ప్రోహోస్టర్ > దుర్బలత్వ స్కానింగ్ మరియు సురక్షిత అభివృద్ధి. 1 వ భాగము

దుర్బలత్వ స్కానింగ్ మరియు సురక్షిత అభివృద్ధి. 1 వ భాగము

దుర్బలత్వ స్కానింగ్ మరియు సురక్షిత అభివృద్ధి. 1 వ భాగము

వారి వృత్తిపరమైన కార్యకలాపాలలో భాగంగా, డెవలపర్‌లు, పెంటెస్టర్‌లు మరియు భద్రతా నిపుణులు వల్నరబిలిటీ మేనేజ్‌మెంట్ (VM), (సెక్యూర్) SDLC వంటి ప్రక్రియలను ఎదుర్కోవలసి ఉంటుంది.
ఈ పదబంధాల క్రింద వివిధ రకాల అభ్యాసాలు మరియు సాధనాలు ఒకదానితో ఒకటి ముడిపడి ఉంటాయి, అయినప్పటికీ వాటి వినియోగదారులు విభిన్నంగా ఉంటారు.

మౌలిక సదుపాయాలు మరియు సాఫ్ట్‌వేర్ యొక్క భద్రతను విశ్లేషించడానికి ఒక వ్యక్తిని ఒక సాధనం భర్తీ చేయగల స్థాయికి సాంకేతిక పురోగతి ఇంకా చేరుకోలేదు.
ఇది ఎందుకు జరుగుతుందో అర్థం చేసుకోవడం ఆసక్తికరంగా ఉంటుంది మరియు ఏ సమస్యలను ఎదుర్కోవలసి ఉంటుంది.

ప్రక్రియలు

ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ మరియు ప్యాచ్ మేనేజ్‌మెంట్‌ను నిరంతరం పర్యవేక్షించడానికి వల్నరబిలిటీ మేనేజ్‌మెంట్ ప్రక్రియ రూపొందించబడింది.
సురక్షిత SDLC ప్రక్రియ ("సురక్షిత అభివృద్ధి చక్రం") అభివృద్ధి మరియు ఆపరేషన్ సమయంలో అప్లికేషన్ భద్రతను నిర్వహించడానికి రూపొందించబడింది.

ఈ ప్రక్రియల యొక్క సారూప్య భాగం వల్నరబిలిటీ అసెస్‌మెంట్ ప్రాసెస్ - వల్నరబిలిటీ అసెస్‌మెంట్, వల్నరబిలిటీ స్కానింగ్.
VM మరియు SDLC లోపల స్కానింగ్ మధ్య ఉన్న ప్రధాన వ్యత్యాసం ఏమిటంటే, మొదటి సందర్భంలో, మూడవ పక్ష సాఫ్ట్‌వేర్ లేదా కాన్ఫిగరేషన్‌లో తెలిసిన దుర్బలత్వాలను కనుగొనడం లక్ష్యం. ఉదాహరణకు, Windows యొక్క పాత వెర్షన్ లేదా SNMP కోసం డిఫాల్ట్ కమ్యూనిటీ స్ట్రింగ్.
రెండవ సందర్భంలో, థర్డ్-పార్టీ కాంపోనెంట్స్ (డిపెండెన్సీలు)లో మాత్రమే కాకుండా, ప్రధానంగా కొత్త ఉత్పత్తి కోడ్‌లో కూడా హానిని గుర్తించడం లక్ష్యం.

ఇది సాధనాలు మరియు విధానాలలో తేడాలకు దారితీస్తుంది. నా అభిప్రాయం ప్రకారం, అప్లికేషన్‌లో కొత్త దుర్బలత్వాలను కనుగొనే పని చాలా ఆసక్తికరంగా ఉంటుంది, ఎందుకంటే ఇది వెర్షన్ వేలిముద్ర, బ్యానర్ సేకరణ, పాస్‌వర్డ్ బ్రూట్ ఫోర్స్ మొదలైన వాటికి రాదు.
అప్లికేషన్ దుర్బలత్వాల యొక్క అధిక-నాణ్యత ఆటోమేటెడ్ స్కానింగ్‌కు అప్లికేషన్ యొక్క సెమాంటిక్స్, దాని ప్రయోజనం మరియు నిర్దిష్ట బెదిరింపులను పరిగణనలోకి తీసుకునే అల్గారిథమ్‌లు అవసరం.

ఇన్‌ఫ్రాస్ట్రక్చర్ స్కానర్‌ను తరచుగా టైమర్‌తో భర్తీ చేయవచ్చు అవ్లియోనోవ్. విషయమేమిటంటే, పూర్తిగా గణాంకపరంగా, మీరు మీ మౌలిక సదుపాయాలను ఒక నెల పాటు అప్‌డేట్ చేయకుంటే, అది హాని కలిగించేదిగా పరిగణించవచ్చు.

సాధన

స్కానింగ్, అలాగే భద్రతా విశ్లేషణ, బ్లాక్ బాక్స్ లేదా వైట్ బాక్స్‌గా నిర్వహించబడుతుంది.

బ్లాక్ బాక్స్

బ్లాక్‌బాక్స్ స్కానింగ్‌తో, వినియోగదారులు దానితో పని చేసే అదే ఇంటర్‌ఫేస్‌ల ద్వారా సాధనం తప్పనిసరిగా సేవతో పని చేయగలగాలి.

ఇన్‌ఫ్రాస్ట్రక్చర్ స్కానర్‌లు (Tenable Nessus, Qualys, MaxPatrol, Rapid7 Nexpose, మొదలైనవి) ఓపెన్ నెట్‌వర్క్ పోర్ట్‌ల కోసం వెతుకుతాయి, "బ్యానర్‌లు" సేకరిస్తాయి, ఇన్‌స్టాల్ చేయబడిన సాఫ్ట్‌వేర్ వెర్షన్‌లను గుర్తిస్తాయి మరియు ఈ సంస్కరణల్లోని దుర్బలత్వాల గురించి సమాచారం కోసం వారి నాలెడ్జ్ బేస్‌ను శోధిస్తాయి. వారు డిఫాల్ట్ పాస్‌వర్డ్‌లు లేదా డేటాకు పబ్లిక్ యాక్సెస్, బలహీనమైన SSL సైఫర్‌లు మొదలైన కాన్ఫిగరేషన్ లోపాలను గుర్తించడానికి కూడా ప్రయత్నిస్తారు.

వెబ్ అప్లికేషన్ స్కానర్‌లు (Acunetix WVS, Netsparker, Burp Suite, OWASP ZAP, మొదలైనవి) కూడా తెలిసిన భాగాలు మరియు వాటి వెర్షన్‌లను (ఉదా CMS, ఫ్రేమ్‌వర్క్‌లు, JS లైబ్రరీలు) గుర్తించగలవు. ప్రధాన క్రాల్ దశలు క్రాల్ మరియు ఫజ్ చేయడం.
క్రాలింగ్ సమయంలో, క్రాలర్ ఇప్పటికే ఉన్న అప్లికేషన్ ఇంటర్‌ఫేస్‌లు మరియు HTTP పారామితుల గురించి సమాచారాన్ని సేకరిస్తుంది. మసకబారిన సమయంలో, లోపాన్ని ప్రేరేపించడానికి మరియు దుర్బలత్వాన్ని గుర్తించడానికి అన్ని కనుగొనబడిన పారామీటర్‌లు పరివర్తన చెందిన లేదా రూపొందించబడిన డేటాతో భర్తీ చేయబడతాయి.

ఇటువంటి అప్లికేషన్ స్కానర్‌లు DAST మరియు IAST తరగతులకు చెందినవి - వరుసగా డైనమిక్ మరియు ఇంటరాక్టివ్ అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్.

వైట్ బాక్స్

వైట్‌బాక్స్ స్కానింగ్‌తో, మరిన్ని తేడాలు ఉన్నాయి.
VM ప్రక్రియలో భాగంగా, స్కానర్‌లు (వల్నర్‌లు, ఇన్‌సెక్యూరిటీ కౌచ్, వల్స్, టెనబుల్ నెసస్ మొదలైనవి) తరచుగా ప్రామాణీకరించబడిన స్కాన్ చేయడం ద్వారా సిస్టమ్‌లకు యాక్సెస్ ఇవ్వబడతాయి. అందువలన, స్కానర్ వ్యవస్థాపించిన ప్యాకేజీ సంస్కరణలు మరియు కాన్ఫిగరేషన్ పారామితులను నెట్‌వర్క్ సేవా బ్యానర్‌ల నుండి ఊహించకుండా నేరుగా సిస్టమ్ నుండి డౌన్‌లోడ్ చేసుకోవచ్చు.
స్కాన్ మరింత ఖచ్చితమైనది మరియు పూర్తి అవుతుంది.

మేము అప్లికేషన్‌ల వైట్‌బాక్స్ స్కానింగ్ (CheckMarx, HP Fortify, Coverity, RIPS, FindSecBugs, మొదలైనవి) గురించి మాట్లాడినట్లయితే, మేము సాధారణంగా స్టాటిక్ కోడ్ విశ్లేషణ మరియు సంబంధిత SAST తరగతి సాధనాల ఉపయోగం గురించి మాట్లాడుతున్నాము - స్టాటిక్ అప్లికేషన్ సెక్యూరిటీ టెస్టింగ్.

సమస్యలు

స్కానింగ్‌లో చాలా సమస్యలు ఉన్నాయి! బిల్డింగ్ స్కానింగ్ మరియు సురక్షిత అభివృద్ధి ప్రక్రియల కోసం, అలాగే భద్రతా విశ్లేషణ పనిని నిర్వహించడం కోసం సేవ యొక్క సదుపాయంలో భాగంగా నేను చాలా మందిని వ్యక్తిగతంగా ఎదుర్కోవలసి ఉంటుంది.

వివిధ కంపెనీలలోని ఇంజనీర్లు మరియు సమాచార భద్రతా సేవల అధిపతులతో సంభాషణల ద్వారా కూడా నిర్ధారించబడిన సమస్యల యొక్క 3 ప్రధాన సమూహాలను నేను సింగిల్ చేస్తాను.

వెబ్ అప్లికేషన్ స్కానింగ్ సమస్యలు

  1. అమలు కష్టం. ప్రతి అప్లికేషన్ కోసం స్కానర్‌లను అమలు చేయాలి, కాన్ఫిగర్ చేయాలి, అనుకూలీకరించాలి, స్కాన్‌ల కోసం పరీక్ష వాతావరణాన్ని కేటాయించాలి మరియు ప్రభావవంతంగా ఉండాలంటే CI / CD ప్రక్రియలో అమలు చేయాలి. లేకపోతే, అది పనికిరాని అధికారిక ప్రక్రియ అవుతుంది, తప్పుడు పాజిటివ్‌లను మాత్రమే జారీ చేస్తుంది
  2. స్కాన్ వ్యవధి. స్కానర్‌లు, 2019లో కూడా, ఇంటర్‌ఫేస్‌లను డీప్లికేట్ చేయడంలో పేలవమైన పని చేస్తాయి మరియు వాటికి ఒకే కోడ్ బాధ్యత వహిస్తున్నప్పటికీ, వాటిని వేర్వేరుగా పరిగణించి, ఒక్కొక్కటి 10 పారామితులతో రోజులపాటు వెయ్యి పేజీలను స్కాన్ చేయవచ్చు. అదే సమయంలో, డెవలప్‌మెంట్ సైకిల్‌లో ఉత్పత్తికి మోహరించే నిర్ణయం త్వరగా తీసుకోవాలి.
  3. పేలవమైన సిఫార్సులు. స్కానర్‌లు చాలా సాధారణ సిఫార్సులను అందిస్తాయి మరియు ప్రమాద స్థాయిని ఎలా తగ్గించాలో డెవలపర్ త్వరగా అర్థం చేసుకోవడం ఎల్లప్పుడూ సాధ్యపడదు మరియు ముఖ్యంగా, ఇది ఇప్పుడే చేయాల్సిన అవసరం ఉందా లేదా ఇంకా భయానకంగా లేదు
  4. అప్లికేషన్‌పై విధ్వంసక ప్రభావం. స్కానర్‌లు అప్లికేషన్‌పై సులభంగా DoS దాడిని చేయగలవు మరియు అవి పెద్ద సంఖ్యలో ఎంటిటీలను సృష్టించగలవు లేదా ఇప్పటికే ఉన్న వాటిని మార్చగలవు (ఉదాహరణకు, బ్లాగ్‌లో పదివేల వ్యాఖ్యలను సృష్టించండి), కాబట్టి మీరు ఆలోచన లేకుండా స్కాన్‌ని అమలు చేయకూడదు ఉత్పత్తి.
  5. దుర్బలత్వాన్ని గుర్తించే నాణ్యత తక్కువ. స్కానర్‌లు సాధారణంగా స్థిరమైన పేలోడ్‌ల శ్రేణిని ఉపయోగిస్తాయి మరియు వాటి తెలిసిన అప్లికేషన్ ప్రవర్తనకు సరిపోని దుర్బలత్వాన్ని సులభంగా కోల్పోతాయి.
  6. స్కానర్ అప్లికేషన్ యొక్క విధులను అర్థం చేసుకోలేదు. "ఇంటర్నెట్ బ్యాంక్", "చెల్లింపు", "వ్యాఖ్య" అంటే ఏమిటో స్కానర్‌లకు తెలియదు. వారి కోసం, లింక్‌లు మరియు పారామీటర్‌లు మాత్రమే ఉన్నాయి, కాబట్టి సాధ్యమయ్యే వ్యాపార లాజిక్ దుర్బలత్వాల యొక్క భారీ పొర పూర్తిగా బయటపడింది, వారు డబుల్ రైట్-ఆఫ్ చేయాలని ఊహించరు, ID ద్వారా ఇతరుల డేటాను పీప్ చేయలేరు లేదా రౌండింగ్ ద్వారా బ్యాలెన్స్‌ను మూసివేయలేరు.
  7. స్కానర్ ద్వారా పేజీ అర్థశాస్త్రం యొక్క అపార్థం. స్కానర్‌లు తరచుగా అడిగే ప్రశ్నలను చదవలేరు, వారు క్యాప్చాలను గుర్తించలేరు, ఎలా నమోదు చేసుకోవాలో వారు స్వయంగా గుర్తించలేరు, ఆపై మళ్లీ లాగిన్ చేయడానికి, మీరు "లాగ్అవుట్" క్లిక్ చేయలేరు మరియు పారామితి విలువలను మార్చేటప్పుడు అభ్యర్థనలను ఎలా సంతకం చేయాలి. ఫలితంగా, చాలా వరకు అప్లికేషన్ స్కాన్ చేయబడకుండా ఉండవచ్చు.

సోర్స్ కోడ్ స్కానింగ్ సమస్యలు

  1. తప్పుడు సానుకూలతలు. స్టాటిక్ అనాలిసిస్ అనేది చాలా రాజీలతో కూడిన సంక్లిష్టమైన పని. తరచుగా మీరు ఖచ్చితత్వాన్ని త్యాగం చేయాలి మరియు ఖరీదైన ఎంటర్‌ప్రైజ్ స్కానర్‌లు కూడా భారీ సంఖ్యలో తప్పుడు పాజిటివ్‌లను ఇస్తాయి.
  2. అమలు కష్టం. స్థిర విశ్లేషణ యొక్క ఖచ్చితత్వం మరియు సంపూర్ణతను పెంచడానికి, స్కానింగ్ నియమాలను మెరుగుపరచడం అవసరం, మరియు ఈ నియమాలను వ్రాయడం చాలా సమయం తీసుకుంటుంది. కొన్నిసార్లు అటువంటి కేసులను గుర్తించడానికి నియమాన్ని వ్రాయడం కంటే కొన్ని రకాల బగ్‌లతో కోడ్‌లోని అన్ని స్థలాలను కనుగొనడం మరియు వాటిని పరిష్కరించడం సులభం.
  3. డిపెండెన్సీ మద్దతు లేకపోవడం. పెద్ద ప్రాజెక్టులు ప్రోగ్రామింగ్ భాష యొక్క సామర్థ్యాలను విస్తరించే పెద్ద సంఖ్యలో లైబ్రరీలు మరియు ఫ్రేమ్‌వర్క్‌లపై ఆధారపడి ఉంటాయి. స్కానర్ యొక్క నాలెడ్జ్ బేస్‌లో ఈ ఫ్రేమ్‌వర్క్‌లలో ప్రమాదకరమైన ప్రదేశాల ("సింక్‌లు") గురించి సమాచారం లేకపోతే, ఇది బ్లైండ్ స్పాట్ అవుతుంది మరియు స్కానర్ కోడ్‌ను కూడా అర్థం చేసుకోదు.
  4. స్కాన్ వ్యవధి. కోడ్‌లో దుర్బలత్వాలను కనుగొనడం అల్గారిథమ్‌ల పరంగా కూడా కష్టమైన పని. అందువల్ల, ప్రక్రియ బాగా ఆలస్యం కావచ్చు మరియు గణనీయమైన కంప్యూటింగ్ వనరులు అవసరం కావచ్చు.
  5. తక్కువ కవరేజ్. వనరుల వినియోగం మరియు స్కాన్ వ్యవధి ఉన్నప్పటికీ, SAST సాధనాల డెవలపర్‌లు ఇప్పటికీ రాజీలను ఆశ్రయించవలసి ఉంటుంది మరియు ప్రోగ్రామ్‌లో ఉండగల అన్ని రాష్ట్రాలను విశ్లేషించదు.
  6. పునరుత్పత్తిని కనుగొనడం. దుర్బలత్వానికి దారితీసే నిర్దిష్ట లైన్ మరియు కాల్ స్టాక్‌ను సూచించడం చాలా బాగుంది, కానీ వాస్తవానికి, తరచుగా స్కానర్ బాహ్య దుర్బలత్వాన్ని తనిఖీ చేయడానికి తగినంత సమాచారాన్ని అందించదు. అన్నింటికంటే, లోపం చనిపోయిన కోడ్‌లో కూడా ఉంటుంది, ఇది దాడి చేసేవారికి చేరుకోలేనిది.

ఇన్‌ఫ్రాస్ట్రక్చర్ స్కానింగ్ సమస్యలు

  1. తగినంత ఇన్వెంటరీ లేదు. పెద్ద మౌలిక సదుపాయాలలో, ముఖ్యంగా భౌగోళికంగా వేరు చేయబడిన వాటిలో, ఏ హోస్ట్‌లను స్కాన్ చేయాలో గుర్తించడం చాలా కష్టతరమైన విషయం. మరో మాటలో చెప్పాలంటే, స్కానింగ్ పని ఆస్తి నిర్వహణ పనికి దగ్గరి సంబంధం కలిగి ఉంటుంది.
  2. చెడ్డ ప్రాధాన్యత. నెట్‌వర్క్ స్కానర్‌లు తరచుగా ఆచరణలో ఉపయోగించలేని లోపాలతో అనేక ఫలితాలను ఉత్పత్తి చేస్తాయి, అయితే అధికారికంగా వాటి ప్రమాద స్థాయి ఎక్కువగా ఉంటుంది. వినియోగదారు అర్థం చేసుకోవడం కష్టతరమైన నివేదికను అందుకుంటారు మరియు ముందుగా ఏది సరిదిద్దాలి అనేది స్పష్టంగా లేదు
  3. పేలవమైన సిఫార్సులు. స్కానర్ నాలెడ్జ్ బేస్ తరచుగా దుర్బలత్వం మరియు దానిని ఎలా పరిష్కరించాలి అనే దాని గురించి చాలా సాధారణ సమాచారాన్ని మాత్రమే కలిగి ఉంటుంది, కాబట్టి నిర్వాహకులు Googleతో తమను తాము ఆయుధంగా ఉపయోగించుకోవాలి. వైట్‌బాక్స్ స్కానర్‌లతో పరిస్థితి కొంచెం మెరుగ్గా ఉంది, ఇది పరిష్కరించడానికి నిర్దిష్ట ఆదేశాన్ని జారీ చేస్తుంది
  4. చేతితో చేసిన. ఇన్‌ఫ్రాస్ట్రక్చర్‌లు అనేక నోడ్‌లను కలిగి ఉండవచ్చు, అంటే అనేక లోపాలు ఉండవచ్చు, వాటిపై నివేదికలు ప్రతి పునరావృతం వద్ద మాన్యువల్‌గా అన్వయించబడాలి మరియు విశ్లేషించబడతాయి.
  5. చెడ్డ కవరేజ్. ఇన్‌ఫ్రాస్ట్రక్చర్ స్కానింగ్ నాణ్యత నేరుగా దుర్బలత్వాలు మరియు సాఫ్ట్‌వేర్ వెర్షన్‌ల గురించిన నాలెడ్జ్ బేస్ పరిమాణంపై ఆధారపడి ఉంటుంది. ఇందులో, మార్పు, మార్కెట్ లీడర్‌లకు కూడా సమగ్ర నాలెడ్జ్ బేస్ లేదు మరియు నాయకులకు లేని ఉచిత పరిష్కారాల డేటాబేస్‌లలో చాలా సమాచారం ఉంది.
  6. ప్యాచింగ్‌తో సమస్యలు. చాలా తరచుగా, ప్యాకేజీని అప్‌డేట్ చేయడం లేదా కాన్ఫిగరేషన్ ఫైల్‌ను మార్చడం అనేది మౌలిక సదుపాయాల దుర్బలత్వాలను ప్యాచ్ చేయడం. ఇక్కడ ఉన్న పెద్ద సమస్య ఏమిటంటే, సిస్టమ్, ముఖ్యంగా వారసత్వం, నవీకరణ ఫలితంగా అనూహ్యంగా ప్రవర్తించవచ్చు. వాస్తవానికి, మీరు ఉత్పత్తిలో ప్రత్యక్ష మౌలిక సదుపాయాలపై ఏకీకరణ పరీక్షలను నిర్వహించాలి.

విధానాలు

ఎలా ఉండాలి?
నేను ఈ క్రింది భాగాలలో ఉదాహరణల గురించి మరియు ఈ సమస్యలను ఎలా ఎదుర్కోవాలో మరింత వివరంగా తెలియజేస్తాను, కానీ ప్రస్తుతానికి మీరు పని చేయగల ప్రధాన ప్రాంతాలను నేను సూచిస్తాను:

  1. వివిధ స్కానింగ్ సాధనాల సముదాయం. బహుళ స్కానర్‌ల సరైన ఉపయోగంతో, నాలెడ్జ్ బేస్ మరియు గుర్తింపు నాణ్యతలో గణనీయమైన పెరుగుదల సాధించవచ్చు. మీరు రిస్క్ స్థాయిని మరింత ఖచ్చితంగా అంచనా వేయవచ్చు మరియు మరిన్ని సిఫార్సులు చేయవచ్చు, అయితే మీరు అన్ని స్కానర్‌ల మొత్తం కంటే ఎక్కువ హానిని కనుగొనవచ్చు.
  2. SAST మరియు DAST ఏకీకరణ. వాటి మధ్య సమాచారాన్ని పంచుకోవడం ద్వారా DAST కవరేజ్ మరియు SAST ఖచ్చితత్వాన్ని పెంచడం సాధ్యమవుతుంది. మూలం నుండి మీరు ఇప్పటికే ఉన్న మార్గాల గురించి సమాచారాన్ని పొందవచ్చు మరియు DAST సహాయంతో మీరు బయట నుండి దుర్బలత్వం కనిపిస్తుందో లేదో తనిఖీ చేయవచ్చు
  3. మెషిన్ లెర్నింగ్™. 2015లో ఐ చెప్పారు (మరియు మరింత) స్కానర్‌లకు హ్యాకర్ యొక్క అంతర్ దృష్టిని అందించడానికి మరియు వాటిని వేగవంతం చేయడానికి గణాంకాలను ఉపయోగించడం గురించి. భవిష్యత్తులో స్వయంచాలక భద్రతా విశ్లేషణ అభివృద్ధికి ఇది ఖచ్చితంగా ఆహారం.
  4. ఆటోటెస్ట్‌లు మరియు OpenAPIతో IAST ఏకీకరణ. CI/CD-పైప్‌లైన్‌లో, HTTP ప్రాక్సీలుగా పనిచేసే సాధనాలు మరియు HTTP ద్వారా పనిచేసే ఫంక్షనల్ టెస్ట్‌ల ఆధారంగా స్కానింగ్ ప్రక్రియను సృష్టించడం సాధ్యమవుతుంది. OpenAPI/Swagger పరీక్షలు మరియు ఒప్పందాలు స్కానర్‌కి డేటా ఫ్లోల గురించి తప్పిపోయిన సమాచారాన్ని అందిస్తాయి, వివిధ రాష్ట్రాల్లో అప్లికేషన్‌ను స్కాన్ చేయడం సాధ్యపడుతుంది.
  5. సరైన కాన్ఫిగరేషన్. ప్రతి అప్లికేషన్ మరియు ఇన్‌ఫ్రాస్ట్రక్చర్ కోసం, మీరు ఇంటర్‌ఫేస్‌ల సంఖ్య మరియు స్వభావం, ఉపయోగించిన సాంకేతికతలను పరిగణనలోకి తీసుకొని తగిన స్కానింగ్ ప్రొఫైల్‌ను సృష్టించాలి.
  6. స్కానర్ అనుకూలీకరణ. తరచుగా, స్కానర్‌ను సవరించకుండా అప్లికేషన్ స్కాన్ చేయబడదు. ప్రతి అభ్యర్థనపై సంతకం చేయవలసిన చెల్లింపు గేట్‌వే ఒక ఉదాహరణ. గేట్‌వే ప్రోటోకాల్‌కు కనెక్టర్‌ను వ్రాయకుండా, స్కానర్‌లు తప్పు సంతకంతో అభ్యర్థనలను బుద్ధిహీనంగా పెక్ చేస్తాయి. ఒక నిర్దిష్ట రకం లోపాల కోసం ప్రత్యేకమైన స్కానర్‌లను వ్రాయడం కూడా అవసరం అసురక్షిత ప్రత్యక్ష వస్తువు సూచన
  7. ప్రమాద నిర్వహణ. వివిధ స్కానర్‌ల ఉపయోగం మరియు అసెట్ మేనేజ్‌మెంట్ మరియు థ్రెట్ మేనేజ్‌మెంట్ వంటి బాహ్య వ్యవస్థలతో ఏకీకరణ చేయడం వలన రిస్క్ స్థాయిని అంచనా వేయడానికి బహుళ పారామితులను ఉపయోగించవచ్చు, తద్వారా నిర్వహణ అభివృద్ధి లేదా అవస్థాపన యొక్క ప్రస్తుత భద్రతా స్థితికి తగిన చిత్రాన్ని పొందవచ్చు.

చూస్తూ ఉండండి మరియు దుర్బలత్వ స్కానింగ్‌కు అంతరాయం కలిగించండి!

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి