Hugbúnaður er tryggt að hafa villur. Það geta verið mörg þúsund línur af kóða í hugbúnaði og mannleg mistök þýðir að að minnsta kosti sumar þeirra verða ekki heilar eins og ætlað er. Lífsferill hugbúnaðarþróunar er ferli sem ætlað er að reyna að lágmarka þessi vandamál með því að prófa reglulega.
Vandamálið er að prófanir eru oft gerðar af forriturum, sem kunna að hafa lært hvernig á að kóða eitthvað en hafa kannski ekki lært örugga kóðunaraðferðir. Jafnvel í vandlega prófuðum kerfum getur það hjálpað til við að bera kennsl á ný vandamál að hafa utanaðkomandi áhorfendur og koma með nýtt sjónarhorn.
Algeng leið til að gera þetta er með skarpskyggniprófi, venjulega stytt í pentest. Þetta felur í sér að fá faglegan, siðferðilegan tölvuþrjóta, pentester, til að skoða kerfið og finna öll öryggisvandamál.
Ábending: Það er „pentest“ og „pentester,“ ekki „pennapróf“. Pentester prófar ekki penna. „Pennapróf“ er aðeins ásættanlegra en „pennapróf“ en almennt ætti að forðast það líka.
Markmið hvers kyns pentest er að bera kennsl á alla öryggisveikleika í kerfinu sem verið er að prófa og tilkynna þeim til viðskiptavinarins. Venjulega eru verkefnin þó nokkuð tímabundin miðað við kostnað. Ef fyrirtæki er með innri pentester eða pentest teymi geta þeir starfað varanlega fyrir fyrirtækið. Samt eru mörg fyrirtæki með mælikvarða fyrir það með breitt safn kerfa sem þarf að prófa. Um er að ræða bæði vörur sem seldar eru og viðskiptakerfi fyrirtækisins.
Sem slíkir geta þeir ekki eytt öllum tíma sínum í að prófa eitt. Mörg fyrirtæki kjósa að ráða utanaðkomandi prófunarfyrirtæki til að framkvæma trúlofunina. Þetta er enn tímabundið miðað við kostnað. Kostnaðurinn er knúinn áfram af því að pentest er mjög handvirkt ferli og að hæfileikar eru af skornum skammti.
Venjulega mun pentest vera miðað við ákveðinn tímaramma. Þetta er gert út frá viðkomandi skotmarki og hversu langan tíma það ætti að taka að vera sæmilega öruggur um að hafa fundið allt. Tímalínan til að finna veikleika er almennt bjöllukúrfa. Ekki er mikið að finna samstundis þegar pentesterinn lítur í kringum sig í umsókninni. Þá er hægt að ná fram langflestum niðurstöðum innan ákveðins tímakvarða áður en það minnkar. Á einhverjum tímapunkti er kostnaðurinn við að eyða meiri tíma í að leita ekki þess virði að það sé ekki neitt annað að finna.
Stundum er jafnvel uppgefið verð fyrir ráðlagðan tíma of mikið. Í þessu tilviki gæti prófið verið „tímabox“. Þetta er þar sem viðskiptavinurinn samþykkir að þeir séu ekki að prófa eins mikið og mælt er með en vill að pentesters geri það besta sem þeir geta á styttri tíma. Venjulega er þetta innifalið sem fyrirvari í skýrslunni.
Sum verkfæri eru tiltæk til að framkvæma öryggisprófun sjálfkrafa. Þetta getur verið gagnlegt. Hins vegar eru þeir oft með hátt hlutfall falskt jákvætt og rangt neikvætt. Þetta þýðir að þú verður að eyða tíma í að grafa í gegnum að sannreyna mál, vitandi að það gæti ekki verið alhliða. Flest þessara verkfæra leita að sérstökum vísbendingum, svo sem þekktum viðkvæmum útgáfum hugbúnaðar eða þekktum viðkvæmum aðgerðum. Hins vegar eru margar leiðir til að þetta séu ekki raunveruleg vandamál eða milduð í reynd.
Öryggisveikleikar geta komið saman úr fullt af að því er virðist saklausum hlutum. Besta leiðin til að koma auga á þetta er með handvirku mannlegu átaki. Pentesters nota verkfæri en vita hvernig á að túlka niðurstöðurnar, sannreyna þær handvirkt og framkvæma sjálfstæðar handvirkar aðgerðir. Þetta handvirka átak skilur pentest frá varnarleysisskönnun eða varnarleysismati.
Venjulega felur pentest í sér að prófa heila vöru eins og hún væri notuð. Helst gerist þetta í raunverulegu framleiðsluumhverfi. Hins vegar er þetta ekki alltaf praktískt. Í fyrsta lagi er óttinn við að pentest geti slegið markið utan nets. Almennt séð er þessi ótti í meginatriðum ástæðulaus. Pentests mynda almennt ekki of mikla netumferð, kannski jafngildi nokkrum auka virkum notendum. Pentesters munu heldur ekki vísvitandi prófa vandamál vegna afneitun-af-þjónustu, sérstaklega í framleiðsluumhverfi. Þess í stað munu þeir venjulega tilkynna um grun um afneitun-af-þjónustu vandamál til að leyfa viðskiptavinum að rannsaka það sjálfur.
Að auki er vert að hafa í huga að ef kerfið er tengt við internetið er það stöðugt háð „ókeypis pentests“ frá alvöru svarthatta tölvuþrjótum og vélmennum þeirra. Önnur ástæða til að forðast framleiðsluumhverfi eru persónuverndarvandamál með lifandi notendagögnum. Pentesters eru siðferðilegir tölvuþrjótar samkvæmt NDAs og samningum, en ef prófunarumhverfi er til og er svipað er hægt að nota það.
Ábending: „ókeypis pentest“ er grín leið til að vísa til þess að verða fyrir árás svartra hatta á netinu.
Pentests er hægt að framkvæma gegn í rauninni hvaða tæknikerfi sem er. Vefsíður og netuppbygging eru algengustu tegundir prófa. Þú færð líka API próf, „þykkan biðlara“ próf, farsímapróf, vélbúnaðarpróf og fleira.
Raunhæft eru phishing, OSINT og Red Team æfingar tengdar en aðeins öðruvísi. Þú ert líklega meðvitaður um hættuna á vefveiðum. Sum próf fela í sér prófun til að sjá hvernig starfsmenn bregðast við phishing tölvupósti. Með því að fylgjast með hvernig notendur hafa samskipti – eða gera það ekki – við phisha er hægt að læra hvernig á að sérsníða framtíðar phishing þjálfun.
OSINT stendur fyrir Open Source Intelligence. OSINT próf snýst um að skafa opinberar upplýsingar til að sjá hvernig hægt er að safna dýrmætum gögnum og hvernig hægt er að nota þau. Þetta felur oft í sér að búa til lista yfir starfsmenn frá stöðum eins og LinkedIn og vefsíðu fyrirtækisins. Þetta getur gert árásarmanni kleift að bera kennsl á háttsettar persónur sem gætu verið gott skotmark fyrir spjótveiðiárás, vefveiðar sérstaklega sniðnar að einstökum viðtakanda.
Rauður liðsþátttaka er venjulega mun ítarlegri og getur falið í sér nokkra eða alla aðra þætti. Það getur einnig falið í sér að prófa líkamlegt öryggi og fylgja öryggisstefnu. Á stefnuhlið málsins snýst þetta um félagslega verkfræði. Það er að reyna að sannfæra þig inn í bygginguna. Þetta getur verið eins einfalt og að hanga á reykingarsvæðinu og koma aftur inn með reykingafólkinu eftir reykhlé.
Það getur verið að gefa sig út fyrir að vera embættismaður eða biðja einhvern um að útvega þér hurð á meðan þú ert með kaffibollabakka. Á líkamlegu öryggishliðinni getur það jafnvel falið í sér að reyna að brjótast inn líkamlega, prófa umfang myndavélar, gæði læsinga og þess háttar. Rauða teymið taka venjulega til hóps fólks og geta keyrt yfir miklu lengri tímakvarða en venjulegar pentests.
Æfing með rauðu liði kann að virðast minna siðferðileg en hefðbundin pentest. Prófandinn er virkur að bráð á grunlausum starfsmönnum. Lykillinn er að þeir hafi leyfi frá forystu fyrirtækisins, venjulega frá stjórnarstigi. Þetta er eina ástæðan fyrir því að það er í lagi fyrir rauðan liðsmann að reyna að brjótast inn. Ekkert leyfir það þó að vera ofbeldisfullt. Æfing með rauðu liði mun aldrei reyna að skaða eða yfirbuga öryggisvörð, framhjá þeim eða plata hann.
Til að koma í veg fyrir að rauði liðsmaðurinn verði handtekinn munu þeir almennt bera undirritaðan samning með undirskriftum stjórnarmanna sem samþykkja. Ef þeir eru veiddir er hægt að nota þetta til að sanna að þeir hafi haft leyfi. Auðvitað, stundum, er þetta notað sem tvöfaldur bluff. Rauði liðsmaðurinn getur haft tvo leyfisseðla, einn raunverulegan og annan falsa.
Þegar þeir eru gripnir afhenda þeir upphaflega falsa leyfisseðilinn til að sjá hvort þeir geti sannfært öryggið um að það sé lögmætt, jafnvel þó svo sé ekki. Í því skyni mun það oft nota raunveruleg nöfn stjórnar fyrirtækisins en innihalda staðfestingarsímanúmer sem fer til annars rauðs liðsmanns sem er upplýstur um að staðfesta forsíðusöguna. Ef öryggið sér í gegnum þetta, þá er hinn raunverulegi leyfisseðill afhentur. Þetta gæti þá þó verið meðhöndlað af miklum tortryggni.
Það fer eftir því hvernig rauði liðsmaðurinn náðist, þá gæti verið hægt að halda prófinu áfram, að því gefnu að þeir hafi farið framhjá einstaka öryggisverðinum sem hefur náð þeim. Hins vegar er mögulegt að auðkenni prófandans gæti verið „blásið“, sem í rauninni fjarlægir hann úr frekari prófunum í eigin persónu. Á þessum tímapunkti getur annar liðsmaður skipt um með eða án þess að upplýsa öryggi.
Pentest er þátttaka þar sem fagmaður í netöryggi er beðinn um að prófa öryggi tölvukerfis. Prófið felur í sér að leita handvirkt að og sannreyna tilvist veikleika. Hægt er að nota sjálfvirk verkfæri sem hluta af þessu. Í lok prófsins er lögð fram skýrsla þar sem greint er frá vandamálum sem fundust og veita ráðgjöf um úrbætur.
Það er mikilvægt að þessi skýrsla sé ekki bara sjálfvirk framleiðsla frá tæki heldur hafi hún öll verið handvirkt prófuð og staðfest. Hægt er að prófa hvaða tölvukerfi, vélbúnað, net, forrit eða tæki sem er. Færni sem þarf fyrir hvern og einn er breytileg en er oft viðbót.
Chrome, sjálfgefið, sýnir þér ekki alla vefslóðina. Þér er kannski sama um þessi smáatriði, en ef þú þarft af einhverjum ástæðum að birta alla vefslóðina, nákvæmar leiðbeiningar um hvernig á að láta Google Chrome birta alla vefslóðina á veffangastikunni.
Reddit breytti hönnun sinni enn og aftur í janúar 2024. Endurhönnunin er hægt að sjá af notendum skjáborðsvafra og þrengir að aðalstraumnum á sama tíma og tenglar eru til staðar.
Að slá uppáhalds tilvitnunina þína úr bókinni þinni á Facebook er tímafrekt og fullt af villum. Lærðu hvernig á að nota Google Lens til að afrita texta úr bókum yfir í tækin þín.
Áminningar hafa alltaf verið aðal hápunktur Google Home. Þeir gera líf okkar örugglega auðveldara. Við skulum fara í stutta skoðunarferð um hvernig á að búa til áminningar á Google Home svo að þú missir aldrei af því að sinna mikilvægum erindum.
Stundum, þegar þú ert að vinna í Chrome, geturðu ekki fengið aðgang að ákveðnum vefsíðum og færð upp villuna „Laga DNS vistfang netþjóns fannst ekki í Chrome“. Hér er hvernig þú getur leyst málið.
Hvernig á að breyta lykilorðinu þínu á Netflix streymisvídeóþjónustunni með því að nota valinn vafra eða Android app.
Ef þú vilt losna við endurheimta síður skilaboðin á Microsoft Edge skaltu einfaldlega loka vafranum eða ýta á Escape takkann.
Djúptenging er vinsæl tilvísunartækni notenda. Lærðu um djúptengingar hér til að nota þær til að auka umferð á vefsíðuna þína eða app.
AR er næsta stóra hlutur internetsins fyrir skemmtun, vinnu eða viðskipti. Lærðu AR ský í smáatriðum til að verða upplýstur notandi.
Notaðu Microsoft Edge Drop og deildu skrám og skilaboðum auðveldlega á milli tækja með því að fylgja þessum byrjendavænu skrefum.
