✍🏼 🃏 🍬 किसी भी पंचक (बुरी सलाह) को सफलतापूर्वक कैसे पास करें ✅ 💪🏾 🎰

यदि आपको तत्काल एक कीट का संचालन करने की आवश्यकता है,
जबकि आप एक बलात्कार प्राप्त नहीं करना चाहते हैं,
तो जल्दी से आपके लिए तैयार किए गए
अद्भुत सुझावों की सूची देखें - यह निश्चित रूप से आपको बचाएगा।

इस पोस्ट को विनोदी तरीके से लिखा गया है कि यहां तक कि पंचों को भी , जिनका काम दिलचस्प और आकर्षक होना चाहिए, अत्यधिक नौकरशाही और ग्राहक की बेचैनी से पीड़ित हो सकते हैं।

एक स्थिति की कल्पना करें: आप एक सूचना सुरक्षा विशेषज्ञ हैं और आप जानते हैं कि आपके द्वारा बनाई गई सुरक्षा पूरी तरह से बकवास है। शायद आप यह नहीं जानते हैं, लेकिन आप वास्तव में जांच नहीं करना चाहते हैं, क्योंकि कौन आराम क्षेत्र छोड़ना चाहता है और इसके अतिरिक्त कुछ करना, सुरक्षात्मक उपकरण पेश करना, जोखिम कम करना और बजट की रिपोर्ट करना चाहता है?

अचानक, आपके दूर के राज्य में, आपके तीसवें राज्य में, आपकी इच्छा के खिलाफ एक दीन का आचरण करने की आवश्यकता है, उदाहरण के लिए, अधिकारियों को कुछ अजीब हो गया है, या एक नई विधायी आवश्यकता सामने आई है। यह आपके लिए स्पष्ट है कि "शरश्किन कार्यालय" खोजना सार्थक है, जो काम की नकल करेगा और लिखेगा कि सब कुछ ठीक है और मामला खत्म हो गया है, लेकिन स्थिति अधिक जटिल होती जा रही है। आपकी कंपनी एक प्रतियोगिता खेलने और इसे यथासंभव कुशलता से करने का निर्णय लेती है: एक उचित तकनीकी विनिर्देश लिखें, पेंटेस्टर टीम पर उच्च मांगें प्रस्तुत करें (प्रमाण पत्र, बग बाउंटी में भागीदारी), आदि। सामान्य तौर पर, उन्होंने आपके लिए सब कुछ किया, और आपकी जिम्मेदारी केवल काम की देखरेख करना है।

इसलिए, टीम को पता चला, अनुबंध पर हस्ताक्षर किए गए थे, विशेषज्ञों ने आस्तीन के काम नहीं करने के बाद एक कीट का संचालन करने के लिए राजी किया। स्मार्ट लोग, वे सोमवार को काम शुरू करेंगे और आपकी सूचना सुरक्षा को विस्फोट कर देंगे, जिसके बाद आप एक टोपी को पकड़ लेंगे और आपकी अक्षमता का खुलासा हो जाएगा। स्थिति आपको सबसे अधिक निराशाजनक लगती है, लेकिन वहाँ यह था! इस सिरदर्द को कम करने या कम से कम करने के लिए कुछ बुरे सुझाव दिए गए हैं।

टिप 1: प्रत्येक चरण का समन्वय करें

सब कुछ कोऑर्डिनेट करें: जो उपकरण पेंटेस्टर का उपयोग कर सकते हैं, वे किन हमलों का संचालन करेंगे, यह आपके आईएस सिस्टम के लिए क्या जोखिम होगा। और भी बेहतर, प्रत्येक दिन के लिए विस्तृत (लगभग प्रति घंटा) परीक्षण योजना का अनुरोध करें। बाकी का आश्वासन दिया: Pentesters तुमसे नफरत करेंगे। उन्हें लगता है कि उनके पास रचनात्मक काम है, लेकिन आप उन्हें बताएंगे कि काम के तुच्छ प्रदर्शन के अलावा उनके लिए कुछ भी आवश्यक नहीं है। और याद रखें: आपका हथियार समय है, हर कदम पर जितना संभव हो सके समन्वय को खींचें। इस तथ्य के साथ इसका कारण है कि आपके पास एक बड़ी कंपनी है, और आपको बहुत सी स्वीकृतियां प्राप्त करने की आवश्यकता है: सिस्टम मालिकों से, आईटी से, सुरक्षा अधिकारियों से, आदि। यहां तक कि अगर कोई नहीं है, तो आप कुछ को अलंकृत कर सकते हैं।

क्या यह असली था?

हां, एक बड़ा और परिपक्व व्यवसाय, और विशेष रूप से प्रभावी प्रबंधक, इसे स्वयं नहीं करना चाहते हैं, अनुमोदन के साथ बहुत बार चलते हैं ताकि यह पूरी टीम को ध्वस्त कर दे। लोगों के पास काम करने के लिए "ड्राइव" नहीं है, रचनात्मक होने की इच्छा है और वास्तव में कुछ हैक करना है। यह विशेष रूप से अजीब है, जब केवल "विशेषाधिकारों का उन्नयन" चरण एक विशिष्ट सर्वर पर 15:00 से 18:00 तक सहमत है (यह इतना आसान और प्राकृतिक है)।

टिप 2: अधिक प्रतिबंध जोड़ें

प्रदर्शन किए गए कार्यों पर प्रतिबंध जोड़ें: एक साथ स्कैन की संख्या से, अनुमत आईपी पते से, ऑपरेशन से और स्वीकार्य हमलों से। सबनेट से यादृच्छिक आईपी पते को स्कैन न करें, इसे महत्वपूर्ण व्यावसायिक प्रक्रियाओं को बाधित करने के जोखिम के रूप में समझाते हैं। या, इसके विपरीत, केवल कुछ पतों को स्कैन करने की अनुमति दें और दावा करें कि सबनेट में से किसी एक को स्कैन करने के परिणामों को अन्य सभी को एक्सट्रपलेशन किया जा सकता है।

क्या यह असली था?

आंतरिक प्रायः पर बहुत बार, सभी स्थानीय सबनेट्स (192.168 / 16, 172.16 / 12, 10/8) के माध्यम से पेंटर को जाने की अनुमति देने के बजाय, ग्राहकों को उस होस्ट, उस सबनेट और इस सेगमेंट को बाहर करने के लिए कहा जाता है: "यहां आपको केवल एक परीक्षण करने की आवश्यकता है 500 मेजबान विशिष्ट के रूप में, और ये केवल शाम 5 बजे से 9 बजे तक होस्ट करते हैं - प्रति मेजबान प्रति 300 से अधिक टीसीपी सत्र नहीं। " तथ्य यह है कि काम 5 दिनों के लिए डिज़ाइन किया गया है, किसी को परेशान नहीं करता है। कलाकार के लिए, यह बहुत ही भयानक लगता है: आप सामान्य स्वचालन नहीं कर सकते, आपको लगातार निगरानी रखने की आवश्यकता है कि उपकरण अनुमत सीमाओं से परे न हों, और आपको सभी उपकरणों के लिए "बैसाखी" का एक गुच्छा मोड़ना होगा। कहीं स्कैन करते समय और सेवाओं की सूची एकत्र करते हुए, यह पता चलता है कि शेर का उस समय का हिस्सा पहले ही खर्च हो चुका है। इसके अलावा, आपके द्वारा देखे जाने वाले नेटवर्क पर विकास के दौरान: यहाँ यह है - एक सेवा,जिसे माना जाता है कि उसका विशेषाधिकार प्राप्त खाता है ... लेकिन उसे स्कैन से बाहर रखा गया था।

टिप 3: अधिक रिपोर्टिंग के लिए पूछें

संरेखण पहले से ही चर्चा की गई है, लेकिन रिपोर्टिंग के बारे में क्या? लोगों को शांति से काम करने और अंत में एक रिपोर्ट प्रदान करने में सक्षम करने के लिए? नहीं! रिपोर्ट हर हफ्ते, दिन, आधे दिन का अनुरोध करें। पिछले वर्षों के नकारात्मक अनुभवों और उस प्रक्रिया को नियंत्रित करने की इच्छा का संदर्भ लें जिसके लिए उन्होंने भुगतान किया था। वाह, यह "पहियों में लाठी कैसे डालता है।"

क्या यह असली था?

ऐसा अक्सर होता है। 5 मिनट के बाद भी, वे कंधे के पीछे से संपर्क करना शुरू करते हैं और पूछते हैं: "ठीक है, क्या वह पहले से ही हैक किया गया है?" मैसेंजर में, काम की स्थिति हर घंटे खींची जाती है, और दिन के अंत तक वे मैनुअल के लिए अंतिम परिणाम की प्रतीक्षा कर रहे हैं, खूबसूरती से एक वर्ड दस्तावेज़ में डिज़ाइन किया गया है। नतीजतन, विशेषज्ञ एक रिपोर्ट लिखने के तरीके पर ध्यान केंद्रित करता है, न कि परीक्षण की गुणवत्ता पर।

टिप 4: ट्रैफ़िक डंप रिकॉर्ड करने और स्क्रीन लिखने के लिए कहें

इसके अतिरिक्त, स्क्रीन को रिकॉर्ड करने और नेटवर्क ट्रैफ़िक को डंप करने के लिए पेंटर्स की आवश्यकता होती है। इसे सही ठहराएं क्योंकि आपको गोपनीय जानकारी लीक करने या पिछले दरवाजे को छोड़ने की चिंता है।

क्या यह असली था?

कुछ ग्राहक पैरानॉयड मोड को चालू करते हैं और आपके द्वारा उठाए जाने वाले प्रत्येक कदम को नियंत्रित करते हैं। सच में, अगर यह वास्तव में आवश्यक है, तो पंचर निश्चित रूप से स्क्रीन रिकॉर्डिंग को बायपास करने या आवश्यक ट्रैफ़िक उत्पन्न करने के लिए मिलेगा, और इन उपायों में बहुत कम समझ है, लेकिन वे वास्तव में काम में हस्तक्षेप करते हैं।

टिप 5: तीन प्रबंधकों के माध्यम से संवाद करें

3+ प्रबंधकों के माध्यम से संवाद करें, जिससे एक टूटे हुए फोन पर खेलना और समय बढ़ाना। आवश्यकताओं को सीधे वास्तविक कलाकारों तक नहीं लाने की कोशिश करें, बिचौलियों के माध्यम से संवाद करें, विशेष रूप से लागू भाग में अनुभव के बिना। नतीजतन, हमें ऐसा स्टीम लोकोमोटिव मिल जाता है कि सूचना या तो बदल जाएगी या बहुत लंबे समय तक चलेगी।

क्या यह असली था?

बड़ी परियोजनाओं में, यह अपवाद की तुलना में नियम की अधिक संभावना है। सुरक्षा अधिकारी काम करने का आदेश देता है, सुरक्षा अधिकारी देखरेख करता है, और प्रबंधक पेंटेस्टर के साथ संवाद करता है, कभी-कभी सीधे भी नहीं, लेकिन अपने प्रबंधक के माध्यम से। नतीजतन, यहां तक कि अन्य सभी कारकों को हटाते हुए, कोई भी अनुरोध आधे दिन के बाद लक्ष्य तक पहुंचता है और किसी अन्य प्रश्न का उत्तर देता है।

टिप 6: घमंड मारा

याद रखें कि मुख्य चीज लोग हैं। इसलिए, काम की गुणवत्ता को कम करने के लिए, सीधे उन पर, या बल्कि उनकी घमंड पर हिट करना सबसे अच्छा है। पूछें कि वे एक छोटी-ज्ञात तकनीक का परीक्षण कैसे करेंगे, और फिर कहें कि उन्हें अधिक उम्मीद थी। जोड़ें कि कुछ साल पहले पिछले pentesters ने आपकी कंपनी को 2 घंटे में हैक कर लिया था। इससे कोई फर्क नहीं पड़ता कि सिस्टम अलग था और कोई SZI नहीं था, और आपने कहीं और काम किया। मुख्य बात स्वयं तथ्य है: चूंकि पेन्टिस्टर्स 2 घंटे में दरार नहीं करते थे, इसलिए उनका सम्मान करने के लिए कुछ भी नहीं है। आप देखते हैं कि पेन्टेस्टर्स रवाना हुए, - समय को बढ़ाए बिना एक प्रतिस्थापन टीम की मांग करें।

क्या यह असली था?

हम वास्तव में अक्सर पुराने हैक के बारे में कहानियां सुनते हैं, और इसका मौजूदा बुनियादी ढांचे और सूचना सुरक्षा प्रक्रियाओं से कोई लेना-देना नहीं है। यह "पता है" तकनीक कितनी सुरक्षित है, इस बारे में प्रश्न भी असामान्य नहीं हैं, आपको जल्दी से समझने और एक संक्षिप्त जवाब देना होगा, जो हमेशा पर्याप्त नहीं होता है।

एक और दिलचस्प मामला: हमारी टीम में एक पेंटेस्टर लड़की है, और जब वह एक आंतरिक पंच करने के लिए आती है, तो ग्राहक शुरू में अविश्वास करते हैं, और फिर वे उसे एक प्रदर्शन के रूप में देखने जाते हैं। हर कोई ऐसी परिस्थितियों में काम नहीं करना चाहेगा।

टिप 7: सुविधा कम करें

एक अंधेरी कोठरी में काम करें, जहाँ सेल फ़ोन पकड़ में नहीं आता है? शोर-शराबा में काम? टूटी हुई और अजीब कुर्सी? टूटा एयर कंडीशनर? शौचालय जाने और पानी पीने के लिए, आपको एक परिचर की आवश्यकता है? मुझे लगता है कि आप पहले से ही समझ गए थे कि क्या करना है।

क्या यह असली था?

हाँ, और हाँ फिर से। कुछ हताश मामले थे, लेकिन जब आप काम के बारे में नहीं सोचते हैं, लेकिन बाहरी परिस्थितियों के कारण यहां से जल्दी से बाहर निकलने के लिए पर्याप्त परिस्थितियां हैं।

टिप 8: सभी सक्रिय सुरक्षा को छोड़ दें

हम तकनीकी चुटकुले पास करते हैं। बता दें कि PCI DSS और अन्य कार्यप्रणालियों में अधिक परीक्षण परीक्षण के लिए कुछ सक्रिय SZI को अक्षम करने की सलाह दी गई है - आपको इसके विपरीत करने की आवश्यकता है। लोगों को एक समाधान की तलाश में पीड़ित होने दें, कैसे जल्दी से एक कॉर्पोरेट नेटवर्क का परीक्षण करें, जहां वे हर समय अवरुद्ध होते हैं।

तुरंत उस स्विच पर पोर्ट को बुझा दें जिसमें पेंटेस्टर फंस गया है। और फिर जोर से चीखें कि कीट विफल हो गया है और ऑब्जेक्ट से नफरत करने वाले हैकर्स का पीछा कर रहा है।

क्या यह असली था?

जब प्रोएक्टिव एसआईएस (आईपीएस, डब्ल्यूएएफ) सक्षम होता है तो हम पहले ही परीक्षण के आदी हो जाते हैं। यह बुरा है कि इस मामले में शेर का समय सूचना सुरक्षा प्रणाली की जांच करने पर खर्च होता है, न कि बुनियादी ढांचे के परीक्षण पर।

टिप 9: एक विशेष वलान में डालें

अवास्तविक नेटवर्क पहुंच प्रदान करें जो विशिष्ट उपयोगकर्ता पहुंच से मेल नहीं खाती हैं। चलो वहाँ कुछ भी नहीं है और उस सबनेट में कोई भी नहीं है। और फ़िल्टरिंग नियम deny \ deny या इसके करीब होंगे।

क्या यह असली था?

हां, किसी तरह हमें एक प्रिंटर और अन्य नेटवर्क से नेटवर्क अलगाव में एक सबनेट तक पहुंच दी गई थी। प्रिंटर का परीक्षण करने के लिए सभी काम नीचे आए। तकनीकी विशेषज्ञों के रूप में, हम निश्चित रूप से, रिपोर्ट में सब कुछ परिलक्षित करते हैं, लेकिन इससे कुछ भी नहीं बदला। जब हम एक प्रिंटर के माध्यम से कंपनी के आधे हिस्से को हैक करते थे, तो एक विपरीत स्थिति थी, लेकिन यह पूरी तरह से अलग कहानी है।

टिप 10: एक वीपीएन के माध्यम से काम करें

एक वास्तविक कमरे में एक आंतरिक पेंटेस्ट का आयोजन करना, जहां पैंटस्टर अतिरिक्त जानकारी का एक गुच्छा प्राप्त कर सकता है (एक कॉर्पोरेट फोन की सेटिंग्स, प्रिंटर, कर्मचारियों की जीवंत बातचीत पर छिपकली, उनकी आंखों के माध्यम से उपकरण देखें) आपका मामला नहीं है। आपको काम करने की ज़रूरत है, जैसे कि एक "आंतरिक घुसपैठिए" का अनुकरण करना, और यह "यह" कैसे व्याख्या करें कि यह आपको कैसे सूट करता है। इसलिए, केवल वीपीएन के माध्यम से पहुंच प्रदान करें, और सबसे छोटे मार्ग का उपयोग न करना बेहतर है। इसके अलावा, केवल एल 3 का उपयोग करें, क्योंकि एल 2 स्तर पर नेटवर्क हमले प्रासंगिक [व्यंग्य] नहीं हैं। आप पैसे की बचत करके इसे सही ठहरा सकते हैं: लोगों को एक बार फिर से आपके पास जाना चाहिए, नौकरी लेनी चाहिए, अगर यह सामान्य है, तो कर्मचारियों के साथ हस्तक्षेप करें।

क्या यह असली था?

हां, किसी वीपीएन L3 के माध्यम से एक संगठन का संचालन करना सामान्य है। सब कुछ लटका हुआ है, चैनल भरा हुआ है, उपकरण सेवाओं की अनुपलब्धता के रूप में देरी का अनुभव करते हैं, और प्रसारण हमलों और एमआईटीएम की असंभवता के बारे में कहने के लिए कुछ भी नहीं है। हां, और वीपीएन पर एक पेंटेस्ट के साथ सामान्य आंतरिक कीटों के बाद, जैसे स्केट्स में रेत पर चलना।

टिप 11: कोई ग्रे बॉक्स नहीं

पेंटेस्टर्स को किसी भी खाते, किसी भी दस्तावेज, या किसी भी अतिरिक्त जानकारी को नहीं दिया जाना चाहिए, भले ही यह अनुबंध द्वारा आवश्यक हो। क्या अच्छा है, यह तेजी से परिणाम प्राप्त करने के लिए उनके काम आएगा। इस तथ्य को सही ठहराएं कि एक असली हैकर (मीडिया में लगाई गई एक छवि) आ जाएगा और तुरंत सबकुछ तोड़ देगा। बर्थ - दस साल पहले प्रलेखन दें।

क्या यह असली था?

ऐसा लगता है कि सभी लोग "विषय में" समझते हैं कि एक हमलावर जो गंभीर है, वह बैठ नहीं जाएगा और सिस्टम में अनाड़ी रूप से तोड़ने की कोशिश करेगा, वह पहले टोही का संचालन करेगा, उपलब्ध जानकारी एकत्र करेगा, और लोगों के साथ संवाद करेगा। यदि यह एक आंतरिक घुसपैठिया है, तो वह पहले से ही जानता है कि कौन, क्या और कहां है। कर्मचारी प्रक्रियाओं के अंदर है और उसके पास ज्ञान है। लेकिन फिर भी, 80% पंचक एक "ब्लैक बॉक्स" है, जहां आपको 5 मिनट में आना है, यह पता लगाना है और इसे स्वयं क्रैक करना है, अन्यथा यह "लेबर हैकर" नहीं है।

टिप 12: विभिन्न क्षेत्रों (आंतरिक, बाहरी और सामाजिक) के बीच सूचनाओं के आदान-प्रदान की अनुमति न दें

विभिन्न विशेषज्ञों द्वारा बेहतर और दिशाओं के बीच जानकारी के हस्तांतरण के बिना कड़ाई से काम को विनियमित करें। इस तथ्य को सही ठहराते हैं कि आपको प्रत्येक क्षेत्र के लिए जोखिमों को सटीक रूप से निर्धारित करने की आवश्यकता है।

यदि हैकिंग के लिए "इनसाइडर" जानकारी (अंदर से प्राप्त) का उपयोग बाहरी परिधि पर किया गया था, तो किसी भी स्थिति में इस तरह के कामों की गिनती न करें, कहते हैं कि यह आपके लिए दिलचस्प नहीं है और घोषित कार्यों के अनुरूप नहीं है। यदि "सामाजिक इंजीनियरिंग" के बाद प्राप्त जानकारी आंतरिक पंच के लिए काम में आई, तो यह भी कहें कि इसकी गिनती नहीं है।

क्या यह असली था?

यह वास्तव में क्लासिक पेंटेस्ट का दृष्टिकोण है, प्रत्येक परीक्षण के परिणामों की वास्तव में स्वतंत्र रूप से आवश्यकता होती है, जैसे कि एक वास्तविक हमलावर वास्तव में करता है। लेकिन वास्तव में, एपीटी समूह उस तरह से काम नहीं करते हैं।

टिप 13: कंपनी में सभी को बताएं कि आपके पास एक पेंटेस्ट है

पूरी कंपनी के लिए घोषणा करें कि आपके पास एक पेंटेस्ट है। सभी को स्टिकर को क्रेडेंशियल्स से हटा दें, कोई भी मेल में संलग्नक नहीं खोलता है और यूएसबी में पाया गया फ्लैश ड्राइव सम्मिलित नहीं करता है। विशेषाधिकार प्राप्त अधिकारों के साथ कर्मचारियों को छुट्टी पर जाना चाहिए या अध्ययन करना चाहिए और अपने कंप्यूटरों को बंद करना चाहिए, लेकिन सबसे महत्वपूर्ण बात यह है कि वे अपने qwerty पासवर्ड को एक यादृच्छिक एक (कम से कम पंचक के दौरान) में बदल देंगे। सामान्य तौर पर, कंपनी के भीतर गतिविधि को यथासंभव कम से कम किया जाना चाहिए, और सतर्कता बढ़ गई। इस प्रकार, आप नेटवर्क के भीतर श्रमिकों और विकास के उद्देश्य से हमलों की संभावना को काफी कम कर देंगे।

क्या यह असली था?

अच्छा तो यह था। आप काम शुरू करते हैं और आप देखते हैं कि लोगों को चेतावनी दी गई है, हाल ही में बदले गए पासवर्ड, उन्हें आपके बारे में संदेह है। कुछ कंप्यूटरों की जाँच नहीं की जा सकती है, क्योंकि प्रशिक्षण में लोग एक "शुद्ध संयोग" हैं।

टिप 14: मॉनिटर पेंटेस्टर्स

अपनी सभी दिनचर्या को छोड़ दें और बस पेंटेस्टर्स की निगरानी करें। यहां तक कि अगर आपके पास निगरानी नहीं है, तो प्रयास करें। जैसे ही आप देखते हैं कि उन्होंने कुछ पाया है, तुरंत पहुंच को ब्लॉक करें, अनुमतियां बदलें, खातों को हटाएं, बंदरगाहों को हटा दें। अगर तुम सच में जरूरत है - आग लोगों को।

क्या यह असली था?

ओह, यह आम तौर पर एक "पसंदीदा" है। आप ग्राहक से कहते हैं: "हम एक विनम्र आचरण करेंगे और आपको हर चीज के बारे में सूचित करेंगे, केवल आप कुछ भी नहीं बदलेंगे, हम न केवल एक विशिष्ट दोष ढूंढने में मदद कर रहे हैं, बल्कि बुरी प्रक्रियाओं को प्रकट करने के लिए।" और जैसे ही आप कुछ सूचित करते हैं, ठीक उसी समय वहाँ "आकस्मिक" परिवर्तन हो जाता है। यहाँ कुछ वास्तविक मामले हैं।

SMB-, 5 , « » . , — , .
, -. , « ». , , . « ».
, RCE , , .

15: !

यदि किसी कारण से पेंटेस्टर्स अभी भी एक भेद्यता खोजने में कामयाब रहे, और वे आपको इसके संचालन के लिए अनुमोदन के लिए कहते हैं, तो सहमत न हों; पहुँच के उल्लंघन को उचित ठहराते हैं। यह प्रस्तुति लैपटॉप एक महत्वपूर्ण व्यवसाय सेवा है!

क्या यह असली था?

हां, यह भी हर समय होता है। यह देखा जा सकता है कि सर्वर में महत्वपूर्ण डेटा है और एक भेद्यता है, और ग्राहक ऑपरेशन का समन्वय नहीं करता है। नतीजतन, ठेकेदार प्रवेश बिंदु खो देता है, जो उसके साथ समस्याओं का एक पूरा गुच्छा खींच सकता है, जब तक कि पूरी कंपनी समझौता नहीं करती। और अगर वे सहमत नहीं हैं, तो रिपोर्ट बस कहती है: "ऑपरेशन पर सहमति नहीं है," और वास्तव में रिपोर्ट में कुछ भी दिलचस्प नहीं है।

टिप 16: ठहराव अधिक बार काम करता है

सभी आईटी घटनाओं के लिए, यह कहना है कि यह सबसे अधिक दर्द के कारण है, और काम को रोक देता है। अगर कोई घटना नहीं है, तो इसके साथ आओ। उन सभी चीज़ों के लॉग प्रदान करने के लिए कहें जो कल से पहले दिन 2:00 बजे से अपराह्न 3:00 बजे तक प्रदान करते हैं - इसे अपने ट्रैफ़िक को पार्स करने दें और याद रखें कि सैकड़ों टूल किस टूल और कहाँ लॉन्च किए गए थे।

क्या यह असली था?

केवल पैंसेस्टर ही नहीं, बल्कि संपूर्ण रूप से सूचना सुरक्षा। जैसे ही आप काम करना शुरू करते हैं, संगठन में किसी भी घटना को तुरंत रोकने और उसे हल करने की आवश्यकता होती है। सर्वर अनुपलब्ध हो गया है - ये पेंटर्स हैं; वायरस उपयोगकर्ता से बाहर निकल गया - ये पंचक हैं; अलमारी में कॉफी निर्माता टूट गया - ये पेंटेस्टर हैं। हम हास्य और धैर्य के साथ इस से संबंधित हैं, लेकिन समय विशिष्ट रूप से खा रहा है।

टिप 17: फ़ाइल डिस्क और मेल का विश्लेषण करने से रोकें

अपनी सामग्री का विश्लेषण करने के लिए फ़ाइल डिस्क और मेल तक पहुंच प्राप्त करने से पेंटेस्टर्स को रोकें। इसे "अच्छी तरह से, बहुत गोपनीय जानकारी के साथ" सही ठहराएं।

क्या यह असली था?

बेशक, 20 व्यवस्थापक मेलबॉक्स हैं, लेकिन आप पत्र नहीं पढ़ सकते हैं। हालांकि, व्यवहार में, हमने मेल में अतिरिक्त पासवर्ड बार-बार निकाले, और उन्होंने कंपनी से समझौता करने में बहुत मदद की। और हाँ, एक वास्तविक हैकर, निश्चित रूप से, सभी मेलों को उतार देगा और किसी से भी नहीं पूछा जाएगा।

टिप 18: विक्रेता सॉफ़्टवेयर का विश्लेषण करने के लिए कहें

यह कहें कि एक पूरे के रूप में पूरे बुनियादी ढांचे से, आप चाहते हैं कि विशेषज्ञ विक्रेता सॉफ़्टवेयर का विश्लेषण करें, खासकर अगर यह बहुत व्यापक है और यह अतिरिक्त कॉन्फ़िगरेशन के बिना लगभग "बॉक्सिंग संस्करण" है।

क्या यह असली था?

ऐसा होता है कि वे एक शुद्ध सिस्को एएसए या कुछ इसी तरह की दरार करने के लिए कहते हैं। हम कहते हैं कि यह उत्पाद व्यापक है और, सबसे अधिक संभावना है, कई लोगों द्वारा परीक्षण किया गया है, हम "ग़लतफ़हमी" की जाँच कर सकते हैं, लेकिन पंचक के दौरान सब कुछ फ़िज़ करने का कोई मतलब नहीं है। यह वास्तव में एक 0day खोज है, और रिवर्स रिवर्स इंजीनियरिंग के साथ संयोजन के रूप में एक स्टैंड पर परीक्षण करना बेहतर है। ग्राहक समय-समय पर होने वाले पंचक के दौरान जांच करने के लिए कहते हैं। यह लगभग हमेशा समय की बर्बादी है।

टिप 19: अंतिम रिपोर्ट को समायोजित करें

सबसे प्यारी बात: यदि, आखिरकार, हैकिंग पूरी हो गई है और पैंटर्स ने आपको रिपोर्ट के पहले संस्करण के साथ प्रस्तुत किया है, तो बस इससे महत्वपूर्ण क्षणों को हटाने के लिए कहें। यह एक व्यवसाय है, और आपको एक रिपोर्ट दी जानी चाहिए जिसके लिए आपने भुगतान किया था।

क्या यह असली था?

मजेदार क्षण हैं जो आपको हंसने और रोने के लिए मजबूर करते हैं। या तो "रिपोर्ट से सीईओ के मेल को हटा दें", "" इस सर्वर को हटाने की आवश्यकता है "," "जिसने आपको आईएस सेवा कंप्यूटरों में प्रवेश करने के लिए कहा है - जल्दी से इसे हटा दें"। कभी-कभी शब्दांकन सही हो जाता है, जिसके लिए धन्यवाद और भयानक से एक ही तथ्य पूरी तरह से स्वीकार्य हो जाता है।

युक्ति 20: नेटवर्क उपकरणों पर भयंकर गेम सेट करें

क्यों नहीं? यदि आपके पास स्टील की मुट्ठी वाले ~~अंडे हैं~~ और तकनीकी क्षमता है, तो अराजकता पैदा करें। उदाहरण के लिए, पेंटेस्टर में लौटा हुआ प्रत्येक 27 tcp पैकेट टूटा हुआ है। मुख्य बात यह है कि कोई भी नोटिस नहीं करता है।

क्या यह असली था?

अभी तक नहीं, लेकिन यह सही नहीं है। शायद 100 मामलों में से एक में स्कैनर का असामान्य व्यवहार इस तरह के उपायों का परिणाम था।

निष्कर्ष

काम के दौरान पैदा हुई एक लाख समस्याओं के बारे में रिपोर्ट में कोई भी नहीं लिखता है: कि पहुँच 5 घंटे के लिए दी गई थी, कि वे 2 दिनों के लिए ऑपरेशन पर सहमत हुए, कि एक पीठ के बिना एक कुर्सी थी, एक खिड़की के पत्ते से थूथन, आदि। यह सब पर्दे के पीछे रहता है, और काम के परिणामों के आधार पर, एक सूखी तकनीकी रिपोर्ट जारी की जाती है, इसे देखते हुए, एक स्वतंत्र व्यक्ति को यह समझ में नहीं आता कि उसके पीछे कितना दर्द है।

सूचना सुरक्षा केंद्र "जेट इन्फोसिस्टम्स" में हम मध्यम और बड़े व्यवसायों के साथ काम करते हैं। इन सुझावों में से कुछ को संगठन की आंतरिक विशेषताओं, सूचना प्रणालियों की महत्वपूर्णता और बड़ी संख्या में जिम्मेदार लोगों के कारण पृष्ठभूमि में ग्राहकों द्वारा किया जाता है। व्यावसायिक प्रक्रियाओं पर सुरक्षा विश्लेषण कार्य के प्रभाव के जोखिम को कम करने के लिए ये सामान्य प्रक्रियाएं हैं। हालांकि, अधिकांश भाग के लिए, हमारे हाथ अछूते हैं और ग्राहकों के साथ मैत्रीपूर्ण संबंध बनाए गए हैं। हम स्वयं दोनों पक्षों के लिए सुविधाजनक दृष्टिकोण और सहभागिता की पेशकश कर सकते हैं। यहां तक कि जटिल नौकरशाही संगठनों में, आप हमेशा एक लचीला समाधान पा सकते हैं और गुणवत्ता के काम को अंजाम दे सकते हैं, अगर आप रुचि रखने वाले लोगों के साथ सही ढंग से सहमत हैं।

किसी भी पंचक (बुरी सलाह) को सफलतापूर्वक कैसे पास करें

टिप 1: प्रत्येक चरण का समन्वय करें

क्या यह असली था?

टिप 2: अधिक प्रतिबंध जोड़ें

क्या यह असली था?

टिप 3: अधिक रिपोर्टिंग के लिए पूछें

क्या यह असली था?

टिप 4: ट्रैफ़िक डंप रिकॉर्ड करने और स्क्रीन लिखने के लिए कहें

क्या यह असली था?

टिप 5: तीन प्रबंधकों के माध्यम से संवाद करें

क्या यह असली था?

टिप 6: घमंड मारा

क्या यह असली था?

टिप 7: सुविधा कम करें

क्या यह असली था?

टिप 8: सभी सक्रिय सुरक्षा को छोड़ दें

क्या यह असली था?

टिप 9: एक विशेष वलान में डालें

क्या यह असली था?

टिप 10: एक वीपीएन के माध्यम से काम करें

क्या यह असली था?

टिप 11: कोई ग्रे बॉक्स नहीं

क्या यह असली था?

टिप 12: विभिन्न क्षेत्रों (आंतरिक, बाहरी और सामाजिक) के बीच सूचनाओं के आदान-प्रदान की अनुमति न दें

क्या यह असली था?

टिप 13: कंपनी में सभी को बताएं कि आपके पास एक पेंटेस्ट है

क्या यह असली था?

टिप 14: मॉनिटर पेंटेस्टर्स

क्या यह असली था?

15: !

क्या यह असली था?

टिप 16: ठहराव अधिक बार काम करता है

क्या यह असली था?

टिप 17: फ़ाइल डिस्क और मेल का विश्लेषण करने से रोकें

क्या यह असली था?

टिप 18: विक्रेता सॉफ़्टवेयर का विश्लेषण करने के लिए कहें

क्या यह असली था?

टिप 19: अंतिम रिपोर्ट को समायोजित करें

क्या यह असली था?

युक्ति 20: नेटवर्क उपकरणों पर भयंकर गेम सेट करें

क्या यह असली था?

निष्कर्ष

More articles: