تست نفوذ
پروسه مجاز، برنامه ریزی شده و سیستماتیک برای به کارگیری آسیب پذیری ها جهت نفوذ به سرور، شبکه و یا منابع برنامه های کاربردی
تست نفوذ چیست؟
تست نفوذ با رویکردی بر ارزیابی امنیت سازمانها و سیستمها میتواند بهعنوان یک بازرسی هدفمند و قانونی، سطح امنیت را مشخص نماید. در فرایند تست نفوذ، مختصصین با استفاده از فنها و شگردها، شروع به شبیهسازی حمله به سازمان و سیستمها را انجام میدهند و در انتها گزارش کاملی را به سازمانها ارائه داده و نحوه اصلاح ضعفهای امنیتی شبکه و ساختار سازمان را مورد تجزیهوتحلیل قرار میدهند. این سلسلهمراتب باید برای سازمانها و سیستمها بهصورت فرایندی چرخهای همیشه و در بازههای زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.

انواع تست نفوذ
- White Box Penetration test: در این نوع تست متخصصان امنیت اجراکنندهی تست نفوذ از قبل اطلاعاتی را دربارهی سیستم مورد آزمایش دریافت کردهاند.
• Black Box Penetration test: این نوع تست که به تست نفوذ Blind نیز مشهور است اشاره به زمانی دارد که متخصصان اطلاعات، هیچ اطلاعاتی را دربارهی سیستم مورد هدف جز نام آن دریافت نکردهاند.
• Covert Penetration test: این نوع تست که به تست نفوذ double-blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچکس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حملهی کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکنندهی تست اطلاعاتی پایهای دربارهی موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.
• External Penetration test: در این نوع تست، متخصصان امنیت اجراکنندهی تست نفوذ به سیستمهای خارجی کمپانی یعنی وبسایت و سرورهای شبکهی خارجی آنها حمله میکنند. در برخی موارد متخصصان امنیت استخدام شده حتی اجازهی ورود به شرکت مورد نظر را ندارند.
• Internal Penetration test: در این نوع، متخصصان امنیت استخدام شده برای انجام تست نفوذ کار خود را در شبکهی درونی شرکت انجام میدهند. در این نوع تست میتوان میزان نفوذپذیری شرکت را از درون آن تعیین کرد. این موضوع به خصوص برای حفاظت امنیت شبکه در مقابل کارکنان درون خود شرکت اهمیت دارد.
با استفاده از تست نفوذ میتوان تا حدود زیادی از امنیت شبکه و امنیت اطلاعات درون آن اطمینان حاصل کرد. با توجه به خطرات بسیار زیاد سایبری، تمامی شرکتها و مؤسسات بزرگ اقدام به انجام این کار با همکاری متخصصین امنیت شناخته شده میکنند.
دلایل انجام تست نفوذ
دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دستهبندی میگردند.
اولین دلیل انجام تست نفوذ میتوان به خطرات و شکافهای امنیتی نام برد که باعث میگردد سرمایههای (چه ازلحاظ اطلاعاتی و مالی) سازمانها به خطر انداخته شوند.
دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینههای اضافی امنیتی سازمانها است. با مشخص کردن شکافهای امنیتی و نقاط ضعف، سازمان میتواند از هزینههای اضافی که برای امنیت در سازمان پرداخت میکند، جلوگیری به عمل آورد.
سومین دلیل اطمینان خاطری است که سازمانها بعد از تست نفوذ به دست میآورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمانها را در اختیار شما قرار میدهد.
چهارمین دلیل انجام تست نفوذ، دریافت گواهینامهها و استانداردهای قابلاعتماد جهت حصول اطمینان از امنیت در سازمان است.

دلایل انجام تست نفوذ
الف) امنیت فیزیکی
در تست نفوذ اولین لایهی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفتهشده یا با توجه کمتری موردبررسی قرار میگیرد. ایمن کردن مکانهای امنیتی سازمانها یا سیستمها ازنظر فیزیکی باعث میگردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژهای داشته باشیم.
ب) امنیت در شبکه
نفوذ به شبکه، یکی از متداولترین و عمدهترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکافها و آسیبپذیریهای امنیتی در زیرساختهای شبکهای سازمانها است. اینگونه از آزمایشها را هم میتوان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمانها بنا به اولویتهای امنیتی و نیازهای سازمانی میتوان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در اینگونه از تست نفوذ میتوان به انواع آزمایشهای زیر اشاره نمود.
• بررسی پیکربندی دیواره آتش و نحوه عملکرد آن
• فرار از چنگال سیستمهای IDS&IPS
• بررسیهای مربوط به سرویس DNS
• بررسی سرویسهای مختلف ازجمله SSH و SQL
• بررسی پروتکلهای لایههای Application، Transport و Network
چ) امنیت در شبکههای بیسیم
غالباً سازمانها از شبکههای بیسیم برای ارتباطات داخل یا بین سازمانی بهعنوان یک راهحل آسان و کمهزینه استفاده مینمایند. در این سازمانها ممکن است اطلاعات و دادههای حساس در بستر بیسیم منتقل گردند. ازآنجاییکه شبکههای بیسیم دارای امنیت کمتری نسبت به شبکههای کابلی هستند، باید نسبت به این شبکهها تستهای نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکلهای ارتباطی و ارتباطات این شبکهها، اطمینان حاصل نماییم.
د) مهندسی اجتماعی و تست نفوذپذیری
در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقهها و فریبهای مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آنها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، اینگونه از حملات میتواند یکی از خطرناکترین حملات در سطح سازمان باشد.
و) تست نفوذ و ارزیابی برنامههای کاربردی وب
این نمونه از آزمایشها را میتوان یکی دیگر از حساسترین بخشهای امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیقتر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ میتوانیم کلیهی آسیبپذیریها و شکافهای امنیتی مبتنی بر وب را کشف نماییم. ازآنجاییکه این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید بهصورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.
در وبسایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامههای کاربردی وب خواهیم داشت و کار خود را با آموزشهای ویدیویی از پایهی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وبسایت شکاف، شما میتوانید از متخصصان برجسته امنیت برنامههای کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.
ی) کنترل و تست، سیستمهای امنیتی
با توجه به افزایش حملات و تهدیدات، باید بهصورت دورهای تمامی سامانهها و سیاستهای امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاستهای امنیتی دچار مشکل میگردند و یا بهمرورزمان منسوخ میگردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاستها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.






تست جعبه سیاه در مقابل جعبه سفید
تست نفوذ و یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی می تواند انجام شود. در واقع این تست می تواند به صورت محرمانه (تست جعبه سیاه) و یا به صورت عمومی (تست جعبه سفید) انجام پذیرد.
تفاوت اصلی در این روشها میزان دانش تست کنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست نفوذ به روش جعبه سیاه فرض می شود تست کنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند و لذا ابتدا باید گستردگی و توزیع سیستم را یافته و سپس شروع به تحلیل کنند. این مرحله بسیار زمان بر بوده و به عنوان مرحله جمع آوری اطلاعات شناخته می شود.
در نقطه مقابل و در انتهای دیگر طیف، روش جعبه سفید وجود دارد که در آن اطلاعات کامل زیر ساخت، در اختیار تست کنندگان قرار می گیرد. این اطلاعات معمولاً شامل نمودارهای شبکه، کد منبع و اطلاعات آدرس دهی IP است.
در میان این دو، طیف گسترده ای وجود دارد که آن را به عنوان روش جعبه خاکستری می شناسند. همچنین تست های نفوذ بنا بر میزان اطلاعاتی که در اختیار تست کنندگان قرار می گیرد به عنوان تست های “افشای کامل”، “افشای جزئی” و یا “کور” نیز توضیح داده می شوند.
بحث هایی بر سر میزان شایستگی نسبی هر کدام از این روش ها وجود دارد. تست به روش جعبه سیاه حملاتی را از طرف یک فرد ناآشنا با سیستم شبیه سازی می کند. تست به روش جعبه سفید حملاتی را از داخل سازمان و یا بعد از نشت اطلاعات حساس شبیه سازی می کند که در آن مهاجم به نقشه شبکه، کد منبع و حتی برخی از کلمات عبور دسترسی دارد.

تست داخلی در مقابل تست خارجی

امروزه بسیاری از سازمان ها و شرکت ها دارای شبکه داخلی یا LAN هستند که از طریق آن بین کامپیوترها و منابع ارتباط برقرار کرده و می توانند برخی از منابع را از این طریق به اشتراک گذارند. در اینجا منظور از شبکه داخلی همه کامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است که در داخل شرکت یا سازمان قابل دسترسی هستند.
منظور از دستگاه های خارجی، آنهایی هستند که از طریق اینترنت و یا بخش عمومی شبکه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)، میل سرورها (POP3 و SMTP) و سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی گفته شده و معمولاً از آنجایی که به اینترنت اتصال پیدا می کنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرفته می شود، اما تحقیقات نشان داده است حدود ۵۰ درصد رخدادهای امنیتی در داخل سازمان رخ می دهند و هزینه ای را که بر سازمان تحمیل می کنند بسیار بیشتر از حملات خارج سازمانی است. برای مثال هر حمله داخلی به طور متوسط ۲٫۷ میلیون دلار و هر حمله خارجی ۵۷ هزار دلار برای شرکت اراکل هزینه دارد.
تست هایی که برای مشخص کردن آسیب پذیری های با دسترسی به منابع داخلی سازمان و یا از طریق مهندسی اجتماعی انجام می شوند، به عنوان تست داخلی شناخته می شوند.\ تست های داخلی می توانند به خوبی نشان دهنده حملاتی که با دسترسی های مجاز انجام می شوند باشند. برای مثال می توان به حملاتی که از طرف کارمندان اخراجی انجام می شود، اشاره کرد.
در مقابل تست خارجی برای شبیه سازی حملاتی است که از طریق اینترنت قابل انجام هستند. برای مثال در صورتی که هدف از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست خارجی پیشنهاد می شود. البته بسیاری از سازمان ها و شرکت ها از هر دو روش برای تست نفوذ استفاده می کنند.
محدودیت های تست نفوذ
باید دقت داشت که تست نفوذ تنها یک تصویر لحظه ای از سیستم ها و شبکه ها در یک زمان مشخص است. این تست تنها بر روی سیستم هایی که در زمان اجرای تست در دسترس هستند و آسیب پذیری ها و نقص های امنیتی که توسط ابزارها و بسته های مختلف قابل شناسایی هستند، انجام می شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد.
