Giải thích Thông tin-Sec trong Điều khoản của Cư sĩ [Phần II]

Giới thiệu

Bảo mật thông tin hiện đại có thể khó hiểu. Các thuật ngữ như “tấn công”, “khai thác” và “lỗ hổng” có thể tự giải thích nhưng pentest, EDR và DAST có nghĩa là gì? Tại sao việc chỉ định phạm vi thử nghiệm lại quan trọng?

Đây là phần tiếp theo của bài viết này.

Bảo mật thông tin hiện đại được giải thích thông qua bạo lực

Một số người có thể ném một viên gạch vào đầu bạn từ tầng cao nhất. Đây là một cuộc tấn công .

Để làm điều này, anh ta sẽ đến công trường, leo lên tầng cao nhất, nhặt một viên gạch, nhắm và ném nó xuống. Đây là một sự khai thác.

Đầu của bạn không được thiết kế để va vào những viên gạch có trọng lượng và gia tốc nhất định. Đây là một lỗ hổng.

Bạn loại bỏ tất cả các viên gạch khỏi công trường, loại trừ sự hiện diện của bất kỳ người nào trên đó, và đề phòng cả các tầng trên. Đây là bảo mật.

Bạn đội mũ bảo hiểm để phần nào giảm bớt hậu quả khi va phải viên gạch. Đây là chương trình chống vi-rút / EDR .

Trong quy tắc an toàn của bạn, tất cả mọi người được quy định phải đội mũ bảo hiểm. Nhưng các nhân viên đi bộ không đội mũ bảo hiểm, và tiếp tục đi bộ. Đây là bảo mật giấy tờ .

Người quản đốc vẫn còn sống, người đó đang ném gạch về mọi hướng, và người trực gác đã ấn nút màu đỏ. Đây là một công cụ phân tích bảo mật.

Bạn thuê hai quản đốc để trong trường hợp một trong hai người qua đời, công việc sẽ không dừng lại. Đây là khả năng chịu lỗi chính thức.

Bạn thuê nhiều quản đốc như bạn có gạch tại một công trường xây dựng cộng với một người khác. Đây là khả năng chịu lỗi thực tế.

Bạn mua một thiết bị ném gạch theo mọi hướng, giống như quả bóng tennis. Đây là HÀNG NGÀY.

Một số người đã tìm đến công trường, leo lên các tầng trên, dùng gạch giết người quản đốc, và bây giờ vui vẻ yêu cầu trả cho anh ta một phần thưởng cho việc này. Đây là một thợ săn lỗi.

Bạn mua một trình mô phỏng ảo thực hiện mọi thứ giống như DAST nhưng không xây dựng công trình. Đây là SAST.

Bạn mua một mô-đun phản hồi giữa thiết bị ném và trình mô phỏng xây dựng. Đây là IAST.

Bạn đã phát điên khi mua hàng và tìm đến một công ty bên thứ ba để được giúp đỡ. Công ty mời bạn mua máy trộn bê tông mới nhất từ một nhà cung cấp nổi tiếng để giải quyết vấn đề với gạch. Bạn không quan tâm máy trộn bê tông và gạch kết nối với nhau như thế nào, nhưng bạn vẫn mua. Giờ đây, không chỉ gạch có thể rơi từ các tầng trên của bạn xuống mà còn có cả máy trộn bê tông, điều này giúp cho vấn đề về gạch không còn đáng kể nữa. Đây là sự tham gia của một nhà tích hợp.

Bạn đã thuê một chuyên gia để kiểm tra khả năng vào công trường, trèo lên các tầng trên và làm rơi gạch vào đầu nhân viên. Đây là một tầng áp mái .

Tên ngũ hành không chỉ có thể giết quản đốc bằng một viên gạch bằng mười cách khác nhau, mà hắn còn phá hủy toàn bộ đồ vật, đốt cháy thiết bị và buộc những người canh gác phải giết lẫn nhau. Đây là một pentester có kinh nghiệm , người đã không được chỉ định phạm vi kiểm tra kịp thời.

Bạn đã làm mọi thứ không thể tưởng tượng nổi để viên gạch rơi xuống không giết được ai, đồ vật không thể bị phá hủy, thiết bị không thể bị đốt cháy, và cả dây an ninh cho người canh gác, chắc chắn. Ngay ngày hôm sau, người quản đốc bị rơi khỏi hệ thống phanh của máy trộn bê tông. Đây là thực tế của bảo mật thông tin hiện đại.

https://bit.ly/3Goglsf

Lời kết

Cảm ơn bạn, độc giả hy vọng tất cả các bạn thích nó. Bài báo này lần đầu tiên được xuất bản ở đây.