دخول کی جانچ کے طریقہ کار اور معیارات - IBM بلاگ

آن لائن جگہ تیزی سے بڑھ رہی ہے، جس سے کمپیوٹر سسٹم، نیٹ ورک، یا ویب ایپلیکیشن میں سائبر حملوں کے مزید مواقع پیدا ہو رہے ہیں۔ اس طرح کے خطرات کو کم کرنے اور ان کے لیے تیاری کرنے کے لیے، حفاظتی کمزوریوں کو تلاش کرنے کے لیے دخول کی جانچ ایک ضروری قدم ہے جسے حملہ آور استعمال کر سکتا ہے۔

دخول کی جانچ کیا ہے؟

A دخول ٹیسٹ، یا "پین ٹیسٹ،" ایک سیکیورٹی ٹیسٹ ہے جو کارروائی میں سائبر حملے کا مذاق اڑانے کے لیے چلایا جاتا ہے۔ اے سائبر حملے اس میں فشنگ کی کوشش یا نیٹ ورک سیکیورٹی سسٹم کی خلاف ورزی شامل ہوسکتی ہے۔ کسی تنظیم کے لیے دخول کی جانچ کی مختلف قسمیں دستیاب ہیں جو درکار حفاظتی کنٹرولز پر منحصر ہیں۔ ٹیسٹ کو دستی طور پر یا خودکار ٹولز کے ساتھ ایک مخصوص کورس آف ایکشن، یا قلم کی جانچ کے طریقہ کار کے ذریعے چلایا جا سکتا ہے۔

دخول کی جانچ کیوں اور کون ملوث ہے؟

شرائط "اخلاقی ہیکنگ"اور" دخول کی جانچ" کبھی کبھی ایک دوسرے کے بدلے استعمال ہوتی ہے، لیکن ایک فرق ہے۔ اخلاقی ہیکنگ ایک وسیع تر ہے۔ سائبر سیکورٹی فیلڈ جس میں نیٹ ورک سیکیورٹی کو بہتر بنانے کے لیے ہیکنگ کی مہارتوں کا کوئی بھی استعمال شامل ہے۔ دخول کے ٹیسٹ اخلاقی ہیکرز کے استعمال کردہ طریقوں میں سے صرف ایک ہیں۔ اخلاقی ہیکرز نقصان پہنچانے کی بجائے سیکیورٹی کی کمزوریوں کو ننگا کرنے اور ٹھیک کرنے کے لیے مالویئر تجزیہ، خطرے کی تشخیص، اور ہیکنگ کے دیگر ٹولز اور تکنیک بھی فراہم کر سکتے ہیں۔

آئی بی ایم کی ڈیٹا کی خلاف ورزی کی رپورٹ کی لاگت 2023 میں 2023 میں ڈیٹا کی خلاف ورزی کی عالمی اوسط لاگت USD 4.45 ملین پائی گئی، جو کہ 15 سالوں میں 3 فیصد زیادہ ہے۔ ان خلاف ورزیوں کو کم کرنے کا ایک طریقہ درست اور نوک دار دخول کی جانچ کرنا ہے۔

کمپنیاں اپنی ایپس، نیٹ ورکس اور دیگر اثاثوں کے خلاف نقلی حملے شروع کرنے کے لیے قلمی ٹیسٹرز کی خدمات حاصل کرتی ہیں۔ جعلی حملے کر کے، دخول ٹیسٹ کرنے والے مدد کرتے ہیں۔ سیکیورٹی ٹیمیں اہم حفاظتی کمزوریوں سے پردہ اٹھانا اور مجموعی طور پر حفاظتی کرنسی کو بہتر بنانا۔ یہ حملے اکثر سرخ ٹیموں، یا جارحانہ سیکیورٹی ٹیموں کے ذریعے کیے جاتے ہیں۔ دی سرخ ٹیم سیکیورٹی رسک کا اندازہ لگانے کے طریقے کے طور پر تنظیم کے اپنے نظام کے خلاف ایک حقیقی حملہ آور کی حکمت عملی، تکنیک اور طریقہ کار (TTPs) کی نقل کرتا ہے۔

قلم کی جانچ کے عمل میں داخل ہونے پر غور کرنے کے لیے دخول کی جانچ کے کئی طریقے ہیں۔ تنظیم کا انتخاب ہدف تنظیم کے زمرے، قلمی ٹیسٹ کے ہدف اور سیکیورٹی ٹیسٹ کے دائرہ کار پر منحصر ہوگا۔ کوئی ایک سائز کے فٹ ہونے والا طریقہ نہیں ہے۔ اس کے لیے ضروری ہے کہ ایک تنظیم اس کے سیکیورٹی مسائل اور سیکیورٹی پالیسی کو سمجھے تاکہ قلم کی جانچ کے عمل سے قبل ایک منصفانہ کمزوری کا تجزیہ ہو۔

X-Force سے قلم کی جانچ کے ڈیمو دیکھیں

5 سرفہرست رسائی کی جانچ کے طریقے

قلم کی جانچ کے عمل کے پہلے مراحل میں سے ایک یہ فیصلہ کرنا ہے کہ کس طریقہ کار پر عمل کرنا ہے۔

ذیل میں، ہم اسٹیک ہولڈرز اور تنظیموں کو ان کی مخصوص ضروریات کے لیے بہترین طریقہ کی رہنمائی کرنے میں مدد کرنے کے لیے دخول کی جانچ کے پانچ سب سے مشہور فریم ورک اور قلم کی جانچ کے طریقوں کا جائزہ لیں گے اور یہ یقینی بنائیں گے کہ یہ تمام مطلوبہ شعبوں کا احاطہ کرتا ہے۔

1. اوپن سورس سیکیورٹی ٹیسٹنگ میتھڈولوجی دستی

اوپن سورس سیکیورٹی ٹیسٹنگ میتھوڈولوجی مینول (OSSTMM) دخول کی جانچ کے سب سے مشہور معیارات میں سے ایک ہے۔ سیکیورٹی ٹیسٹنگ کے لیے اس طریقہ کار کا ہم مرتبہ جائزہ لیا جاتا ہے اور اسے انسٹی ٹیوٹ فار سیکیورٹی اینڈ اوپن میتھوڈولوجیز (ISECOM) نے بنایا تھا۔

یہ طریقہ ٹیسٹرز کے لیے قابل رسائی اور قابل موافق گائیڈز کے ساتھ قلم کی جانچ کے لیے سائنسی نقطہ نظر پر مبنی ہے۔ OSSTMM میں کلیدی خصوصیات شامل ہیں، جیسے آپریشنل فوکس، چینل ٹیسٹنگ، میٹرکس اور اس کے طریقہ کار میں اعتماد کا تجزیہ۔

OSSTMM قلم کی جانچ کرنے والے پیشہ ور افراد کے لیے نیٹ ورک پینیٹریشن ٹیسٹنگ اور کمزوری کی تشخیص کے لیے ایک فریم ورک فراہم کرتا ہے۔ یہ فراہم کنندگان کے لیے کمزوریوں کو تلاش کرنے اور حل کرنے کے لیے ایک فریم ورک ہے، جیسے کہ حساس ڈیٹا اور تصدیق سے متعلق مسائل۔

2. ویب ایپلیکیشن سیکیورٹی پروجیکٹ کھولیں۔

OWASP، اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ کے لیے مختصر، ایک اوپن سورس تنظیم ہے جو ویب ایپلیکیشن سیکیورٹی کے لیے وقف ہے۔

غیر منافع بخش تنظیم کا مقصد اپنے تمام مواد کو مفت اور آسانی سے قابل رسائی بنانا ہے ہر اس شخص کے لیے جو اپنی ویب ایپلیکیشن سیکیورٹی کو بہتر بنانا چاہتا ہے۔ OWASP کا اپنا ہے۔ اوپر 10 (لنک اس سے باہر رہتا ہے۔ ibm.com)، جو ایک اچھی طرح سے برقرار رکھنے والی رپورٹ ہے جس میں ویب ایپلیکیشنز کے سب سے بڑے سیکورٹی خدشات اور خطرات کا خاکہ پیش کیا گیا ہے، جیسے کراس سائٹ اسکرپٹنگ، ٹوٹی ہوئی تصدیق اور فائر وال کے پیچھے جانا۔ OWASP اپنی OWASP ٹیسٹنگ گائیڈ کی بنیاد کے طور پر ٹاپ 10 فہرست کا استعمال کرتا ہے۔ 

گائیڈ کو تین حصوں میں تقسیم کیا گیا ہے: ویب ایپلیکیشن ڈویلپمنٹ کے لیے OWASP ٹیسٹنگ فریم ورک، ویب ایپلیکیشن ٹیسٹنگ کا طریقہ کار اور رپورٹنگ۔ ویب ایپلیکیشن کے طریقہ کار کو الگ سے یا ویب ایپلیکیشن پینیٹریشن ٹیسٹنگ، موبائل ایپلیکیشن پینیٹریشن ٹیسٹنگ، API پینیٹریشن ٹیسٹنگ، اور IoT پینیٹریشن ٹیسٹنگ کے لیے ویب ٹیسٹنگ فریم ورک کے ایک حصے کے طور پر استعمال کیا جا سکتا ہے۔

3. دخول ٹیسٹنگ عمل درآمد کا معیار

پی ٹی ای ایس، یا پینیٹریشن ٹیسٹنگ ایگزیکیوشن اسٹینڈرڈ، دخول کی جانچ کا ایک جامع طریقہ ہے۔

PTES کو انفارمیشن سیکیورٹی پروفیشنلز کی ایک ٹیم نے ڈیزائن کیا تھا اور یہ سات اہم حصوں پر مشتمل ہے جس میں قلم کی جانچ کے تمام پہلوؤں کا احاطہ کیا گیا ہے۔ پی ٹی ای ایس کا مقصد تکنیکی رہنما خطوط کا خاکہ بنانا ہے کہ تنظیموں کو دخول ٹیسٹ سے کیا توقع رکھنی چاہیے اور اس پورے عمل میں ان کی رہنمائی کرنا ہے، پہلے سے مصروفیت کے مرحلے سے۔

پی ٹی ای ایس کا مقصد دخول کے ٹیسٹ کے لیے بنیادی لائن بننا اور سیکیورٹی پیشہ ور افراد اور تنظیموں کے لیے معیاری طریقہ کار فراہم کرنا ہے۔ گائیڈ وسائل کی ایک رینج فراہم کرتا ہے، جیسے دخول کی جانچ کے عمل کے ہر مرحلے میں شروع سے لے کر اختتام تک بہترین عمل۔ PTES کی کچھ اہم خصوصیات استحصال اور بعد از استحصال ہیں۔ استحصال سے مراد دخول کی تکنیکوں کے ذریعے نظام تک رسائی حاصل کرنے کا عمل ہے جیسے سماجی انجینئرنگ اور پاس ورڈ کریکنگ۔ پوسٹ استحصال تب ہوتا ہے جب ڈیٹا کو کسی سمجھوتہ شدہ نظام سے نکالا جاتا ہے اور رسائی کو برقرار رکھا جاتا ہے۔

4. انفارمیشن سسٹم سیکیورٹی اسسمنٹ فریم ورک

انفارمیشن سسٹم سیکیورٹی اسسمنٹ فریم ورک (ISSAF) ایک قلمی جانچ کا فریم ورک ہے جسے انفارمیشن سسٹم سیکیورٹی گروپ (OISSG) کے ذریعے سپورٹ کیا جاتا ہے۔

یہ طریقہ کار اب برقرار نہیں ہے اور ممکنہ طور پر تازہ ترین معلومات کے لیے بہترین ذریعہ نہیں ہے۔ تاہم، اس کی اہم طاقتوں میں سے ایک یہ ہے کہ یہ قلم کی جانچ کے انفرادی مراحل کو مخصوص قلم کی جانچ کے آلات سے جوڑتا ہے۔ اس قسم کی شکل انفرادی طریقہ کار بنانے کے لیے ایک اچھی بنیاد ہو سکتی ہے۔

5. نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی  

NIST، نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی کے لیے مختصر، ایک سائبر سیکیورٹی فریم ورک ہے جو وفاقی حکومت اور باہر کی تنظیموں کو پیروی کرنے کے لیے قلم کی جانچ کے معیارات کا ایک سیٹ فراہم کرتا ہے۔ NIST امریکی محکمہ تجارت کے اندر ایک ایجنسی ہے اور اسے پیروی کرنے کے لیے کم از کم معیار سمجھا جانا چاہیے۔

NIST دخول کی جانچ NIST کی طرف سے بھیجی گئی رہنمائی کے مطابق ہے۔ اس طرح کی رہنمائی کی تعمیل کرنے کے لیے، تنظیموں کو پہلے سے طے شدہ رہنما خطوط کے مطابق دخول کے ٹیسٹ کرنا چاہیے۔

قلم کی جانچ کے مراحل

ایک دائرہ کار طے کریں۔

قلمی ٹیسٹ شروع ہونے سے پہلے، ٹیسٹنگ ٹیم اور کمپنی نے ٹیسٹ کے لیے ایک گنجائش مقرر کی۔ دائرہ کار اس بات کا خاکہ پیش کرتا ہے کہ کون سے سسٹمز کی جانچ کی جائے گی، ٹیسٹنگ کب ہوگی، اور قلم ٹیسٹ کرنے والے کون سے طریقے استعمال کر سکتے ہیں۔ دائرہ کار یہ بھی طے کرتا ہے کہ قلمی جانچ کرنے والوں کے پاس وقت سے پہلے کتنی معلومات ہوں گی۔

ٹیسٹ شروع کریں۔

اگلا مرحلہ اسکوپنگ پلان کی جانچ کرنا اور کمزوریوں اور فعالیت کا جائزہ لینا ہوگا۔ اس مرحلے میں، تنظیم کے بنیادی ڈھانچے کی بہتر تفہیم حاصل کرنے کے لیے نیٹ ورک اور کمزوری کی اسکیننگ کی جا سکتی ہے۔ اندرونی جانچ اور بیرونی جانچ تنظیم کی ضروریات کے مطابق کی جا سکتی ہے۔ قلم کے ٹیسٹ کرنے والے مختلف قسم کے ٹیسٹ کر سکتے ہیں، بشمول بلیک باکس ٹیسٹ، وائٹ باکس ٹیسٹ، اور گرے باکس ٹیسٹ۔ ہر ایک ہدف کے نظام کے بارے میں مختلف درجات کی معلومات فراہم کرتا ہے۔

نیٹ ورک کا ایک جائزہ قائم ہونے کے بعد، ٹیسٹرز دیئے گئے دائرہ کار میں سسٹم اور ایپلی کیشنز کا تجزیہ کرنا شروع کر سکتے ہیں۔ اس مرحلے میں، قلم کی جانچ کرنے والے کسی بھی غلط کنفیگریشن کو سمجھنے کے لیے زیادہ سے زیادہ معلومات اکٹھا کر رہے ہیں۔

نتائج پر رپورٹ

آخری مرحلہ رپورٹ اور ڈیبریف ہے۔ اس مرحلے میں، یہ ضروری ہے کہ دخول کی جانچ کی رپورٹ تیار کی جائے جس میں قلمی ٹیسٹ کے تمام نتائج کی نشاندہی کی گئی کمزوریوں کی نشاندہی کی گئی ہو۔ رپورٹ میں تخفیف کے لیے ایک منصوبہ اور تدارک نہ ہونے کی صورت میں ممکنہ خطرات کو شامل کیا جانا چاہیے۔

قلم کی جانچ اور IBM

اگر آپ ہر چیز کو جانچنے کی کوشش کرتے ہیں، تو آپ اپنا وقت، بجٹ اور وسائل ضائع کریں گے۔ تاریخی ڈیٹا کے ساتھ ایک مواصلات اور تعاون کے پلیٹ فارم کا استعمال کرتے ہوئے، آپ اپنے سیکیورٹی ٹیسٹنگ پروگرام کو بہتر بنانے کے لیے ہائی رسک نیٹ ورکس، ایپلیکیشنز، ڈیوائسز اور دیگر اثاثوں کو مرکزی، منظم اور ترجیح دے سکتے ہیں۔ X-Force® ریڈ پورٹل اس قابل بناتا ہے کہ تدارک میں شامل ہر شخص کو کمزوریوں کے سامنے آنے کے فوراً بعد ٹیسٹ کے نتائج دیکھنے اور اپنی سہولت کے مطابق سیکیورٹی ٹیسٹوں کا شیڈول بناتا ہے۔

X-Force سے نیٹ ورک پینیٹریشن ٹیسٹنگ سروسز کو دریافت کریں۔