على مدى السنوات الثماني الماضية تطورت ضريبة فريق الأمن مكتب الاسترالية من الزي الامتثال مربع إلى الدائرة التي يحظى بدعم التنفيذي لتشغيل الاختبارات اختراق واسعة بالقوالب، وسحب التطبيقات الحية حاليا لاجراء فحوص أمنية وإجراء تمارين انظم الحمراء العادية.يدير 13 مقعدا فريق الوصول الثقة التقييمات الأمنية اللازمة لمساعدة تخفيف المخاطر ATO، وفي السنوات الأخيرة freelanced خدماتها إلى وكالات أخرى الدولة والحكومة الاتحادية.الأهم من ذلك، يعين Access الثقة نطاقه الخاصة للاختبارات الاختراق تشغيله، مما يعني أن المتخصصين في مجال الأمن دراسة جميع السبل التي يمكن للنظام ATO يحتمل أن يكون هدفا لهجوم.وقال مدير ليون كلينمان كثيرا ما كانت تعطى اختبارات اختراق نطاقات من قبل العملاء أن الفحص يقتصر على مشروع المتضررة، والتي كانت خطير لأنه ترك الثقوب المفتوحة التي يمكن استغلال المهاجمين."هناك الكثير من أصحاب النظام سوف تأتي على طول ويقولون انهم يريدون اختبار على هذا النظام، ولكن ونحن اختبار خارج حدود"، وقال كلاينمان."الآن إذا كان نظام يجلس فوق البنية التحتية والكشف عن ثغرة أمنية في أن البنية التحتية التي اتخذناها عن رأي مفاده أن مالك النظام هو المسؤول، ويجب أن نفعل شيئا لتوصيله."عليك دائما الحصول على مسابقة [من مالكي نظام] الذي كان من المفترض فقط لاختبار الأنظمة في نطاق معين."يحدد ATO اختبار الضعف كوسيلة لتحديد "مستوى IT مخاطرة ATO قد تواجه في أي لحظة واحدة في الوقت المناسب". وبعبارة أخرى، فإنه يرى الاختبارات كمعيار أنه يحتاج بالضرورة إلى النظر في جميع السبل من هجوم محتمل.تمكنت من الوصول الموثوق الدعم التنفيذي منذ عدة سنوات بعد أظهر فريق الأمن إلى المديرين التنفيذيين نقاط الضعف في ATO التي ظهرت في أعقاب ممارسة الفريق الأحمر.ووضعت تلك التجارب المعقدة من المجال العسكري وتستخدم ناقلات بما في ذلك الهندسة الاجتماعية، والأمن المادي والقرصنة لإثبات الهجمات المستهدفة واقعية.وتجري الاختبارات وصول موثوق الفريق الأحمر على ATO مرة واحدة في السنة على الأقل.وقد أدى سجلها إيجابية لغيرها من وكالات الحكومة الاتحادية وحكومات الولايات حجز فريق لاختبارات الاختراق ضد أنظمتها بانتظام.كانت نظرية، قال كلاينمان، أنه من الأفضل للوصول الثقة للعثور على الثقوب من المتسللين الخبيثة، وإذا تم اختراق ATO، فإنه بحاجة إلى فيس تصل إلى الجمهور والبرلمان.الاختبارات القلم خارجي تشغيل لمدة شهر على الأقل وتقدم وكالات المختبرة لا مؤشرات مبكرة على ما تم اكتشاف الثغرات الأمنية."، لا تفعل الإخطار المبكر"، وقال كلاينمان في مؤتمر RSA آسيا والمحيط الهادئ مؤخرا في سنغافورة. "لقد كنا في هذا الطريق وأنه هو كابوس مطلقة."واضاف "اذا قمت بكشف نقطة ضعف كبيرة، الإصلاح [الوكالة] قد يعرض نقاط ضعف جديدة أو لها آثار مستمرة على النظام."وقال انه يجب أن تكون نظم في "مثل إنتاج الدولة" قبل الاختبارات.كما نصح كلينمان المتخصصين في مجال الأمن لتجنب "اختبارات القلم البسيطة" التي كانت أقصر في نطاق لأن "دائما انهم لا يريدون سوى وضع علامة في مربع".فريقه لا يأخذ وكالة في كلمتها أن بقع تم تطبيقها، وبدلا من ذلك بإجراء اختبارات التحقق التي "ذهب من خلال السقف" على مدى السنوات الثلاث الماضية."إذا كانوا يقولون شيئا وثابتة، واختباره مرة أخرى."وقال ان اختبارات الاختراق لاستعراض الأقران ومطلوب التوقيع النهائي من قبل كبار المديرين، وأصحاب النظام والثقة وصول رئيس التكنولوجيا ضابط تود هيذر.هذه الدروع الفريق الأمني من اللوم في حالة وجود خرق، منذ الوكالات قد وثقت مستوى المخاطر كانوا على استعداد لقبول.وقال كلاينمان الدخول الثقة يمكن أن نقدم النصائح العامة حول كيفية وكالات يمكن تحديد نقاط الضعف، ولكن في نهاية المطاف عملية من مسؤولية وكالة معينة.وقال "اذا نظرت رقعة معينة مثل الإجابة على الضعف، فإن قرار تطبيق الإصلاح، وربما إسقاط أنظمة الحاسب الآلي ونتيجة لذلك يجب أن تبقى دائما مع وحدة عمل معين"، قال.بينما كان فريق حجزت لاختبارات الاختراق عبر غيرها من وكالات الحكومة الفيدرالية وحكومات الولايات، بما في ذلك الوظيفة الحالية مع وكالة نيو ساوث ويلز لم يذكر اسمه، قال كلاينمان أنها لم تحاسب على العمل.تدريباستغرق الأمر خلال السنوات الثماني الماضية للوحدة لكسب قدراته وتنمو من ثلاثة المتخصصين في مجال الأمن أداء الأمن خانة الاختيار لفريق اختارته من اختبار الاختراق إجراء اختبارات واسعة الضعف بالقوالب.وقال كلاينمان كان التلف صناعة اختبار القلم بواسطة تدفق العموميين الذين يفتقرون إلى المهارات المناسبة لتشغيل مجموعات الاختبارات."هي منطقة تحريضية خاصة ولكن نحن الحصول على عدد كبير جدا من العموميين في الفضاء المتخصص وإنه يعرض للخطر نوعية العمل، [اختبار القلم]،" قال."أنت بحاجة الى ان ننظر في الطريقة التي تجند".قال Klienman سعت مجموعة المرشحين التي كان لها سجل حافل في مجال تطوير البرمجيات والأمن، وكان مؤهلات محترمة والصناعة المعترف بها.الموظفين في رصا الثقة هي أيضا تدوير بين المناطق لإبقائهم مهتمين. وقال كلاينمان في حين أن اختبارات القلم يمكن أن يكون متعة أنهم كانوا يطالبون ويتطلب العمل بعد ساعات العمل حتى موظفي الأمن كثيرا ما انتقلت إلى الاستخبارات ومناطق العمليات بعد الانتهاء من الاختبارات.وأوصى أيضا تلك إدارة فرق الأمن إعادة النظر في الطريقة التي يكافأ المتخصصين في مجال الأمن."مع الاحترام أقصى درجات أقول المهوسون هم الناس مختلفة جدا. لديهم نظام قيمة مختلفة، طريقة مختلفة لإظهار الاحترام وطلب للحصول على مكافآت."
0 comments:
إرسال تعليق