ہماری Security & Cybersecurity سیریز کا حصہ
مکمل گائیڈ پڑھیںکاروبار کے لیے # دخول کی جانچ کی گائیڈ: دائرہ کار، طریقے، اور تدارک
دخول ٹیسٹ (پینٹیسٹ) آپ کے سسٹمز کے خلاف حقیقی دنیا کے حملوں کی نقل کرتا ہے تاکہ حملہ آوروں کے کرنے سے پہلے کمزوریوں کو تلاش کیا جا سکے۔ خودکار کمزوری اسکیننگ کے برعکس، دخول کی جانچ میں ایسے ہنر مند سیکیورٹی پیشہ ور افراد شامل ہوتے ہیں جو حملہ آوروں کی طرح سوچتے ہیں، خطرات کو ایک ساتھ جوڑتے ہیں، اور اپنے دفاع کو ان طریقوں سے جانچتے ہیں جس طرح خودکار ٹولز نہیں کر سکتے۔
کوئلے کی آگ کی تحقیق سے پتہ چلتا ہے کہ دخول کے ٹیسٹوں میں سے 73 فیصد میں کم از کم ایک اہم کمزوری کا پتہ چلتا ہے، اور 42 فیصد نظام کو مکمل سمجھوتہ کرنے کا راستہ تلاش کرتے ہیں۔ اس کے باوجود بہت سی تنظیمیں دخول کے ٹیسٹ خراب طریقے سے کراتی ہیں --- بہت تنگ انداز میں، غلط وینڈر کا انتخاب، یا نتائج پر عمل کرنے میں ناکام۔ یہ گائیڈ یقینی بناتا ہے کہ آپ اپنی دخول جانچ کی سرمایہ کاری سے زیادہ سے زیادہ قیمت حاصل کریں۔
دخول ٹیسٹ کی اقسام
| قسم | دائرہ کار | عام دورانیہ | لاگت کی حد |
|---|---|---|---|
| بیرونی نیٹ ورک | انٹرنیٹ کا سامنا کرنے والے نظام اور خدمات | 3-5 دن | $5K-$25K |
| اندرونی نیٹ ورک | نیٹ ورک کے اندر سے قابل رسائی سسٹمز | 3-7 دن | $8K-$30K |
| ویب ایپلیکیشن | مخصوص ویب ایپلیکیشنز | فی ایپ 3-10 دن | $5K-$20K فی ایپ |
| موبائل ایپلیکیشن | iOS اور/یا اینڈرائیڈ ایپلی کیشنز | 3-7 دن فی پلیٹ فارم | $5K-$15K فی پلیٹ فارم |
| سوشل انجینئرنگ | فشنگ، وشنگ، جسمانی جانچ | 5-10 دن | $5K-$20K |
| ریڈ ٹیم | مکمل مخالف نقلی (تمام طریقے) | 2-4 ہفتے | $30K-$100K+ |
| کلاؤڈ سیکورٹی | AWS/Azure/GCP کنفیگریشن اور خدمات | 3-7 دن | $8K-$25K |
| API ٹیسٹنگ | API اینڈ پوائنٹس اور تصدیق | 3-5 دن | $5K-$15K |
علم کی سطح
| سطح | تفصیل | نقل کرتا ہے |
|---|---|---|
| بلیک باکس | ٹیسٹر کو ہدف کے بارے میں کوئی معلومات نہیں ہے | بیرونی حملہ آور جس کے اندر کوئی علم نہیں ہے |
| گرے باکس | ٹیسٹر کے پاس کچھ معلومات ہیں ( اسناد، فن تعمیر کے دستاویزات) | حملہ آور جس نے ابتدائی رسائی حاصل کر لی ہے |
| سفید باکس | ٹیسٹر کو سورس کوڈ اور فن تعمیر تک مکمل رسائی حاصل ہے۔ اندرونی خطرہ، جامع تشخیص |
اپنے دخول کے ٹیسٹ کو اسکوپ کرنا
مرحلہ 1: مقاصد کی وضاحت کریں۔
| مقصد | ٹیسٹ کی قسم | ترجیح |
|---|---|---|
| PCI DSS کی ضرورت کی تعمیل کریں 11.3 | بیرونی + اندرونی نیٹ ورک | ریگولیٹری |
| لانچ سے پہلے نئی ایپلیکیشن کی سیکیورٹی کی توثیق کریں | ویب ایپلیکیشن | ہائی |
| فشنگ کے لیے ملازم کی حساسیت کی جانچ کریں | سوشل انجینئرنگ | میڈیم |
| بورڈ میٹنگ سے پہلے مکمل مخالف نقالی | ریڈ ٹیم | اسٹریٹجک |
| کلاؤڈ سیکیورٹی پوزیشن کی توثیق کریں | کلاؤڈ سیکورٹی کی تشخیص | ہائی |
مرحلہ 2: دائرہ کار کی وضاحت کریں۔
شامل ہیں:
- تمام انٹرنیٹ کا سامنا کرنے والے IP پتے اور ڈومینز
- اہم اندرونی نظام (ERP، HR، مالی)
- ویب ایپلیکیشنز (پروڈکشن یو آر ایل)
- API اختتامی پوائنٹس
- بادل کے ماحول اور خدمات
- تصدیق کے طریقہ کار
خارج کریں (جواز کے ساتھ):
- فریق ثالث کی میزبانی کی خدمات جو آپ کے پاس نہیں ہیں۔
- فعال ترقی میں نظام (اس کے بجائے ٹیسٹ اسٹیجنگ)
- کاروباری اوقات کے دوران پیداواری نظام (آف اوقات کا شیڈول)
- تباہ کن جانچ (DoS، ڈیٹا کی تباہی) جب تک کہ خاص طور پر مجاز نہ ہو۔
مرحلہ 3: منگنی کے اصول طے کریں۔
جانچ شروع ہونے سے پہلے ان کو دستاویز کریں:
| اصول | تفصیلات |
|---|---|
| ٹیسٹنگ ونڈو | ہفتے کے دن شام 6 بجے سے صبح 6 بجے تک، ویک اینڈ پر کسی بھی وقت |
| ہنگامی رابطہ | [نام، فون] اگر جانچ میں خلل پڑتا ہے |
| غیر حدود کے نظام | [ایسے نظاموں کی فہرست جن کی کبھی جانچ نہ کی جائے] |
| ڈیٹا ہینڈلنگ | ٹیسٹر تک رسائی حاصل کر سکتا ہے لیکن حقیقی ڈیٹا کو خارج نہیں کر سکتا |
| سوشل انجینئرنگ کا دائرہ کار | صرف ای میل فشنگ، کوئی جسمانی رسائی کی جانچ نہیں |
| استحصال کی گہرائی | رسائی ثابت کریں لیکن پروڈکشن ڈیٹا میں ترمیم نہ کریں |
| کمیونیکیشن فریکوئنسی | روزانہ اسٹیٹس اپ ڈیٹ، اہم نتائج کے لیے فوری اطلاع |
دخول ٹیسٹنگ وینڈر کا انتخاب کرنا
تشخیص کا معیار
| معیار | وزن | پوچھنے کے لیے سوالات |
|---|---|---|
| سرٹیفیکیشن | 20% | ٹیم کے ارکان میں OSCP، CREST، GPEN، CEH؟ |
| تجربہ | 25% | کاروبار میں سال؟ صنعت کا تجربہ؟ اسی طرح کی مصروفیات؟ |
| طریقہ کار | 20% | کیا طریقہ کار (OWASP، PTES، NIST)؟ وہ کیسے ٹیسٹ کرتے ہیں؟ |
| رپورٹنگ کا معیار | 15% | کیا آپ نمونہ رپورٹ دیکھ سکتے ہیں؟ اصلاحی رہنمائی شامل ہے؟ |
| حوالہ جات | 10% | کیا آپ 3 ماضی کے گاہکوں سے بات کر سکتے ہیں؟ |
| انشورنس | 10% | پیشہ ورانہ ذمہ داری اور سائبر انشورنس موجودہ؟ |
سرخ جھنڈے
- وینڈر صرف خودکار اسکیننگ کی تجویز کرتا ہے (حقیقی دخول کی جانچ نہیں)
- تسلیم شدہ سرٹیفیکیشن کے ساتھ کوئی نامزد ٹیسٹر نہیں۔
- انتہائی کم قیمت (<$3K کثیر دن کی مصروفیت کے لیے)
- مشغولیت کی بحث کے کوئی اصول نہیں۔
- رپورٹ ٹیمپلیٹ میں اصلاحی رہنمائی نہیں ہے۔
- وینڈر اپنے طریقہ کار کی وضاحت نہیں کر سکتا
آپ کی دخول ٹیسٹ کی رپورٹ کو سمجھنا
خطرے کی شدت کی درجہ بندی
| شدت | CVSS سکور | تفصیل | اصلاح کی ٹائم لائن |
|---|---|---|---|
| تنقیدی | 9.0-10.0 | فوری نظام سے سمجھوتہ ممکن | 48 گھنٹے کے اندر |
| ہائی | 7.0-8.9 | اہم سیکورٹی اثر | 2 ہفتوں کے اندر |
| میڈیم | 4.0-6.9 | اعتدال پسند اثر، مخصوص حالات کی ضرورت ہو سکتی ہے | 30 دنوں کے اندر |
| کم | 0.1-3.9 | معمولی اثر، محدود استحصال | 90 دنوں کے اندر |
| معلوماتی | 0 | بہترین مشق کی سفارشات | اگلا شیڈول کی دیکھ بھال |
کیا اچھی رپورٹ پر مشتمل ہے۔
- Executive summary --- Business-risk language, not technical jargon
- طریقہ کار --- کیا تجربہ کیا گیا اور کیسے
- نتائج شدت، شواہد اور کاروباری اثرات کے ساتھ
- ہر تلاش کے لیے اصلاحی رہنمائی (مخصوص، قابل عمل)
- مثبت نتائج --- آپ کیا کر رہے ہیں۔
- سیکیورٹی میں بہتری کے لیے اسٹریٹجک تجاویز
- خام ڈیٹا اور تفصیلی تکنیکی ثبوت کے ساتھ ضمیمے
تدارک کا عمل
مرحلہ 1: ٹرائیج (دن 1-2)
- IT اور سیکورٹی ٹیم کے ساتھ تمام نتائج کا جائزہ لیں۔
- نتائج کی توثیق کریں (تصدیق کریں کہ وہ حقیقی ہیں، غلط مثبت نہیں)
- ہر تلاش کے لیے مالکان کو تفویض کریں۔
- شدت اور کاروباری خطرے کی بنیاد پر ترجیح دیں۔
مرحلہ 2: منصوبہ (دن 3-7)
| تلاش کرنا | مالک | اصلاحی نقطہ نظر | ٹائم لائن | انحصار |
|---|---|---|---|---|
| لاگ ان میں ایس کیو ایل انجیکشن | دیو لیڈ | ان پٹ کی توثیق + پیرامیٹرائزڈ سوالات | 48 گھنٹے | کوئی نہیں |
| ڈیفالٹ ایڈمن پاس ورڈ | آئی ٹی ایڈمن | پاس ورڈ کی گردش + پالیسی کا نفاذ | 24 گھنٹے | کوئی نہیں |
| داخلی API پر TLS غائب | پلیٹ فارم ٹیم | سرٹیفکیٹ کی تعیناتی | 2 ہفتے | سرٹیفکیٹ پروکیورمنٹ |
| فرسودہ سرور OS | آئی ٹی آپریشنز | پیچ شیڈولنگ | 30 دن | ونڈو کو تبدیل کریں |
مرحلہ 3: تدارک (مختلف ہوتا ہے)
- فوری طور پر اہم اور اعلی نتائج کو درست کریں۔
- اگلے مینٹیننس ونڈو میں درمیانے درجے کے نتائج کو گروپ کریں۔
- اگلی سہ ماہی کے لیے کم نتائج کا شیڈول بنائیں
مرحلہ 4: تصدیق کریں (بعد از اصلاح)
- اہم اور اعلی نتائج کے دوبارہ ٹیسٹ کی درخواست کریں (زیادہ تر دکانداروں میں محدود دوبارہ جانچ شامل ہوتی ہے)
- تدارک کے دستاویزی ثبوت
- رسک رجسٹر کو اپ ڈیٹ کریں۔
دخول کی جانچ کا شیڈول
| تشخیص | تعدد | ٹرگر |
|---|---|---|
| بیرونی نیٹ ورک | سالانہ (کم از کم) | بنیادی ڈھانچے کی بڑی تبدیلیوں کے بعد بھی |
| ویب ایپلیکیشن | سالانہ + بڑی ریلیز سے پہلے | نئی ایپلیکیشن لانچ، اہم اپ ڈیٹ |
| اندرونی نیٹ ورک | سالانہ | دفتری نیٹ ورک میں تبدیلی کے بعد بھی |
| کلاؤڈ سیکورٹی | سالانہ | اس کے علاوہ کلاؤڈ فن تعمیر کی بڑی تبدیلیوں کے بعد |
| سوشل انجینئرنگ | دو سالانہ | جاری فشنگ سمیلیشنز اس کی تکمیل کرتے ہیں |
| ریڈ ٹیم | ہر 2 سال بعد | بڑی سیکورٹی سرمایہ کاری کے بعد بورڈ کی سطح کی یقین دہانی |
متعلقہ وسائل
- واقعہ رسپانس پلان ٹیمپلیٹ --- جب کمزوریوں کا فائدہ اٹھایا جائے تو کیا کیا جائے
- زیرو ٹرسٹ امپلیمینٹیشن گائیڈ --- تعمیراتی دفاع
- کلاؤڈ سیکیورٹی کے بہترین طرز عمل --- کلاؤڈ کے لیے مخصوص سیکیورٹی
- API سیکیورٹی اور توثیق --- ایسے APIs کو محفوظ کرنا جو ٹارگٹ کو پینٹسٹ کرتے ہیں
دخول کی جانچ آپ کے سیکیورٹی پروگرام کی حقیقت کی جانچ ہے۔ یہ اس فرق کو ظاہر کرتا ہے کہ آپ کے خیال میں آپ کی حفاظتی کرنسی کیا ہے اور حملہ آور کو کیا ملے گا۔ حفاظتی تشخیص اور دخول ٹیسٹنگ کوآرڈینیشن کے لیے ECOSIRE سے رابطہ کریں۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
AI Agent Security Best Practices: Protecting Autonomous Systems
Comprehensive guide to securing AI agents covering prompt injection defense, permission boundaries, data protection, audit logging, and operational security.
AI Fraud Detection for eCommerce: Protect Revenue Without Blocking Good Customers
Deploy AI fraud detection that catches 95%+ of fraudulent transactions while reducing false positives by 50-70%. Covers models, rules, and implementation.
Cloud Security Best Practices for SMBs: Protect Your Cloud Without a Security Team
Secure your cloud infrastructure with practical best practices for IAM, data protection, monitoring, and compliance that SMBs can implement without a dedicated security team.
Security & Cybersecurity سے مزید
AI Agent Security Best Practices: Protecting Autonomous Systems
Comprehensive guide to securing AI agents covering prompt injection defense, permission boundaries, data protection, audit logging, and operational security.
Cloud Security Best Practices for SMBs: Protect Your Cloud Without a Security Team
Secure your cloud infrastructure with practical best practices for IAM, data protection, monitoring, and compliance that SMBs can implement without a dedicated security team.
Cybersecurity Regulatory Requirements by Region: A Compliance Map for Global Businesses
Navigate cybersecurity regulations across US, EU, UK, APAC, and Middle East. Covers NIS2, DORA, SEC rules, critical infrastructure requirements, and compliance timelines.
Endpoint Security Management: Protect Every Device in Your Organization
Implement endpoint security management with best practices for device protection, EDR deployment, patch management, and BYOD policies for modern workforces.
Incident Response Plan Template: Prepare, Detect, Respond, Recover
Build an incident response plan with our complete template covering preparation, detection, containment, eradication, recovery, and post-incident review.
Security Awareness Training Program Design: Reduce Human Risk by 70 Percent
Design a security awareness training program that reduces phishing click rates by 70 percent through engaging content, simulations, and measurable outcomes.