تست نفوذ

فهرست مطالب

راهکار Pentest

تست نفوذ (Pentest)

بصورت کلی، آزمون نفوذ یا Penetration Test، تلاشی برای ارزیابی امنیتی زیرساخت شبکه ها، برای کشف آسیب پذیریها و نواقص موجود در سیستم عامل، سرویس ها، برنامه های کاربردی و یا پیکربندی نامناسب و رفتار پرمخاطره کاربر، میباشد.

امروزه با توجه به افزایش استفاده از برنامه های کاربردی تحت وب و اپلیکیشن های موبایلی درهمه حوزه ها، حفظ امنیت این برنامه ها از اهمیت بالای خوردار شده است. این امر بدین دلیل است که وجود یک آسیب پذیری دریک برنامه میتواند منجر به نفوذ به کل سامانه و به تبع آن، ازدست رفتن محرمانگی، یکپارچگی و دسترسی پذیری داده ها، اطلاعات و خدمات سازمانی شود. بدین جهت ضروری بنظر میرسد که هر سامانه ای که قابل استفاده توسط گروهی از کاربران است، موردآزمون نفوذ قرارگیرد. چنین ارزیابی ای در اعتبارسنجی مکانیزم های دفاعی و پایبندی کاربران به سیاستهای امنیتی نیز مفید است.

 

تست نفوذ چیست؟

 

آزمون نفوذ معمولا با استفاده از تکنولوژیهای خودکار یا دستی انجام میشود تا سرورها، کلاینت ها، برنامه های تحت وب، شبکه های وایرلس، تجهیزات شبکه و دستگاه های موبایل را بصورت سیستماتیک و آزمایشی به خطر بیندازد. در صورتی که از آسیب پذیری ها با موفقیت برروی سیستم مورد نظر شناسایی گردد، آزمونگر سعی با استفاده از این سیستم آسیب پذیر، برای اجرا کردن و دسترسی غیرمجاز بیشتر در منابع داخلی سازمان استفاده نماید. در نهایت و با پایان این تست، اطلاعات جمع آوری شده در مورد آسیب پذیریهای امنیتی کشف شده، به مدیران شبکه ارائه شده که این اطلاعات به آنها در جهت تصمیم گیری برای برطرف سازی و اولویت بندی اصلاح آسیب پذیری ها کمک می کند.

بعبارتی دیگر، تست نفوذ به مجموعه‌ای از فعالیت‌های است که برای شناسایی و Exploit کردن آسیب‌پذیری‌های امنیتی انجام می‌شود، اطلاق شده که کمک می‌کند که کارآمدی یا ناکارآمدی اقدامات امنیتی بررسی و تایید گردد.

در این مقاله نمایی کلی از تست نفوذ ارائه می‌شود و همچنین مزایا، استراتژی‌ها و روش‌های انجام تست نفوذ مورد بحث قرار می‌گیرد.

مشتریان میتوانند برای اطلاع از نحوه سفارش گذاری و تهیه انواع لایسنس سولارویندز با کارشناسان بازرگانی شرکت افزار پرداز هوشمند سورنا ارتباط برقرار کنند.

چرا تست نفوذ (Pentest) لازم است؟

همانطور که اشاره شد، تست نفوذ شامل سه مرحله آماده‌سازی تست، انجاک تست و تجزیه، تحلیل  و Exploit کردن آسیب‌پذیری میشود. در این روند هدف اصلی، شناسایی آسیب‌پذیری‌های امنیتی تحت شرایطی کنترل‌شده است تا قبل از اینکه کاربران احراز هویت نشده از آن‌ها سوءاستفاده کنند، این آسیب‌پذیری‌ها رفع شوند. متخصصان سیستم‌های رایانه‌ای از تست نفوذ استفاده می‌کنند تا به مشکلات موجود در ارزیابی آسیب‌پذیری پاسخ دهند و روی آسیب‌پذیری‌ها با وخامت بالا تمرکز کنند. در مجموع، تست نفوذ یک ابزار ارزیابی ارزشمند است که هم برای کسب ‌و‌کار و هم عملیات آن مفید می‌باشد.

مزایای تست نفوذ چیست؟

امروزه سازمان‌های پیشرفته، میلیون ‌ها دلار هزینه صرف رفع یک نقض امنیتی، به منظور  اطلاع‌رسانی، تلاش برای اصلاح، افزایش بهره وری و درآمد خود، می‌کنند. مطالعه‌ای در CSI (مطالعه مصادیق مجرمانه) نشان میدهد که هر تلاش برای بازیابی یک نقض امنیتی، 713,167 دلار، به ازای هر رخداد، هزینه دارد. این در حالی است که تست نفوذ می‌تواند پیش از اینکه این نقض‌های امنیتی رخ بدهند، ریسک‌ها را شناسایی کرده و به آن‌ها پاسخ دهند و در نتیجه از ضررهای مالی پیشگیری نماید.

این درحالی است که یک حادثه امنیتی می تواند برای داده‌های کاربران بسیار مخرب باشد و موجب از دست رفتن اعتماد آنها و اعتبار کسب ‌و‌کار  کل سازمان شود. تست نفوذ باعث می شود که بتوان آگاهی بیشتری از اهمیت امنیت را در تمام سطوح سازمان فراهم ساخت و از حوادث امنیتی که تصویر سازمانی را تهدید می‌کنند، اعتبار را به خطر می‌اندازند و روی وفاداری کاربران تأثیر می‌گذارد اجتناب نماید.

همچنین هر سازمانی دارای الزامات نظارتی اجباری برای سیستم‌های رایانه‌ای خود بوده و عدم تطبیق‌پذیری می‌تواند منجر به جریمه‌های سنگینی را از جانب ناظران امنیتی متحمل شوند. تست نفوذ به ‌عنوان یک سرویس پیشگیرانه، اطلاعات کاملی را درباره شرایط امنیتی شبکه فراهم می‌کند که به سازمان کمک مینماید تا با جوانب ممیزی و تطبیق‌پذیری این ناظران هماهنگ باشند.

از طرف دیگر، تست نفوذ کارآمدی محصولات امنیتی موجود را ارزیابی کرده و استدلال‌هایی را در حمایت از سرمایه‌گذاری بیشتر روی تکنولوژی‌های امنیتی یا ارتقای آن‌ها فراهم می‌کند. این تست مدرکی را برای اثبات مشکل فراهم کرده و می‌تواند مدیران ارشد را برای سرمایه‌گذاری توجیه کند.

در مجموع، اگر از منظر کسب ‌و‌کار، نگاهی کلی به تست نفوذ بیاندازیم، متوجه خواهیم شد که این تست به مدیران، ناظران وکاربران، در حفظ تصویر شفاف سازمانی و توجیه منطقی سرمایه‌گذاری روی امنیت اطلاعات، کمک می‌کند و در مقابل ضررهای مالی، بی ثباتی و عدم تطبیق‌پذیری از سازمان محافظت میکند.

تفاوت تست نفوذ (Pentest) با اسکن آسیب‌پذیری‌ها

اسکن آسیب‌پذیری ها یک فرایند خودکارسازی ‌شده است که برای کمک به شناسایی آسیب‌پذیری‌های قابل بهره‌برداری در برنامه های کاربردی طراحی شده است. وقتی آسیب‌پذیری‌های جدیدی کشف شده و به‌طور عمومی افشا می‌شوند، Signatureهای جدیدی برای این آسیب‌پذیری‌ها ایجاد می‌گردند. یک اسکنر آسیب‌پذیری با استفاده از فهرست Signatureهای خود، یک برنامه کاربردی را تست کرده و همه آسیب‌پذیری‌های موجود را شناسایی می‌کند.

حال ممکن است برای مدیران امنیتی این سوال پیش بیاید که اهمیت تست نفوذ بیشتر است یا اسکن آسیب پذیری‌ها؟ معمولا بسیاری اسکن آسیب‌پذیری را به عنوان یک جایگزین برای تست نفوذ درنظر می‌گیرند. روندی که به لحاظ امنیتی اشتباه است. سازمانی که درباره‌ی امنیت شبکه سایبری آگاهی دارد باید در فرآیندهای تجاری خود هر دو فعالیت‌ قید شده را در نظر گرفته و از هماهنگی کارکرد آنها اطمینان حاصل کند. حذف هر کدام از آن‌ها، موجب کاهش چشمگیر امنیت در شبکه و برنامه‌های کاربردی وب می‌شود. همچنین اهمیت تست نفوذ و اسکن آسیب‌پذیری بطور جداگانه به عنوان الزامات انطباقی به عنوان مثال با PCI DSS یا(HIPAA)  درنظر گرفته می‌شوند.

این در حالی است که برخی اوقات تست‌های نفوذ، کامل‌تر از اسکن‌های آسیب‌پذیری درنظر گرفته می‌شوند اما در واقعیت، آنها حوزه‌های مختلفی ازآسیب‌پذیری‌ها را پوشش می‌دهند. تست نفوذ روی چیزی تمرکز دارد که بطور خودکار کشف نمی‌شود. برای مثال می توان تمرکز بر روی آسیب‌پذیری‌های عادی سازمان و آسیب‌پذیری‌های جدید (Zero-Day) اشاره کرد. نمی‌توان انتظار داشت که اسکن آسیب‌پذیری‌ها جزئی از تست نفوذ باشد.

همچنین تست نفوذ (Pentest) می بایست حتما به دست یک فرد حرفه‌ای و در عین حال معتمد انجام شود. زیرا در طی تست نفوذ، این فرد فعالیت‌های یک هکر واقعی را تقلید می‌کند و به منابع تجاری سازمان نفوذ می‌کند. این فرد که به Pentester موسوم است، ممکن است یکی از کارکنان و یا یک شرکت خارجی باشد. اگر تست نفوذ نقض امنیتی را نشان دهد، کارشناس امنیت، ارزیابی‌های دقیق آسیب‌پذیری و گزارش تست نفوذ را فراهم می‌کند و بدین ترتیب موجبات برطرف سازی آسیب‌پذیری‌هایی که منجر به نقض ایمنی می‌شوند را، فراهم میکند.

کسب‌ وکارها معمولا تست نفوذ را  به دلایل زیر به یک شخص یا شرکت ثانویه واگذار می‌کنند:

  • یک موجودیت خارجی درک عینی و بی‌طرفانه بیشتری نسبت به سیستم‌های تست شده دارد.
  • تمامی سازمان‌ها نمی‌توانند یک فرد حرفه‌ای در عرصه امنیت پیدا کنند که متخصص Pen Testing باشد و او را بطور تمام‌ وقت استخدام کرده و طی برنامه مشخص، میزان کار کافی به آنها بسپارند.
  • کسب‌وکارهایی که خدمات امنیتی جامع  ارائه می‌دهند، تجربه و تخصص بیشتری نیز دارند. این خدمات شامل ارزیابی آسیب‌پذیری‌ها و خدمات تست نفوذ هستند.

چرا انجام تست نفوذ شبکه برای تمامی سازمان ها از اولویت بالایی برخوردار است؟

در دنیای ارتباطات امروزی، حفره های امنیتی و عدم وجود خلل در سرویس دهی برای سازمان ها درجه اهمیت بالایی دارند. این حفره های امنیتی و وقفه در سرویس دهی به صورت غیر مستقیم سازمان را با هزینه های هنگفت مالی و همچنین تهدید های مختلفی نظیر از دست دادن اعتبار، کاهش رضایت مخاطبان و حتی انعکاس اخبار منفی در رسانه ها مواجه می نماید که باعث تحمل جریمه و مجازات های قابل توجهی برای سازمان می گردد.

علاوه بر این باید توجه داشت که، برای سازمان ها، حفاظت از همه اطلاعات در همه موقعیت ها تقریباً غیر ممکن می باشد. از این رو سازمان ها به صورت سنتی به دنبال راه اندازی و نگهداری لایه های مکانیزم دفاعی امنیتی، شامل کنترل دسترسی کاربران، رمز نگاری اطلاعات، IPS، IDS  و Firewall ها، بوده اند تا با این روش حفره های امنیتی را از میان بردارند. با ادامه روند استفاده از تکنولوژی های روز مانند تجهیزات امنیتی پیچیده و در نتیجه پیچیدگی های بوجود آمده پیدا کردن و حذف آسیب پذیری ها و محافظت در برابر خطرات امنیتی به مراتب مشکل تر شده است. هر روز آسیب پذیری های جدیدی کشف می شوند که در نتیجه باعث حمله های مداوم و پیشرفته مبتنی بر مسائل فنی و اجتماعی را صورت می دهند.

تست نفوذ (Pentest) شبکه فرآیندی است که بر اساس آن، سازمان ها می توانند توانایی ساختار خود، از لحاظ میزان محافظت از شبکه، برنامه ها و سیستم کاربران را با هدف عبور از لایه های امنیتی و دسترسی به اطلاعات و دارایی های با اهمیت را ارزیابی نماید. نتایج این تست ها، آسیب پذیری های امنیتی موجود، و یا فرآیندهای دارای نقاط ضعف را بررسی می نماید که به مدیران IT سازمان ها  و متخصصان امنیت امکان طبقه بندی آسیب پذیری ها و انجام فرآیندهایی جهت برطرف کردن آن ها را ارایه می نماید. با انجام متناوب یک تست نفوذ جامع، سازمان به صورت موثر می تواند خطرات امنیتی را پیش بینی نماید و مانع از هرگونه دسترسی غیر مجاز به سیستم های حساس و اطلاعات با ارزش گردد.

ارزیابی‌های امنیتی چند وقت یکبار باید انجام شوند؟

زمانی که کسب‌وکار یک راهکار اسکن آسیب‌پذیری‌ها را پیاده‌سازی می‌کند، هیچ محدودیتی برای اینکه چند وقت یکبار  این امر اجرا شود وجود ندارد. تنها نکته قابل توجه این است که چنین اسکن‌هایی ممکن است بر روی منابع متمرکز باشند. بنابراین کسب‌وکارها عموما تصمیم می‌گیرند تا اسکن را طی ساعات تعطیل انجام دهند. راهکارهای اسکن کردن حرفه‌ای آسیب‌پذیری‌ها نیز معمولا طراحی شده‌اند تا با چرخه توسعه نرم‌افزار یکپارچه شوند. در نتیجه چنین تست‌هایی ممکن است پس از هر تعویض کد منابع با استفاده از راهکار یکپارچه‌سازی مداوم صورت گیرد.

از سوی دیگر، تست‌های نفوذ بسیار زمان‌بر، پرهزینه و متمرکز بر منابع هستند. این دلیلی است که آنها معمولا چندماه یکبار یا در فواصل طولانی‌تر انجام می‌شوند.

بهترین زمان برای انجام تست نفوذ چیست؟

تست نفوذ (Pentest) می بایست، بوسیله شناسایی خطرات احتمالی جدید و یا پیش بینی آسیب پذیری هایی که ممکن است مورد سوء استفاده هکرها قرار گیرد، در جهت اطمینان از پایداری ساختار IT و مدیریت امنیت شبکه، به طور منظم و براساس یک روال همیشگی انجام پذیرد. داشتن یک برنامه منظم جهت آنالیز و ارزیابی نیازمند یک استاندارد از پیش تدوین شده می باشد که به طور مثال می توان به موارد زیر اشاره کرد :

  • زمان اضافه شدن تجهیزات و یا نرم افزارهای جدید
  • بعد از ارتقاء، بروز رسانی و یا اعمال تغییرات در لایه زیر ساخت شبکه و یا نرم افزارها
  • تأسیس یک ساختمان یا فضای فیزیکی جدید
  • بعد از بروز رسانی وصله های امنیتی
  • تغییرات در سیاست های امنیتی کاربران

چگونه سازمان می تواند از مزایای تست نفوذ بهره مند گردد؟

تست نفوذ (Pentest) مزایای در اختیار سازمان ها قرار می دهد که در اینجا می توان به تعدادی از آن اشاره نمود :

مدیریت هوشمندانه آسیب پذیری ها

تست نفوذ اطلاعات دقیقی از مخاطرات امنیتی موجود تهیه می نماید، که با استفاده از آن سازمان ها می توانند به صورت پیشگیرانه، به شناسایی آسیب پذیری ها از لحاظ درجه اهمیت و یا بررسی صحت درستی آن آسیب پذیری اقدام نمایند. این ویژگی به سازمان ها، امکان انجام روال های مرتفع سازی، طبقه بندی و اولویت بندی مناسب را داده و با اعمال وصله های امنیتی درست و اختصاص تجهیزات و تنظیمات امنیتی، حفاظت از ساختار را تضمین نمایند.

جلوگیری از هزینه های از دسترس خارج شدن شبکه

بازیابی ساختاری که مورد نفوذ قرار گرفته است، سازمان ها را متحمل هزینه های هنگفت مالی، در جهت بهبود شرایط IT، محافظت از مشتریان، حفظ چشم اندازها و فعالیت ها، می نماید و همچنین بروز این اتفاقات باعث کاهش اعتماد شرکای تجاری، عدم بهره وری منابع انسانی و خدمات رسانی، میگردد. تست نفوذ جهت جلوگیری از بروز مشکلات مالی و بی اعتمادی در سازمان ها، با اقدامات شناسایی پیشگیرانه و برطرف کردن خطر حمله یا نفوذ امنیتی، به سازمان کمک می نماید.

تست نفوذ در جهت رعایت استانداردها و جلوگیری از جرایم بازرسی قوانین دولتی

تست نفوذ به سازمان ها کمک می کند تا در پیاده سازی قوانین و مقررات ابلاغی توسط دولت و یا نهادهای وابسته در حوزه امنیت، کمتر دچار مشکل شده و با بررسی و آنالیز طبق قوانین و مقررات تنظیم شده، مانع از بروز هرگونه تخلف ناشی از بازرسی های دوره ای توسط متولیان این امر گردد.

حفظ اعتبار سازمان در سطح داخلی و خارجی

تنها یک اتفاق خطر ساز در خصوص اطلاعات افراد و یا سازمان می تواند در ابعاد مختلفی از جمله اعتبار سازمان در افکار جامعه و همچنین تأثیر در تعامل سازمان با کاربران باعث مشکلات و هزینه های فراوانی گردد. تست نفوذ شبکه همواره در جهت جلوگیری از خطراتی که اعتبار و اصول سازمان را هدف قرارداده است همراه و کمک رسان سازمان های محترم می باشد.

استراتژی‌های تست نفوذ

استراتژی‌ تست نفوذ

در هنگام تعیین حوزه و اهداف تست نفوذ، دو بخش باید مدنظر قرار گیرند: استراتژی‌های تست و انواع تست. عموما براساس میزان اطلاعاتی که در دسترس تست‌کننده قرار داشته باشد، سه استراتژی زیر برای تست نفوذ وجود دارد:

در تست نفوذ به روش Black Box

در این روش تست‌کننده‌ها هیچ اطلاعاتی در مورد هدف تست ندارند. آن‌ها خودشان باید خلأهای سیستم را پیدا کنند. این کار مشابه استراتژی Blind Test است که اقدامات و فرایندهای یک مهاجم واقعی را شبیه ‌سازی می‌کند که هیچ اطلاعاتی در مورد هدف تست ندارد.

تست نفوذ (Pentest) به روش White Box

تست‌کننده‌ها از تمام اطلاعات لازم در مورد هدف تست با خبر هستند. این استراتژی، یک تست هدف‌مند است که در آن تیم تست و سازمان با همکاری یکدیگر تست را انجام می‌دهند و پیش از تست، اطلاعات لازم برای تست‌کننده فراهم می‌شود.

تست نفوذ به روش Gray Box

در این روش ارائه‌ی بخشی از اطلاعات در مورد هدف تست به تست‌کننده منجر می‌شود به تست‌کننده‌ها باید پیش از انجام تست، اطلاعات بیشتری را جمع‌آوری کنند.

همچنین با توجه به اهداف به‌خصوص هر تست، دو استراتژی تست نفوذ وجود دارد که شامل تست‌های خارجی و داخلی هستند.

تست نفوذ خارجی

این روش به هر حمله‌ای روی هدف تست اشاره دارد که از فرایندهای خارج از سازمان صاحب هدف تست استفاده می‌کند. هدف تست خارجی این است که متوجه شویم آیا یک مهاجم خارجی می‌تواند وارد شود یا نه و اینکه پس از بدست آوردن دسترسی تا چه عمقی می‌تواند پیشروی کند.

تست نفوذ (Pentest) داخلی

این روش از درون سازمانی انجام می‌شود که صاحب هدف تست است. فایده‌ی این استراتژی این است که تخمین زده شود یک کارمند ناراضی می‌تواند چه آسیبی به سازمان بزند.

شرکت افراز پرداز هوشمند سورنا

شرکت افزار پرداز هوشمند سورنا از بدو تاسیس به صورت کاملا تخصصی در زمینه تامین لایسنس اورجینال برای محصولات مختلف نرم افزاری و سخت افزاری مرتبط با زیرساخت شبکه و امنیت اطلاعات فعالیت نموده و در حال حاضر به عنوان بزرگترین تامین کننده لایسنس در ایران، امکان تامین لایسنس برای تمامی برندهای مطرح و شناخته شده موجود در جهان در حوزه شبکه و امنیت را دارا می باشد.