The Penetration Testing हैकरों द्वारा वेब अनुप्रयोगों पर मैलवेयर के हमलों के समाधान के साथ-साथ कमजोरियों, खतरों और जोखिमों की खोज के लिए एक स्थापित तकनीक है। इस तरह का परीक्षण महत्वपूर्ण है क्योंकि एक सफल हमले से इंटरप्राइजेज और ऍप्लिकेशन्स के उपयोगकर्ता को जबरदस्त नुकसान हो सकता है।
Security testing एक गुणवत्ता आश्वासन प्रक्रिया का एक महत्वपूर्ण पहलू बन गया है। सॉफ्टवेयर कमजोरियों का फायदा उठाने के लिए साइबर स्पेस में दुबके हुए malicious की संख्या को देखते हुए, QA teams को ऐसे कमजोरी की पहचान करने और उन्हें संबोधित करने के बारे में प्रेरित किया जाना चाहिए। penetration testing शायद सुरक्षा परीक्षण का सबसे सहायक तरीका है जब किसी एप्लीकेशन की संरचना और प्लगिंग की बात आती है। Penetration testing आपके ऍप्लिकेशन्स के कमजोरियों के लिए परीक्षण करने की विधि है।
Penetration Testing क्या है?
Penetration Testing का मुख्य उद्देश्य एक सॉफ्टवेयर अनुप्रयोग, नेटवर्क या वेब अनुप्रयोग में सुरक्षा कमजोरियों, खतरों और जोखिमों की पहचान करना है जो एक हमलावर अनुचित लाभ (exploit) उठा सकता है। सरल शब्दों में, इस परीक्षण का मुख्य विचार हैकर्स जैसे बाहरी लोगों के महत्वपूर्ण डेटा को सुरक्षित करना है, जो ऍप्लिकेशन्स तक अवैध पहुंच प्राप्त कर सकते हैं और संवेदनशील जानकारी तक पहुंचने के लिए ऐप का फायदा उठाना यदि किसी भी तरह इसके भीतर कमजोरियों को पहचाना जाता है। Penetration Testing को कभी-कभी white hat attacks भी कहा जाता है।
Penetration Testing के प्रकार
Penetration Testing के प्रकार स्कोप ऑफ़ आर्गेनाईजेशन वर्क और उसके उद्देश्य और दायरे पर निर्भर करता है, और चाहे वह किसी कर्मचारी, नेटवर्क व्यवस्थापक या बाहरी स्रोतों द्वारा हमले का अनुकरण करना चाहता हो।
आम तौर पर, तीन अलग-अलग प्रकार के penetration testing होते हैं।
1. Black box testing
2. White box testing
3. Grey box testing
1. Black box testing के मामले में, testers को ऍप्लिकेशन्स के बारे में अधिक जानकारी प्रदान नहीं होती है। वे परीक्षण करते हैं और लक्ष्य नेटवर्क, सिस्टम या एप्लिकेशन के बारे में जानकारी एकत्र करना जिम्मेदारी होती है।
2.White box testing में, परीक्षकों को source code, OS details आदि के साथ-साथ नेटवर्क सिस्टम या एप्लीकेशन के बारे में सभी जानकारी मिलती है, इसे internal sources द्वारा हमले का अनुकरण माना जा सकता है।
3. Grey box testing में, परीक्षक को एप्लीकेशन या सिस्टम के बारे में पार्शियल नॉलेज होता है। इस प्रकार, यह एक बाहरी हैकर द्वारा एक हमले का अनुकरण माना जा सकता है की जिसने आर्गेनाईजेशन नेटवर्क के बुनियादी ढांचे के दस्तावेजों तक illegitimate access प्राप्त की है।
Penetration Testing का उद्देश्य
पेन टेस्ट का मुख्य लक्ष्य आर्गेनाईजेशन की सिक्योरिटी पोस्चर में कमजोर स्थानों की पहचान करना है और साथ ही इसकी सुरक्षा नीति के अनुपालन को मापना, सुरक्षा मुद्दों के बारे में कर्मचारियों की जागरूकता का परीक्षण करना और यह निर्धारित करना है कि आर्गेनाईजेशन कितना कमजोर है, सिक्योरिटी डिसास्टर्स के लिए।
पेन टेस्ट किसी कंपनी की सुरक्षा नीतियों की कमजोरियों को भी उजागर कर सकता है। उदाहरण के लिए, हालांकि एक सिक्योरिटी पॉलिसी एक एंट्रेप्रिसेस सिस्टम पर हमले को रोकने और पता लगाने पर केंद्रित है जो पॉलिसी में एक हैकर को निष्कासित(expel) करने की प्रक्रिया शामिल नहीं हो सकती है।
Penetration Testing Process
Planning और Reconnaissance
पेनेट्रेशन टेस्टिंग के शुरुआती चरण में योजना और Reconnaissance शामिल है। इसमें परीक्षण के दायरे और उद्देश्यों को परिभाषित करना, लक्ष्य प्रणाली पर खुफिया जानकारी इकट्ठा करना और हमले के लिए संभावित entry points की पहचान करना शामिल है।
Scanning
स्कैनिंग चरण में, परीक्षक लक्ष्य प्रणाली के भीतर खुले पोर्ट, चल रही सेवाओं और संभावित कमजोरियों की पहचान करने के लिए विभिन्न उपकरणों का उपयोग करते हैं। यह जानकारी एक प्रभावी हमले की रणनीति विकसित करने के लिए महत्वपूर्ण है।
Gaining Access
इस चरण के दौरान, परीक्षक लक्ष्य प्रणाली तक पहुँच प्राप्त करने के लिए पहचानी गई कमजोरियों का फायदा उठाने का प्रयास करते हैं। इसमें सिस्टम की सुरक्षा में सेंध लगाने के लिए सॉफ़्टवेयर बग, गलत कॉन्फ़िगरेशन या कमज़ोर पासवर्ड का फायदा उठाना शामिल हो सकता है।
Maintaining Access
एक बार पहुँच प्राप्त हो जाने के बाद, परीक्षक एक लंबे हमले का अनुकरण करने के लिए सिस्टम के भीतर अपनी उपस्थिति बनाए रखने का प्रयास करते हैं। यह संभावित नुकसान की पहचान करने में मदद करता है जो लगातार हमलावर द्वारा किया जा सकता है।
Analysis and Reporting
अंतिम चरण में पेनेट्रेशन टेस्ट के परिणामों का विश्लेषण करना और एक विस्तृत रिपोर्ट तैयार करना शामिल है। रिपोर्ट में पहचानी गई कमजोरियों, उनका फायदा उठाने के लिए इस्तेमाल की गई विधियों और सिस्टम की सुरक्षा बढ़ाने के लिए उपचार की सिफारिशों का विवरण दिया गया है।
Penetration Testing की आवश्यकता
Penetration Testing वास्तविक दुनिया के परिदृश्य में आपके मौजूदा सुरक्षा नियंत्रणों की प्रभावशीलता का आकलन करता है, जब एक कुशल मानव सक्रिय रूप से हैक करने की कोशिश करता है, जबकि कुछ साइबर सुरक्षा मुद्दों की पहचान करने के लिए ऑटोमेटेड टेस्टिंग करना सही penetration testing व्यवसाय की vulnerability को मैनुअल हमले से बचाना है। आखिरकार, bad एक्टर्स अपने हमलों को नहीं रोकते हैं क्योंकि स्टैण्डर्ड ऑटोमेटेड टेस्ट एक vulnerability की पहचान नहीं करता है।
लगातार ऑटोमेटेड और मैनुअल परीक्षण determine इंफ्रास्ट्रक्चर, सॉफ्टवेयर, शारीरिक और यहां तक कि कर्मियों की कमजोरी को निर्धारित कर सकते हैं और आपके व्यवसाय को मजबूत नियंत्रण विकसित करने में मदद कर सकते हैं। एक ही कारण के लिए आप एक annual wellness की जांच के लिए एक स्वास्थ्य सेवा प्रदाता के पास जाते हैं, यह आपके सिक्योरिटी टेस्टिंग को पूरा करने के लिए उच्च प्रशिक्षित सुरक्षा सलाहकारों की ओर रुख करता है। जब आप कह सकते हैं कि आप पूरी तरह से स्वस्थ हैं, तो डॉक्टर यह जांचने के लिए कुछ परीक्षण चलाएंगे कि क्या अगर कोई खतरा है तो आप अभी भी जागरूक हो सकते हैं।
इसी तरह, जो लोग आपके security program को जोड़े रखते हैं, वे इसे डेली बेसिस पर बनाए रखते हैं और उसका पालन करते हैं। उनके पास सुरक्षा संबंधी खामियों की पहचान करने के लिए आपके आर्गेनाईजेशन के लिए जोखिम स्तर को समझने और पते की मदद करने और महत्वपूर्ण मुद्दों को ठीक करने के लिए सुरक्षा दोष की आवश्यकता नहीं हो सकती है।
Penetration क्यों जरुरी है? इसके उद्देश्य और प्रकार के बारे में आप ने पढ़ा। यह टॉपिक पर सरल भाषा में बताने की हमारी कोशिश आपको कैसी लगी वो आप कमेंट करे और कुछ सुझाव होगा तो जरूर बताये। धन्यवाद !