सुरक्षा परीक्षण क्या है? उदाहरण

सुरक्षा परीक्षण क्या है?

सुरक्षा परीक्षण का एक प्रकार है सॉफ्टवेयर परिक्षण यह परीक्षण किसी एप्लिकेशन में मौजूद कमियों, खतरों और जोखिमों को उजागर करता है और घुसपैठियों द्वारा किए जाने वाले दुर्भावनापूर्ण हमलों को रोकता है। सुरक्षा परीक्षणों का उद्देश्य सिस्टम में मौजूद हर खामी और कमजोरी की पहचान करना है, जिससे अंदरूनी या बाहरी लोगों द्वारा सूचना, राजस्व या प्रतिष्ठा की हानि हो सकती है।

सुरक्षा परीक्षण क्यों महत्वपूर्ण है?

सुरक्षा परीक्षण का मुख्य उद्देश्य सिस्टम में मौजूद खतरों की पहचान करना और उनके संभावित प्रभाव का आकलन करना है, ताकि इन खतरों को कम किया जा सके और सिस्टम सुरक्षित रूप से काम करता रहे। सुरक्षा परीक्षण हर संभव जोखिम का पता लगाते हैं और डेवलपर्स को तैनाती से पहले कोड में समस्याओं को ठीक करने के लिए उपयोगी जानकारी प्रदान करते हैं।

सॉफ़्टवेयर परीक्षण में सुरक्षा परीक्षण के प्रकार

ओपन सोर्स सिक्योरिटी टेस्टिंग मेथोडोलॉजी मैनुअल (OSSTMM) के अनुसार, सुरक्षा परीक्षण के सात प्राथमिक प्रकार हैं।

• भेद्यता स्कैनिंग: स्वचालित सॉफ्टवेयर ज्ञात भेद्यता संकेतों के आधार पर सिस्टम को स्कैन करता है।
• सुरक्षा स्कैनिंग: नेटवर्क और सिस्टम की कमियों की पहचान करता है और उनके समाधान सुझाता है। यह मैन्युअल, स्वचालित या दोनों तरह से किया जा सकता है।
• भेदन परीक्षण: यह एक दुर्भावनापूर्ण हमले का अनुकरण करता है ताकि उन कमजोरियों का पता लगाया जा सके जिनका फायदा कोई बाहरी हमलावर उठा सकता है।
• जोखिम का मूल्यांकन: संगठन में देखे गए सुरक्षा जोखिमों का विश्लेषण करता है और उन्हें निम्न, मध्यम या उच्च के रूप में वर्गीकृत करता है, साथ ही नियंत्रणों की सिफारिश करता है।
• सुरक्षा लेखा परीक्षा: आवेदनों का आंतरिक निरीक्षण और ऑपरेटिंग सिस्टम सुरक्षा खामियों के लिए। इसमें कोड की पंक्ति-दर-पंक्ति समीक्षा शामिल हो सकती है।
• नैतिक हैकिंग: किसी संगठन के सॉफ्टवेयर को अधिकृत रूप से हैक करके सुरक्षा खामियों को उजागर करना - दुर्भावनापूर्ण हैकरों के इरादे के बिल्कुल विपरीत है।
• आसन मूल्यांकन: सुरक्षा स्कैनिंग को संयोजित करता है, नैतिक हैकिंगऔर जोखिम मूल्यांकन किसी संगठन की समग्र सुरक्षा स्थिति को दर्शाता है।

सुरक्षा परीक्षण कैसे करें

यह सर्वविदित है कि सुरक्षा खामी का पता जितनी देर से चलता है, उसे ठीक करने की लागत उतनी ही तेजी से बढ़ती है। सुरक्षा परीक्षण तैनाती के बाद तक इसे जारी रखना, इसे शुरू से ही एसडीएलसी में शामिल करने की तुलना में कहीं अधिक महंगा है।

नीचे दी गई तालिका सुरक्षा गतिविधियों को एसडीएलसी के प्रत्येक चरण से जोड़ती है।

सुरक्षा परीक्षण योजना में निम्नलिखित शामिल होने चाहिए:

• सुरक्षा संबंधी परीक्षण मामले और परिदृश्य।
• सुरक्षा परीक्षण के लिए डिज़ाइन किया गया परीक्षण डेटा।
• प्रत्येक सुरक्षा गतिविधि के लिए आवश्यक परीक्षण उपकरण।
• विभिन्न सुरक्षा उपकरणों से प्राप्त परिणामों का विश्लेषण।

सुरक्षा परीक्षण के लिए उदाहरण परीक्षण परिदृश्य

नीचे दी गई सूची विशिष्ट सुरक्षा परीक्षण मामलों की एक झलक प्रस्तुत करती है।

• पासवर्ड एन्क्रिप्टेड रूप में संग्रहीत किए जाते हैं, कभी भी सादे टेक्स्ट में नहीं।
• एप्लिकेशन या सिस्टम अमान्य उपयोगकर्ताओं को ब्लॉक कर देता है।
• प्रत्येक वर्कफ़्लो के लिए कुकीज़ और सेशन टाइमआउट की पुष्टि की जाती है।
• वित्तीय वेबसाइटों के लिए, ब्राउज़र का बैक बटन लॉगआउट के बाद संरक्षित पृष्ठों को प्रदर्शित नहीं करना चाहिए।

सुरक्षा परीक्षण के लिए कार्यप्रणाली और तकनीकें

सुरक्षा परीक्षण कई स्थापित पद्धतियों का पालन करता है।

• टाइगर Box: यह परीक्षण कई ऑपरेटिंग सिस्टम और हैकिंग टूल्स से लैस लैपटॉप से ​​किया गया। इसका उपयोग पेनिट्रेशन टेस्टर्स द्वारा कमजोरियों का आकलन करने और हमले करने के लिए किया जाता है।
• काली Box: परीक्षक को नेटवर्क टोपोलॉजी या प्रौद्योगिकी स्टैक की कोई आंतरिक जानकारी नहीं होती है और वह सिस्टम की जांच एक बाहरी व्यक्ति की तरह करता है।
• ग्रे Box: परीक्षक को सिस्टम के बारे में आंशिक जानकारी प्राप्त होती है। व्हाइट-बॉक्स और ब्लैक-बॉक्स तकनीकों का यह मिश्रण एक वास्तविक खतरे के मॉडल को दर्शाता है, जिसमें कुछ विवरण लीक हो गए हैं।

सुरक्षा परीक्षण भूमिकाएँ

• हैकर: किसी कंप्यूटर सिस्टम या नेटवर्क तक पहुँचने वाले व्यक्ति के लिए इस्तेमाल किया जाने वाला सामान्य शब्द - आजकल आमतौर पर इसका उपयोग उन ब्लैक-हैट हैकर्स के लिए किया जाता है जो बिना अनुमति के ऐसा करते हैं।
• पटाखा: डेटा चुराने या नष्ट करने के लिए सिस्टम में सेंध लगाना।
• नैतिक हैकर: यह व्यक्ति हैकर की तरह ही गतिविधियाँ करता है, लेकिन मालिक की स्पष्ट अनुमति से।ping व्यवस्था को मजबूत बनाने के लिए।
• स्क्रिप्ट किडीज़ / पैकेट मंकीज़: सीमित प्रोग्रामिंग ज्ञान वाले अनुभवहीन हमलावर जो पहले से निर्मित स्क्रिप्ट और उपकरणों पर निर्भर रहते हैं।

सुरक्षा परीक्षण उपकरण

1) Teramind

Teramind यह आंतरिक खतरों की रोकथाम और कर्मचारी निगरानी के लिए एक व्यापक समाधान प्रदान करता है। यह व्यवहार विश्लेषण और डेटा हानि रोकथाम के माध्यम से सुरक्षा बढ़ाता है, अनुपालन सुनिश्चित करता है और व्यावसायिक प्रक्रियाओं को अनुकूलित करता है। इसका अनुकूलन योग्य प्लेटफ़ॉर्म विभिन्न संगठनात्मक आवश्यकताओं के अनुरूप है, जो उत्पादकता बढ़ाने और डेटा अखंडता की सुरक्षा पर केंद्रित उपयोगी अंतर्दृष्टि प्रदान करता है।

विशेषताएं:

• अंदरूनी खतरे की रोकथाम: उपयोगकर्ता की उन गतिविधियों का पता लगाता है और उन्हें रोकता है जो डेटा के लिए अंदरूनी खतरों का संकेत हो सकती हैं।
• व्यावसायिक प्रक्रिया अनुकूलन: परिचालन प्रक्रियाओं को परिष्कृत करने के लिए डेटा-आधारित व्यवहार विश्लेषण का उपयोग करता है।
• कार्यबल उत्पादकता: उत्पादकता, सुरक्षा और अनुपालन संबंधी व्यवहारों की निगरानी करता है।
• अनुपालन प्रबंधन: यह एक ही स्केलेबल समाधान से अनुपालन का प्रबंधन करता है, जो छोटे व्यवसायों, उद्यमों और सरकारी एजेंसियों के लिए उपयुक्त है।
• घटना फोरेंसिक: यह घटना की प्रतिक्रिया, जांच और खतरे की खुफिया जानकारी को समृद्ध करने के लिए साक्ष्य प्रदान करता है।
• डेटा खोने की रोकथाम: संवेदनशील डेटा के नुकसान की निगरानी करता है और उससे सुरक्षा प्रदान करता है।
• कर्मचारी निगरानी: Tracकेएस कर्मचारी प्रदर्शन और गतिविधियाँ।
• व्यवहार विश्लेषण: यह विश्लेषण उपयोगकर्ता के ऐप व्यवहार से संबंधित बारीक डेटा का उपयोग करके महत्वपूर्ण जानकारी प्राप्त करता है।
• अनुकूलित निगरानी सेटिंग्स: यह निगरानी नियमों को विशिष्ट उपयोग मामलों के अनुरूप बनाने की अनुमति देता है।
• डैशबोर्ड अंतर्दृष्टि: एक व्यापक डैशबोर्ड के माध्यम से स्पष्टता और कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

visit Teramind >>

2) ओडब्ल्यूएएसपी

RSI वेब एप्लिकेशन सुरक्षा प्रोजेक्ट (OWASP) खोलें यह एक वैश्विक गैर-लाभकारी संस्था है जो सॉफ्टवेयर सुरक्षा में सुधार के लिए समर्पित है। यह परियोजना विभिन्न सॉफ्टवेयर वातावरणों और प्रोटोकॉल के लिए पेन-टेस्टिंग हेतु कई उपकरण उपलब्ध कराती है। इसके प्रमुख उपकरणों में शामिल हैं:

1. ज़ेड अटैक प्रॉक्सी (ZAP) — एक एकीकृत पेनिट्रेशन टेस्टिंग टूल।
2. OWASP निर्भरता-जांच — यह प्रोजेक्ट की निर्भरताओं को ज्ञात कमजोरियों के विरुद्ध स्कैन करता है।
3. OWASP वेब परीक्षण वातावरण परियोजना सुरक्षा उपकरणों और दस्तावेज़ों का एक चुनिंदा संग्रह।

3) Wireshark

Wireshark यह एक नेटवर्क विश्लेषण उपकरण है जिसे पहले एथेरियल के नाम से जाना जाता था। यह पैकेट को वास्तविक समय में कैप्चर करता है और उन्हें मानव-पठनीय प्रारूप में प्रदर्शित करता है। Wireshark यह ओपन सोर्स है और लिनक्स पर चलता है। Windows, macOS, SolarisNetBSD, FreeBSD और कई अन्य सिस्टमों पर काम करता है। डेटा को ग्राफिकल यूजर इंटरफेस (GUI) या TShark कमांड-लाइन यूटिलिटी के माध्यम से देखा जा सकता है।

4) w3af

w3af यह एक वेब एप्लिकेशन अटैक और ऑडिट फ्रेमवर्क है। इसमें तीन प्लग-इन श्रेणियां हैं - डिस्कवरी, ऑडिट और अटैक - जो आपस में संवाद करती हैं। डिस्कवरी प्लग-इन परीक्षण के लिए यूआरएल खोजता है, उन्हें ऑडिट प्लग-इन को भेजता है, जो कमजोरियों की जांच करता है, और फिर अटैक प्लग-इन उनका फायदा उठाने का प्रयास करता है।

सुरक्षा परीक्षण के मिथक और तथ्य

कई प्रचलित भ्रांतियाँ सुरक्षा कार्यक्रमों की गति धीमी कर देती हैं। नीचे दी गई सूची में प्रत्येक भ्रांति को उससे जुड़े तथ्य के साथ प्रस्तुत किया गया है।

मिथक #1: छोटे व्यवसायों को सुरक्षा नीति की आवश्यकता नहीं होती है।
तथ्य: हर व्यक्ति और हर कंपनी को एक सुरक्षा नीति की आवश्यकता होती है।

मिथक #2: सुरक्षा परीक्षण में निवेश पर कोई प्रतिफल नहीं मिलता।
तथ्य: सुरक्षा परीक्षण उन क्षेत्रों को उजागर करता है जिनमें सुधार की गुंजाइश होती है, जिससे दक्षता बढ़ती है, डाउनटाइम कम होता है और अधिकतम थ्रूपुट प्राप्त होता है।

मिथक #3: सुरक्षित रहने का एकमात्र तरीका सिस्टम को अनप्लग करना है।
तथ्य: व्यावहारिक सुरक्षा व्यावसायिक, कानूनी और औद्योगिक आवश्यकताओं के अनुरूप दृष्टिकोण मूल्यांकन से प्राप्त होती है - न कि नेटवर्क को डिस्कनेक्ट करने से।

मिथक #4: अधिक सॉफ्टवेयर या हार्डवेयर खरीदने से व्यवसाय सुरक्षित रहेगा।
तथ्य: उपकरण रणनीति का विकल्प नहीं हैं। पहले खतरे के परिदृश्य को समझें, फिर उपयुक्त नियंत्रणों का चयन करें।

अक्सर पूछे जाने वाले प्रश्न