09123369519شنبه تا پنجشنبه 9 الی 18

تست نفوذ

پروسه مجاز، برنامه ریزی شده و سیستماتیک برای به کارگیری آسیب پذیری ها جهت نفوذ به سرور، شبکه و یا منابع برنامه های کاربردی

تست نفوذ چیست؟

تست نفوذ با رویکردی بر ارزیابی امنیت سازمان‌ها و سیستم‌ها می‌تواند به‌عنوان یک بازرسی هدفمند و قانونی، سطح امنیت را مشخص نماید. در فرایند تست نفوذ، مختصصین با استفاده از فن‌ها و شگردها، شروع به شبیه‌سازی حمله به سازمان و سیستم‌ها را انجام می‌دهند و در انتها گزارش کاملی را به سازمان‌ها ارائه داده و نحوه اصلاح ضعف‌های امنیتی شبکه و ساختار سازمان را مورد تجزیه‌وتحلیل قرار می‌دهند. این سلسله‌مراتب باید برای سازمان‌ها و سیستم‌ها به‌صورت فرایندی چرخه‌ای همیشه و در بازه‌های زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.

انواع تست نفوذ

    •  White Box Penetration test: در این نوع تست متخصصان امنیت اجراکننده‌ی تست نفوذ از قبل اطلاعاتی را درباره‌ی سیستم مورد آزمایش دریافت کرده‌اند.

    •  Black Box Penetration test: این نوع تست که به تست نفوذ Blind نیز مشهور است اشاره به زمانی دارد که متخصصان اطلاعات، هیچ اطلاعاتی را درباره‌ی سیستم مورد هدف جز نام آن دریافت نکرده‌اند.

    • • Covert Penetration test: این نوع تست که به تست نفوذ double-blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچ‌کس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حمله‌ی کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکننده‌ی تست اطلاعاتی پایه‌ای درباره‌ی موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.

    •  External Penetration test: در این نوع تست، متخصصان امنیت اجراکننده‌ی تست نفوذ به سیستم‌های خارجی کمپانی یعنی وبسایت و سرور‌های شبکه‌ی خارجی آن‌ها حمله می‌کنند. در برخی موارد متخصصان امنیت استخدام شده حتی اجازه‌ی ورود به شرکت مورد نظر را ندارند. 

    • • Internal Penetration test: در این نوع، متخصصان امنیت استخدام شده برای انجام تست نفوذ کار خود را در شبکه‌ی درونی شرکت انجام می‌دهند. در این نوع تست می‌توان میزان نفوذپذیری شرکت را از درون آن تعیین کرد. این موضوع به خصوص برای حفاظت امنیت شبکه در مقابل کارکنان درون خود شرکت اهمیت دارد.

    • با استفاده از تست نفوذ می‌توان تا حدود زیادی از امنیت شبکه و امنیت اطلاعات درون آن اطمینان حاصل کرد. با توجه به خطرات بسیار زیاد سایبری، تمامی شرکت‌ها و مؤسسات بزرگ اقدام به انجام این کار با همکاری متخصصین امنیت شناخته شده می‌کنند.

دلایل انجام تست نفوذ

دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دسته‌بندی می‌گردند.

اولین دلیل انجام تست نفوذ می‌توان به خطرات و شکاف‌های امنیتی نام برد که باعث می‌گردد سرمایه‌های (چه ازلحاظ اطلاعاتی و مالی) سازمان‌ها به خطر انداخته شوند.

دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینه‌های اضافی امنیتی سازمان‌ها است. با مشخص کردن شکاف‌های امنیتی و نقاط ضعف، سازمان می‌تواند از هزینه‌های اضافی که برای امنیت در سازمان پرداخت می‌کند، جلوگیری به عمل آورد.

سومین دلیل اطمینان خاطری است که سازمان‌ها بعد از تست نفوذ به دست می‌آورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمان‌ها را در اختیار شما قرار می‌دهد.

چهارمین دلیل انجام تست نفوذ، دریافت گواهینامه‌ها و استانداردهای قابل‌اعتماد جهت حصول اطمینان از امنیت در سازمان است.

دلایل انجام تست نفوذ

الف) امنیت فیزیکی

در تست نفوذ اولین لایه‌ی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفته‌شده یا با توجه کمتری موردبررسی قرار می‌گیرد. ایمن کردن مکان‌های امنیتی سازمان‌ها یا سیستم‌ها ازنظر فیزیکی باعث می‌گردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژه‌ای داشته باشیم.

 ب) امنیت در شبکه

نفوذ به شبکه، یکی از متداول‌ترین و عمده‌ترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکاف‌ها و آسیب‌پذیری‌های امنیتی در زیرساخت‌های شبکه‌ای سازمان‌ها است. این‌گونه از آزمایش‌ها را هم می‌توان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمان‌ها بنا به اولویت‌های امنیتی و نیازهای سازمانی می‌توان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در این‌گونه از تست نفوذ می‌توان به انواع آزمایش‌های زیر اشاره نمود.

• بررسی پیکربندی دیواره آتش و نحوه عملکرد آن

• فرار از چنگال سیستم‌های IDS&IPS

• بررسی‌های مربوط به سرویس DNS

• بررسی سرویس‌های مختلف ازجمله SSH و SQL

• بررسی پروتکل‌های لایه‌های Application، Transport و Network

 چ) امنیت در شبکه‌های بیسیم

غالباً سازمان‌ها از شبکه‌های بیسیم برای ارتباطات داخل یا بین سازمانی به‌عنوان یک راه‌حل آسان و کم‌هزینه استفاده می‌نمایند. در این سازمان‌ها ممکن است اطلاعات و داده‌های حساس در بستر بیسیم منتقل گردند. ازآنجایی‌که شبکه‌های بیسیم دارای امنیت کمتری نسبت به شبکه‌های کابلی هستند، باید نسبت به این شبکه‌ها تست‌های نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکل‌های ارتباطی و ارتباطات این شبکه‌ها، اطمینان حاصل نماییم.

 د) مهندسی اجتماعی و تست نفوذپذیری

در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقه‌ها و فریب‌های مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آن‌ها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، این‌گونه از حملات می‌تواند یکی از خطرناک‌ترین حملات در سطح سازمان باشد.

 و) تست نفوذ و ارزیابی برنامه‌های کاربردی وب

این نمونه از آزمایش‌ها را می‌توان یکی دیگر از حساس‌ترین بخش‌های امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیق‌تر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ می‌توانیم کلیه‌ی آسیب‌پذیری‌ها و شکاف‌های امنیتی مبتنی بر وب را کشف نماییم. ازآنجایی‌که این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید به‌صورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.

در وب‌سایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامه‌های کاربردی وب خواهیم داشت و کار خود را با آموزش‌های ویدیویی از پایه‌ی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وب‌سایت شکاف، شما می‌توانید از متخصصان برجسته امنیت برنامه‌های کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.

 ی)  کنترل و تست، سیستم‌های امنیتی

با توجه به افزایش حملات و تهدیدات، باید به‌صورت دوره‌ای تمامی سامانه‌ها و سیاست‌های امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاست‌های امنیتی دچار مشکل می‌گردند و یا به‌مرورزمان منسوخ می‌گردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاست‌ها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.

تست جعبه سیاه در مقابل جعبه سفید

تست نفوذ و یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی می تواند انجام شود. در واقع این تست می تواند به صورت محرمانه (تست جعبه سیاه) و یا به صورت عمومی (تست جعبه سفید) انجام پذیرد.

تفاوت اصلی در این روشها میزان دانش تست کنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست نفوذ به روش جعبه سیاه فرض می شود تست کنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند و لذا ابتدا باید گستردگی و توزیع سیستم را یافته و سپس شروع به تحلیل کنند. این مرحله بسیار زمان بر بوده و به عنوان مرحله جمع آوری اطلاعات شناخته می شود.

در نقطه مقابل و در انتهای دیگر طیف، روش جعبه سفید وجود دارد که در آن اطلاعات کامل زیر ساخت، در اختیار تست کنندگان قرار می گیرد. این اطلاعات معمولاً شامل نمودارهای شبکه، کد منبع و اطلاعات آدرس دهی IP است.

 در میان این دو، طیف گسترده ای وجود دارد که آن را به عنوان روش جعبه خاکستری می شناسند. همچنین تست های نفوذ بنا بر میزان اطلاعاتی که در اختیار تست کنندگان قرار می گیرد به عنوان تست های “افشای کامل”، “افشای جزئی” و یا “کور” نیز توضیح داده می شوند.

 بحث هایی بر سر میزان شایستگی نسبی هر کدام از این روش ها وجود دارد. تست به روش جعبه سیاه حملاتی را از طرف یک فرد ناآشنا با سیستم شبیه سازی می کند. تست به روش جعبه سفید حملاتی را از داخل سازمان و یا بعد از نشت اطلاعات حساس شبیه سازی می کند که در آن مهاجم به نقشه شبکه، کد منبع و حتی برخی از کلمات عبور دسترسی دارد.

تست داخلی در مقابل تست خارجی

امروزه بسیاری از سازمان ها و شرکت ها دارای شبکه داخلی یا LAN هستند که از طریق آن بین کامپیوترها و منابع ارتباط برقرار کرده و می توانند برخی از منابع را از این طریق به اشتراک گذارند. در اینجا منظور از شبکه داخلی همه کامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است که در داخل شرکت یا سازمان قابل دسترسی هستند.

منظور از دستگاه های خارجی، آنهایی هستند که از طریق اینترنت و یا بخش عمومی شبکه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)، میل سرورها (POP3 و SMTP) و سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی گفته شده و معمولاً از آنجایی که به اینترنت اتصال پیدا می کنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرفته می شود، اما تحقیقات نشان داده است حدود ۵۰ درصد رخدادهای امنیتی در داخل سازمان رخ می دهند و هزینه ای را که بر سازمان تحمیل می کنند بسیار بیشتر از حملات خارج سازمانی است. برای مثال هر حمله داخلی به طور متوسط ۲٫۷ میلیون دلار و هر حمله خارجی ۵۷ هزار دلار برای شرکت اراکل هزینه دارد.

 تست هایی که برای مشخص کردن آسیب پذیری های با دسترسی به منابع داخلی سازمان و یا از طریق مهندسی اجتماعی انجام می شوند، به عنوان تست داخلی شناخته می شوند.\ تست های داخلی می توانند به خوبی نشان دهنده حملاتی که با دسترسی های مجاز انجام می شوند باشند. برای مثال می توان به حملاتی که از طرف کارمندان اخراجی انجام می شود، اشاره کرد.

در مقابل تست خارجی برای شبیه سازی حملاتی است که از طریق اینترنت قابل انجام هستند. برای مثال در صورتی که هدف از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست خارجی پیشنهاد می شود. البته بسیاری از سازمان ها و شرکت ها از هر دو روش برای تست نفوذ استفاده می کنند.

محدودیت های تست نفوذ

باید دقت داشت که تست نفوذ تنها یک تصویر لحظه ای از سیستم ها و شبکه ها در یک زمان مشخص است. این تست تنها بر روی سیستم هایی که در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی که توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.

ارتباط با ما

۰۹۱۲۳۳۶۹۵۱۹

Kambiz.Tayebi[at]gmail.com

بستن منو