साइबर सुरक्षामा के हो ‘पेनिट्रेसन टेस्ट’ ?

काठमाडाैं । सूचना प्रविधिको सुरक्षा प्रत्याभूत गर्नका लागि आजभोलि धेरै संस्थाले नियमित रुपमा भल्नरेबिलिटी एसेस्मेन्ट गर्न थालेका छन् ।

कार्यक्षेत्रको आधारमा पेनिट्रेसन टेस्ट अर्थात् पेन टेस्टले आईटी प्रविधिको सुरक्षा मापदण्डको गहन अध्ययन गर्दछ । यसलाई प्रचलनको भाषामा इथिकल ह्याकिङ भनेर बुझ्ने गरिन्छ ।

प्रायजसो पेन टेस्टिङ र भल्नरेबिलिटी एसेस्मेन्ट सयुंक्त रुपमा गर्ने गरिन्छ ।

पेन टेस्ट आन्तरिक र बाह्य गरी दुई प्रकारका हुन्छन् ।

बाह्य पेन टेस्टिङमा ह्याकरले आन्तरिक प्रणालीभन्दा पर रहेर सो प्रणालीलाई ह्याक गर्दछन् । यसरी गरिएको आक्रमणमा ह्याकरले पत्ता लागेको कमजोरीको गलत प्रयोग पनि गर्न सक्छ ।

अर्को भनेको आन्तरिक पेन टेस्टिङ हुन्छ, जसअन्तर्गत संस्थामा नै बसेर ह्याकरले संस्थाको प्रणालीको कमजोरीहरू पत्ता लगाउँछन् । यसका पनि केही चुनाैती छन् । गलत मनशाय भए बाह्यभन्दा आन्तरिक पेन टेस्टिङ बढी खतरनाक हुने विज्ञहरू बताउँछन् ।

किनकि ह्याकर संस्था भित्रैबाट काम गर्ने हुदाँ उसँग धेरै सूचना हुने गर्छन्, जसकाे दुरूपयाेग हुने सम्भावना धेरै हुन्छ ।

तर इथिकल ह्याकिङमा अभ्यस्त पेन टेस्टरले भने कुनै हानी पुर्‍याउनका लागि नभई सुरक्षाको लागि ह्याकिङ गर्ने गर्छन् ।

साइबर सुरक्षाकाे क्षेत्रमा कतिपयले पेन टेस्टका तीन प्रकारकाे चर्चा गर्ने गर्छन् ।

१. ब्ल्याक बक्स: ब्ल्याक बक्सलाई जिरो नलेज टेस्टिङ पनि भनिन्छ । यस्तो टेस्टिङमा ह्याकरले आफ्नो टार्गेट नै थाहा नभई ह्याकिङको प्रक्रिया पुरा गरेर ह्याकिङ गर्छन् ।

प्रकृयागत रुपमा जाँदा जस्तो पनि प्रकारको समस्या भेटिन सक्छ । यस्तो पेन टेस्टिङलाई ब्लाइन्ड टेस्टिङ अथवा डबल ब्लाइन्ड टेस्टिङ पनि भनिन्छ ।

२. ह्वाइट बक्स: ह्वाइट बक्स अर्थात कम्प्लिट नलेज टेस्टिङ अन्तर्गत ह्याकरले आफ्नो लक्ष्य थाहा पाएर नै ह्याकिङको प्रक्रिया अगाडि बढाएका हुन्छन् । यसले निकै नै प्रभावकारी रुपमा भल्नरेबिलिटी पत्ता लगाउन सहयोग गर्दछ । यसले टेस्टिङको पूर्ण कभरेज गर्दछ ।

३. ग्रे बक्स: ग्रे बक्स अर्थात पार्सियल नलेज टेस्टिङ अन्तर्गत ह्याकरले ब्ल्याक र ह्वाइट बक्स दुवैको उपाय अपनाएर काम गर्दछ । यस्तोमा ह्याकरलाई आफ्नो लक्ष्यको विषयमा थोरै मात्र जानकारी हुने गर्दछ । 

साइबर आक्रमण भनेको सधैं बढिरहने एउटा खतरा हो, जसले आर्थिक घाटा, सामाजिक प्रतिष्ठामा आँच आउने काम लगायत गोपनीयता उल्लघंन र डेटा चोरी गर्न सक्छ ।

फलस्वरुप इथिकल ह्याकिङ हाल धेरैजसो संस्थाहरूको पहिलो प्राथमिकतामा परेको छ । इथिकल ह्याकिङले संस्थाको सुरक्षा प्रणालीलाई प्रभावकारी र सुरक्षित बनाउन मद्दत गर्दछ ।

यस्ताे ह्याकिङ भनेको पनि एक प्रकारको साइबर आक्रमण नै हो, जसले प्रणालीमा भएको समस्याहरू पत्ता लगाएर त्यसलाई सुधार्ने काम गर्दछ ।

यसलाई नक्कली साइबर आक्रमण पनि भन्न सकिन्छ । यस्तो इथिकल ह्याकिङ संस्थाभन्दा बाहिरको मान्छे अथवा संस्थाले नै नियुक्ति गरेको मान्छेले गर्न सक्छ ।

इथिकल ह्याकिङ, जसलाई पेनेट्रेशन टेस्ट अथवा पेन टेस्टिङको नामले पनि चिनिन्छ, साइबर सुरक्षा विशेषज्ञहरुद्वारा ब्ल्याक ह्याट ह्याकिङ जस्तै गरी गरिन्छ । तर सम्पूर्ण कानून र नियमहरुको पालना गरेर गर्ने गरिन्छ ।

इथिकल ह्याकिङ अन्तर्गत सूचनाहरू संकलन गर्ने, समस्याहरूको पहिचान र त्यसबाट हुन सक्ने हानीको विषयमा सम्पूर्ण विवरणसहित रिपोर्ट तयार पार्ने जस्ता कामहरू पर्दछन् ।

त्यसपछि पत्ता लागेको कमजोरीको विषयमा संस्था अथवा सरोकारवालालाई ह्याकरले जानकारी गराउँछ र सो कमजोरी कसरी समाधान गर्न सकिन्छ भनेर सुझाव पनि दिने गर्छ ।

ह्याकरका प्रकार 

ह्याकरहरू विशेषगरी तीन प्रकारका हुन्छन्: ब्ल्याक ह्याट ह्याकर, ग्रे ह्याट ह्याकर र ह्वाइट ह्याट ह्याकर । 

ब्ल्याक ह्याट ह्याकर : ब्ल्याक ह्याट ह्याकरहरूलाई विशेष गरेर साइबर अपराधीको रुपमा चिनिन्छ । यस्ता ह्याकरहरू एकजना व्यक्ति वा समूह मिलेर कुनै संस्थाको प्रणालीको भल्नरेबिलिटी पत्ता लगाएर पैसा वा निहित स्वार्थका लागि त्यसको दुरुपयोग गर्ने गर्छन् ।

ग्रे ह्याट ह्याकर: ग्रे ह्याट ह्याकरहरूले पनि कुनै संस्थाको प्रणाली ह्याक गर्छन्, तर पैसाकै लागि भने नगरेको हुन सक्छ । ब्ल्याक ह्याट ह्याकर भन्दा ग्रे ह्याट ह्याकर कम जोखिमपुर्ण हुन्छन् ।

यद्यपि केहीले संस्थाहरूको प्रणाली ह्याक गरेर फेरि ठीक गरिदिन्छ्न् भने केहीले उत्तिकै छोड्न पनि सक्छ । केहीले भने संस्थाहरूलाई जानकारी दिनको लागि मात्र भए पनि उनीहरूको प्रणालीमा रहेको कमजोरी पत्ता लगाइदिन ह्याकिङ गर्छन् । यिनीहरूको प्राय: नराम्रो सोच भने हुँदैन ।

ह्वाइट ह्याट ह्याकर: ह्वाइट ह्याट ह्याकरलाई इथिकल ह्याकर पनि भनिन्छ । यस्ता ह्याकरहरूले सम्बन्धित सरोकारवालाको अनुमति पाएपछि मात्र पेन टेस्ट गर्ने गर्छन् । ह्वाइट ह्याट ह्याकर संस्थाको आईटी सुरक्षाका लागि काम गर्ने ह्याकर हुन् ।  

प्रतिक्रिया दिनुहोस्
Logo
© 2019, All Rights Reserved with TechPana Media Pvt. Ltd.

टेकपाना मिडिया प्रा‍‍. लि.

अनामनगर, काठमाडौ
Email:  [email protected]
Web: techpana.com
फोनः  +977-01-5244861
सूचना विभाग दर्ता नं.  १५४१/७६-७७

सम्पादकः गोपाल साउद

विज्ञापनका लागि:
[email protected]
मोबाइलः ९८५१०४४४५८

Contact us | Our Team