक्षण किया जा सकता है। पेन परीक्षक कई प्रकार के परीक्षण कर सकते हैं, जिनमें ब्लैक-बॉक्स परीक्षण, व्हाइट-बॉक्स परीक्षण और ग्रे-बॉक्स परीक्षण शामिल हैं। प्रत्येक लक्ष्य प्रणाली के बारे में अलग-अलग स्तर की जानकारी प्रदान करता है।

एक बार नेटवर्क का अवलोकन स्थापित हो जाने पर, परीक्षक दिए गए दायरे के भीतर सिस्टम और अनुप्रयोगों का विश्लेषण शुरू कर सकते हैं। इस चरण में, पेन परीक्षक किसी भी गलत कॉन्फ़िगरेशन को समझने के लिए यथासंभव अधिक जानकारी एकत्र कर रहे हैं।

निष्कर्षों पर रिपोर्ट करें

अंतिम चरण रिपोर्ट करना और विस्तृत जानकारी देना है। इस चरण में, पहचानी गई कमजोरियों को रेखांकित करते हुए पेन परीक्षण के सभी निष्कर्षों के साथ एक प्रवेश परीक्षण रिपोर्ट विकसित करना महत्वपूर्ण है। रिपोर्ट में शमन की योजना और उपाय न होने पर संभावित जोखिम शामिल होने चाहिए।

पेन परीक्षण और आईबीएम

यदि आप हर चीज़ का परीक्षण करने का प्रयास करेंगे, तो आप अपना समय, बजट और संसाधन बर्बाद करेंगे। ऐतिहासिक डेटा के साथ संचार और सहयोग मंच का उपयोग करके, आप अपने सुरक्षा परीक्षण कार्यक्रम को अनुकूलित करने के लिए उच्च जोखिम वाले नेटवर्क, एप्लिकेशन, डिवाइस और अन्य संपत्तियों को केंद्रीकृत, प्रबंधित और प्राथमिकता दे सकते हैं। एक्स-फोर्स® रेड पोर्टल कमजोरियों के उजागर होने के तुरंत बाद परीक्षण के निष्कर्षों को देखने और उनकी सुविधानुसार सुरक्षा परीक्षणों को शेड्यूल करने में सुधार में शामिल प्रत्येक व्यक्ति को सक्षम बनाता है।

एक्स-फोर्स से नेटवर्क प्रवेश परीक्षण सेवाओं का अन्वेषण करें