Эмзэг байдлын үнэлгээ - A vulnerability assessment

   Эмзэг байдлын үнэлгээ бол тухайн тогтолцоонд аюул занал учруулж болзошгүй эмзэг байдлыг тогтоох, тооцоолох, эрэмбэлэх эрсдлийг удирдах үйл явц юм. Энэ нь нэг талбарт тусгаарлагддаггүй ба өөр өөр салбаруудад системд ашиглагддаг:
                       * Мэдээллийн технологийн систем
                       * Эрчим хүч ба бусад хэрэглээний систем
                       * Тээвэрлэлт
                       * Харилцааны систем
   Эмзэг байдлын үнэлгээний гол бүрэлдэхүүн хэсэг нь нөлөөллийн алдагдлын үнэлгээний зохистой тодорхойлолт ба тухайн системийн заналхийлэлд өртөмтгий эмзэг байдаг. Нөлөөллийн алдагдал нь систем бүрт өөр байна. Жишээлбэл, агаарын тээврийн хөдөлгөөний хяналтын цамхаг үнэлэгдсэн нь цөөн тооны минутын хугацаагаар ноцтой нөлөөлөл алдагдах магадлалтай гэж үздэг бол орон нутгийн засаг захиргааны албан тушаалтны хувьд нөлөөллийн цөөн хэдэн минутын нөлөөлөл нь маш бага байж болно.

Сүлжээний эмзэг байдлын үнэлгээ- "Network Vulnerability Assessment"

   Сүлжээний эмзэг байдлын үнэлгээ нь боломжит аюулгүй байдлын эмзэг байдал, цоорхойд зориулж компьютерийн сүлжээг хянаж шинжлэх үйл явц юм.

Сүлжээний администраторууд аюулгүй байдлын архитектур болон сүлжээг хамгаалахад болзошгүй эмзэг байдал, аюул заналыг үнэлэх зорилгоор ашигладаг.Сүлжээний эмзэг байдлын үнэлгээ нь дараах ажлуудыг багтаасан өргөн хүрээний процесс юм.

         * Аюулгүй байдлын хяналтын шалгалт
         * Сүлжээний аюул заналыг тодорхойлох, тоо хэмжээг тогтоох, тэргүүлэх чиглэлийг тогтоох
         * Чиглүүлэгч / Wi-Fi нууц үгийн шинжилгээ
   Сүлжээнд суурилсан халдлагын эсрэг сүлжээний хүчийг хянах:
         * Үйлчилгээг зогсоох үйлдэл (DDoS)
         * Хүн дундын халдлага (MITM)
         * Bulleted list item
         * Сүлжээний халдлага
         * Төхөөрөмжийн түвшний аюулгүй байдлын шинжилгээ (чиглүүлэгч, унтраалга, компьютер)
         * Мэдэгдэж байгаа болон болзошгүй аюул занал, эмзэг байдлыг шалгах

Сүлжээний эмзэг байдлын үнэлгээ хийгдсэн тохиолдолд энэ нь сүлжээний / мэдээллийн аюулгүй байдлын бодлого болон холбогдох аюулгүй байдлын бүтээгдэхүүнүүдэд орц болж өгдөг. Энэ нь ерөнхийдөө сүлжээний эмзэг байдлын сканнердсан хэрэгсэл, аюулгүй байдлын ажилтнуудын техникийн үнэлгээ зэргээр хийгддэг.

 Засгийн газрын эмзэг байдлын үнэлгээний үйлчилгээ

GSA (General_Services_Administration гэгддэг) нь "Эрсдол ба эмзэг байдлын үнэлгээ (RVA)" үйлчилгээг урьдчилан баталгаажуулсан дэмжлэг үйлчилгээ болгож, аюул занал, эмзэг байдлыг үнэлэх, хүлээн зөвшөөрөх тохиргоо, үйлдвэр, орон нутгийн бодлого, эрсдлийн түвшинг үнэлэх, үйл ажиллагааны болон ашиглалтын бус нөхцөл байдлын үед сөрөг нөлөөллийг бууруулах арга хэмжээг боловсруулах, зөвлөмж боловсруулах. Энэхүү стандартчилагдсан үйлчилгээ нь дараах урьдчилсан сонголттой дэмжлэг үзүүлэх үйлчилгээг санал болгодог. Үүнд:

        * Сүлжээний зураглал
        * Эмзэг байдлыг илрүүлэх
        * Чанарын үнэлгээ
        * Утасгүй үнэлгээ
        * Вэб програмын үнэлгээ
        * Үйлдлийн системийн аюулгүй байдлын үнэлгээ (OSSA)
        * Өгөгдлийн сангийн үнэлгээ

Эдгээр үйлчилгээнүүдийг ихэвчлэн Өндөр Дасан зохицох Cybersecurity Services (HACS) гэж нэрлэдэг бөгөөд АНУ-ын GSA Advantage вэбсайт дээр жагсаасан байдаг.Энэхүү хүчин чармайлт нь эдгээр дэвшилтэт үйлчилгээг хангахын тулд техникийн шинжилгээ хийж, баталгаажуулсан гол үйлчилгээ үзүүлэгчдийг тодорхойлсон. Энэхүү GSA үйлчилгээ нь эдгээр үйлчилгээг хурдан дараалал, байршуулалтыг сайжруулах, АНУ-ын Засгийн газрын гэрээг давхар хуулбарлах, АНУ-ын дэд бүтцийг илүү хурдан, үр дүнтэйгээр хамгаалахад чиглэгдсэн болно.

Эмзэг байдлын үнэлгээ хэрхэн ажилладаг вэ?
засварлах

Эмзэг байдлын үнэлгээний үндсэн гурван зорилт байдаг.

1.Ялгаварлан тооцох дизайны алдаанаас эхлээд энгийн буруу тохируулга хийх хүртэлх эмзэг байдлыг тогтоох.

2.Хөгжүүлэгчид олдворуудыг хялбархан тодорхойлж, хуулбарлахын тулд эмзэг байдлыг баримтжуулах.

3.Болзошгүй эмзэг байдлыг засаж залруулахад хөгжүүлэгч нарт туслах удирдамжийг бий болгоно.

Эмзэг байдлын үнэлгээ нь янз бүрийн хэлбэртэй байж болно. Програмыг гүйцэтгэх динамик шинжилгээний техник (ихэнхдээ Вэб програм), DAST нь аюулгүй байдлын согогийг тодорхойлохын тулд ялангуяа алдаа дутагдал олохын тулд оролт эсвэл бусад алдааны нөхцөлийг хангах замаар тусгайлан гүйцэтгэдэг. Үүний эсрэгээр, Static Application Security Testing (SAST) нь програмыг ажиллуулахгүйгээр эмзэг байдлыг тодорхойлохын тулд програмын эх код эсвэл объект кодын шинжилгээ юм.

===== Эмзэг байдлын үнэлгээ, нэвтрэлтийн шинжилгээг гэж юу вэ?- What Is Vulnerability Assessment and Penetration Testing? =====

Эмзэг байдлын үнэлгээ ба шингээх сорил (VAPT) нь хоёр төрлийн эмзэг байдлын сорил юм. Тестүүд нь өөр өөр давуу талуудтай бөгөөд тэдгээр нь ихэвчлэн илүү бүрэн эмзэг байдлын дүн шинжилгээ хийх зорилготой. Товчоор хэлбэл, Penetration Testing and Эмзэг байдлын Үнэлгээ нь өөр өөр үр дүнтэй, өөр өөр үр дүнд чиглэсэн хоёр янзын зорилтыг гүйцэтгэдэг.

Файл:Screenshot-2016-08-02-15.18.48.png
===== Эмзэг байдлын үнэлгээний хэрэгслүүд =====
эмзэг байдал ямар байгааг олж илрүүлэх боловч хохирол учруулахгүй байж болзошгүй гажуудлын хооронд ялгаа байхгүй. Эмзэг байдлын сканнер компаниуд кодынхоо хуучин кодын алдааг засаж, тэдгээрийг хаана байрлуулахыг анхааруулж байна. Нэвтрэлтийн шалгуур нь хууль бус хандалт эсвэл бусад хортой үйл ажиллагаа байж болзошгүй эсэхийг тодорхойлохын тулд систем дэх эмзэг байдлыг ашиглахыг оролдож, алдаа нь өргөдөлд аюул занал учруулж байгааг тогтоохыг оролддог. Нэвтрэлтийн туршилт нь ашиглалтын алдааг олж, тус бүрийн хүндийн зэргийг хэмждэг. Нэвтрэлтийн шалгалт нь систем дэх алдаа дутагдлыг олж илрүүлэхийн оронд гэмтэл нь гэмтэл хэрхэн гэмтэл учруулж болохыг харуулах зорилготой.

Эмзэг байдлын үнэлгээний хэрэгслүүд эмзэг байдал ямар байгааг олж илрүүлэх боловч хохирол учруулахгүй байж болзошгүй гажуудлын хооронд ялгаа байхгүй. Эмзэг байдлын сканнер компаниуд кодынхоо хуучин кодын алдаа, тэдгээрийг хаана байрлуулахыг анхааруулж байна. Нэвтрэлтийн шалгуур нь хууль бус хандалт эсвэл бусад хортой үйл ажиллагаа байж болзошгүй эсэхийг тодорхойлохын тулд систем дэх эмзэг байдлыг ашиглахыг оролдож, алдаа нь өргөдөлд аюул занал учруулж байгааг тогтоохыг оролддог. Нэвтрэлтийн туршилт нь ашиглалтын алдааг олж, тус бүрийн хүндийн зэргийг хэмждэг. Нэвтрэлтийн шалгалт нь систем дэх алдаа дутагдлыг олж илрүүлэхийн оронд гэмтэл нь гэмтэл хэрхэн гэмтэл учруулж болохыг харуулах зорилготой


Холбоос

Ашигласан материал

   1.www.techopedia.com
   2.www.synopsys.com
   3.en.wikipedia.org
   4.www.veracode.com