بصورت کلی، آزمون نفوذ یا Penetration Test، تلاشی برای ارزیابی امنیتی زیرساخت شبکه ها، برای کشف آسیب پذیریها و نواقص موجود در سیستم عامل، سرویس ها، برنامه های کاربردی و یا پیکربندی نامناسب و رفتار پرمخاطره کاربر، میباشد.
امروزه با توجه به افزایش استفاده از برنامه های کاربردی تحت وب و اپلیکیشن های موبایلی درهمه حوزه ها، حفظ امنیت این برنامه ها از اهمیت بالای خوردار شده است. این امر بدین دلیل است که وجود یک آسیب پذیری دریک برنامه میتواند منجر به نفوذ به کل سامانه و به تبع آن، ازدست رفتن محرمانگی، یکپارچگی و دسترسی پذیری داده ها، اطلاعات و خدمات سازمانی شود. بدین جهت ضروری بنظر میرسد که هر سامانه ای که قابل استفاده توسط گروهی از کاربران است، موردآزمون نفوذ قرارگیرد. چنین ارزیابی ای در اعتبارسنجی مکانیزم های دفاعی و پایبندی کاربران به سیاستهای امنیتی نیز مفید است.
آزمون نفوذ معمولا با استفاده از تکنولوژیهای خودکار یا دستی انجام میشود تا سرورها، کلاینت ها، برنامه های تحت وب، شبکه های وایرلس، تجهیزات شبکه و دستگاه های موبایل را بصورت سیستماتیک و آزمایشی به خطر بیندازد. در صورتی که از آسیب پذیری ها با موفقیت برروی سیستم مورد نظر شناسایی گردد، آزمونگر سعی با استفاده از این سیستم آسیب پذیر، برای اجرا کردن و دسترسی غیرمجاز بیشتر در منابع داخلی سازمان استفاده نماید. در نهایت و با پایان این تست، اطلاعات جمع آوری شده در مورد آسیب پذیریهای امنیتی کشف شده، به مدیران شبکه ارائه شده که این اطلاعات به آنها در جهت تصمیم گیری برای برطرف سازی و اولویت بندی اصلاح آسیب پذیری ها کمک می کند.
بعبارتی دیگر، تست نفوذ به مجموعهای از فعالیتهای است که برای شناسایی و Exploit کردن آسیبپذیریهای امنیتی انجام میشود، اطلاق شده که کمک میکند که کارآمدی یا ناکارآمدی اقدامات امنیتی بررسی و تایید گردد.
در این مقاله نمایی کلی از تست نفوذ ارائه میشود و همچنین مزایا، استراتژیها و روشهای انجام تست نفوذ مورد بحث قرار میگیرد.
همانطور که اشاره شد، تست نفوذ شامل سه مرحله آمادهسازی تست، انجاک تست و تجزیه، تحلیل و Exploit کردن آسیبپذیری میشود. در این روند هدف اصلی، شناسایی آسیبپذیریهای امنیتی تحت شرایطی کنترلشده است تا قبل از اینکه کاربران احراز هویت نشده از آنها سوءاستفاده کنند، این آسیبپذیریها رفع شوند. متخصصان سیستمهای رایانهای از تست نفوذ استفاده میکنند تا به مشکلات موجود در ارزیابی آسیبپذیری پاسخ دهند و روی آسیبپذیریها با وخامت بالا تمرکز کنند. در مجموع، تست نفوذ یک ابزار ارزیابی ارزشمند است که هم برای کسب وکار و هم عملیات آن مفید میباشد.
امروزه سازمانهای پیشرفته، میلیون ها دلار هزینه صرف رفع یک نقض امنیتی، به منظور اطلاعرسانی، تلاش برای اصلاح، افزایش بهره وری و درآمد خود، میکنند. مطالعهای در CSI (مطالعه مصادیق مجرمانه) نشان میدهد که هر تلاش برای بازیابی یک نقض امنیتی، 713,167 دلار، به ازای هر رخداد، هزینه دارد. این در حالی است که تست نفوذ میتواند پیش از اینکه این نقضهای امنیتی رخ بدهند، ریسکها را شناسایی کرده و به آنها پاسخ دهند و در نتیجه از ضررهای مالی پیشگیری نماید.
این درحالی است که یک حادثه امنیتی می تواند برای دادههای کاربران بسیار مخرب باشد و موجب از دست رفتن اعتماد آنها و اعتبار کسب وکار کل سازمان شود. تست نفوذ باعث می شود که بتوان آگاهی بیشتری از اهمیت امنیت را در تمام سطوح سازمان فراهم ساخت و از حوادث امنیتی که تصویر سازمانی را تهدید میکنند، اعتبار را به خطر میاندازند و روی وفاداری کاربران تأثیر میگذارد اجتناب نماید.
همچنین هر سازمانی دارای الزامات نظارتی اجباری برای سیستمهای رایانهای خود بوده و عدم تطبیقپذیری میتواند منجر به جریمههای سنگینی را از جانب ناظران امنیتی متحمل شوند. تست نفوذ به عنوان یک سرویس پیشگیرانه، اطلاعات کاملی را درباره شرایط امنیتی شبکه فراهم میکند که به سازمان کمک مینماید تا با جوانب ممیزی و تطبیقپذیری این ناظران هماهنگ باشند.
از طرف دیگر، تست نفوذ کارآمدی محصولات امنیتی موجود را ارزیابی کرده و استدلالهایی را در حمایت از سرمایهگذاری بیشتر روی تکنولوژیهای امنیتی یا ارتقای آنها فراهم میکند. این تست مدرکی را برای اثبات مشکل فراهم کرده و میتواند مدیران ارشد را برای سرمایهگذاری توجیه کند.
در مجموع، اگر از منظر کسب وکار، نگاهی کلی به تست نفوذ بیاندازیم، متوجه خواهیم شد که این تست به مدیران، ناظران وکاربران، در حفظ تصویر شفاف سازمانی و توجیه منطقی سرمایهگذاری روی امنیت اطلاعات، کمک میکند و در مقابل ضررهای مالی، بی ثباتی و عدم تطبیقپذیری از سازمان محافظت میکند.
اسکن آسیبپذیری ها یک فرایند خودکارسازی شده است که برای کمک به شناسایی آسیبپذیریهای قابل بهرهبرداری در برنامه های کاربردی طراحی شده است. وقتی آسیبپذیریهای جدیدی کشف شده و بهطور عمومی افشا میشوند، Signatureهای جدیدی برای این آسیبپذیریها ایجاد میگردند. یک اسکنر آسیبپذیری با استفاده از فهرست Signatureهای خود، یک برنامه کاربردی را تست کرده و همه آسیبپذیریهای موجود را شناسایی میکند.
حال ممکن است برای مدیران امنیتی این سوال پیش بیاید که اهمیت تست نفوذ بیشتر است یا اسکن آسیب پذیریها؟ معمولا بسیاری اسکن آسیبپذیری را به عنوان یک جایگزین برای تست نفوذ درنظر میگیرند. روندی که به لحاظ امنیتی اشتباه است. سازمانی که دربارهی امنیت سایبری آگاهی دارد باید در فرآیندهای تجاری خود هر دو فعالیت قید شده را در نظر گرفته و از هماهنگی کارکرد آنها اطمینان حاصل کند. حذف هر کدام از آنها، موجب کاهش چشمگیر امنیت در شبکه و برنامههای کاربردی وب میشود. همچنین اهمیت تست نفوذ و اسکن آسیبپذیری بطور جداگانه به عنوان الزامات انطباقی به عنوان مثال با PCI DSS یا(HIPAA) درنظر گرفته میشوند.
این در حالی است که برخی اوقات تستهای نفوذ، کاملتر از اسکنهای آسیبپذیری درنظر گرفته میشوند اما در واقعیت، آنها حوزههای مختلفی ازآسیبپذیریها را پوشش میدهند. تست نفوذ روی چیزی تمرکز دارد که بطور خودکار کشف نمیشود. برای مثال می توان تمرکز بر روی آسیبپذیریهای عادی سازمان و آسیبپذیریهای جدید (Zero-Day) اشاره کرد. نمیتوان انتظار داشت که اسکن آسیبپذیریها جزئی از تست نفوذ باشد.
همچنین تست نفوذ می بایست حتما به دست یک فرد حرفهای و در عین حال معتمد انجام شود. زیرا در طی تست نفوذ، این فرد فعالیتهای یک هکر واقعی را تقلید میکند و به منابع تجاری سازمان نفوذ میکند. این فرد که به Pentester موسوم است، ممکن است یکی از کارکنان و یا یک شرکت خارجی باشد. اگر تست نفوذ نقض امنیتی را نشان دهد، کارشناس امنیت، ارزیابیهای دقیق آسیبپذیری و گزارش تست نفوذ را فراهم میکند و بدین ترتیب موجبات برطرف سازی آسیبپذیریهایی که منجر به نقض ایمنی میشوند را، فراهم میکند.
کسب وکارها معمولا تست نفوذ را به دلایل زیر به یک شخص یا شرکت ثانویه واگذار میکنند:
در دنیای ارتباطات امروزی، حفره های امنیتی و عدم وجود خلل در سرویس دهی برای سازمان ها درجه اهمیت بالایی دارند. این حفره های امنیتی و وقفه در سرویس دهی به صورت غیر مستقیم سازمان را با هزینه های هنگفت مالی و همچنین تهدید های مختلفی نظیر از دست دادن اعتبار، کاهش رضایت مخاطبان و حتی انعکاس اخبار منفی در رسانه ها مواجه می نماید که باعث تحمل جریمه و مجازات های قابل توجهی برای سازمان می گردد.
علاوه بر این باید توجه داشت که، برای سازمان ها، حفاظت از همه اطلاعات در همه موقعیت ها تقریباً غیر ممکن می باشد. از این رو سازمان ها به صورت سنتی به دنبال راه اندازی و نگهداری لایه های مکانیزم دفاعی امنیتی، شامل کنترل دسترسی کاربران، رمز نگاری اطلاعات، IPS، IDS و Firewall ها، بوده اند تا با این روش حفره های امنیتی را از میان بردارند. با ادامه روند استفاده از تکنولوژی های روز مانند تجهیزات امنیتی پیچیده و در نتیجه پیچیدگی های بوجود آمده پیدا کردن و حذف آسیب پذیری ها و محافظت در برابر خطرات امنیتی به مراتب مشکل تر شده است. هر روز آسیب پذیری های جدیدی کشف می شوند که در نتیجه باعث حمله های مداوم و پیشرفته مبتنی بر مسائل فنی و اجتماعی را صورت می دهند.
تست نفوذ شبکه فرآیندی است که بر اساس آن، سازمان ها می توانند توانایی ساختار خود، از لحاظ میزان محافظت از شبکه، برنامه ها و سیستم کاربران را با هدف عبور از لایه های امنیتی و دسترسی به اطلاعات و دارایی های با اهمیت را ارزیابی نماید. نتایج این تست ها، آسیب پذیری های امنیتی موجود، و یا فرآیندهای دارای نقاط ضعف را بررسی می نماید که به مدیران IT سازمان ها و متخصصان امنیت امکان طبقه بندی آسیب پذیری ها و انجام فرآیندهایی جهت برطرف کردن آن ها را ارایه می نماید. با انجام متناوب یک تست نفوذ جامع، سازمان به صورت موثر می تواند خطرات امنیتی را پیش بینی نماید و مانع از هرگونه دسترسی غیر مجاز به سیستم های حساس و اطلاعات با ارزش گردد.
زمانی که کسبوکار یک راهکار اسکن آسیبپذیریها را پیادهسازی میکند، هیچ محدودیتی برای اینکه چند وقت یکبار این امر اجرا شود وجود ندارد. تنها نکته قابل توجه این است که چنین اسکنهایی ممکن است بر روی منابع متمرکز باشند. بنابراین کسبوکارها عموما تصمیم میگیرند تا اسکن را طی ساعات تعطیل انجام دهند. راهکارهای اسکن کردن حرفهای آسیبپذیریها نیز معمولا طراحی شدهاند تا با چرخه توسعه نرمافزار یکپارچه شوند. در نتیجه چنین تستهایی ممکن است پس از هر تعویض کد منابع با استفاده از راهکار یکپارچهسازی مداوم صورت گیرد.
از سوی دیگر، تستهای نفوذ بسیار زمانبر، پرهزینه و متمرکز بر منابع هستند. این دلیلی است که آنها معمولا چندماه یکبار یا در فواصل طولانیتر انجام میشوند.
تست نفوذ می بایست، بوسیله شناسایی خطرات احتمالی جدید و یا پیش بینی آسیب پذیری هایی که ممکن است مورد سوء استفاده هکرها قرار گیرد، در جهت اطمینان از پایداری ساختار IT و مدیریت امنیت شبکه، به طور منظم و براساس یک روال همیشگی انجام پذیرد. داشتن یک برنامه منظم جهت آنالیز و ارزیابی نیازمند یک استاندارد از پیش تدوین شده می باشد که به طور مثال می توان به موارد زیر اشاره کرد :
تست نفوذ مزایای در اختیار سازمان ها قرار می دهد که در اینجا می توان به تعدادی از آن اشاره نمود :
تست نفوذ اطلاعات دقیقی از مخاطرات امنیتی موجود تهیه می نماید، که با استفاده از آن سازمان ها می توانند به صورت پیشگیرانه، به شناسایی آسیب پذیری ها از لحاظ درجه اهمیت و یا بررسی صحت درستی آن آسیب پذیری اقدام نمایند. این ویژگی به سازمان ها، امکان انجام روال های مرتفع سازی، طبقه بندی و اولویت بندی مناسب را داده و با اعمال وصله های امنیتی درست و اختصاص تجهیزات و تنظیمات امنیتی، حفاظت از ساختار را تضمین نمایند.
بازیابی ساختاری که مورد نفوذ قرار گرفته است، سازمان ها را متحمل هزینه های هنگفت مالی، در جهت بهبود شرایط IT، محافظت از مشتریان، حفظ چشم اندازها و فعالیت ها، می نماید و همچنین بروز این اتفاقات باعث کاهش اعتماد شرکای تجاری، عدم بهره وری منابع انسانی و خدمات رسانی، میگردد. تست نفوذ جهت جلوگیری از بروز مشکلات مالی و بی اعتمادی در سازمان ها، با اقدامات شناسایی پیشگیرانه و برطرف کردن خطر حمله یا نفوذ امنیتی، به سازمان کمک می نماید.
تست نفوذ به سازمان ها کمک می کند تا در پیاده سازی قوانین و مقررات ابلاغی توسط دولت و یا نهادهای وابسته در حوزه امنیت، کمتر دچار مشکل شده و با بررسی و آنالیز طبق قوانین و مقررات تنظیم شده، مانع از بروز هرگونه تخلف ناشی از بازرسی های دوره ای توسط متولیان این امر گردد.
تنها یک اتفاق خطر ساز در خصوص اطلاعات افراد و یا سازمان می تواند در ابعاد مختلفی از جمله اعتبار سازمان در افکار جامعه و همچنین تأثیر در تعامل سازمان با کاربران باعث مشکلات و هزینه های فراوانی گردد. تست نفوذ شبکه همواره در جهت جلوگیری از خطراتی که اعتبار و اصول سازمان را هدف قرارداده است همراه و کمک رسان سازمان های محترم می باشد.
در هنگام تعیین حوزه و اهداف تست نفوذ، دو بخش باید مدنظر قرار گیرند: استراتژیهای تست و انواع تست. عموما براساس میزان اطلاعاتی که در دسترس تستکننده قرار داشته باشد، سه استراتژی زیر برای تست نفوذ وجود دارد:
در این روش تستکنندهها هیچ اطلاعاتی در مورد هدف تست ندارند. آنها خودشان باید خلأهای سیستم را پیدا کنند. این کار مشابه استراتژی Blind Test است که اقدامات و فرایندهای یک مهاجم واقعی را شبیه سازی میکند که هیچ اطلاعاتی در مورد هدف تست ندارد.
تستکنندهها از تمام اطلاعات لازم در مورد هدف تست با خبر هستند. این استراتژی، یک تست هدفمند است که در آن تیم تست و سازمان با همکاری یکدیگر تست را انجام میدهند و پیش از تست، اطلاعات لازم برای تستکننده فراهم میشود.
در این روش ارائهی بخشی از اطلاعات در مورد هدف تست به تستکننده منجر میشود به تستکنندهها باید پیش از انجام تست، اطلاعات بیشتری را جمعآوری کنند.
همچنین با توجه به اهداف بهخصوص هر تست، دو استراتژی تست نفوذ وجود دارد که شامل تستهای خارجی و داخلی هستند.
این روش به هر حملهای روی هدف تست اشاره دارد که از فرایندهای خارج از سازمان صاحب هدف تست استفاده میکند. هدف تست خارجی این است که متوجه شویم آیا یک مهاجم خارجی میتواند وارد شود یا نه و اینکه پس از بدست آوردن دسترسی تا چه عمقی میتواند پیشروی کند.
این روش از درون سازمانی انجام میشود که صاحب هدف تست است. فایدهی این استراتژی این است که تخمین زده شود یک کارمند ناراضی میتواند چه آسیبی به سازمان بزند.
مشتریان میتوانند برای اطلاع از نحوه سفارش گذاری و تهیه محصولات با کارشناسان بازرگانی شرکت سورنا ارتباط برقرار کنند.
شرکت افزار پرداز هوشمند سورنا با بیش از 10 سال سابقه در صنعت شبکه و دارای سابقه همکاری با ارگان های خصوصی و دولتی و با برخورداری از گواهینامه خدمات فنی، عملیاتی و امنیت افتا و شورای عالی خدمات انفورماتیک ایران و بعنوان شناخته ترین و بزرگترین تامین کننده لایسنس های اورجینال و اصل در ایران، امکان راه اندازی و پیاده سازی زیرساخت های شبکه و امنیت موسسات کوچک تا پیشرفته علاوه بر تامین لایسنس برای تمامی برندهای مطرح و شناخته شده موجود در جهان در حوزه شبکه و امنیت را دارا می باشد.
02188807834(98+)
02128423333(98+)
تهران - خیابان فلسطین - ساختمان یکتا - طبقه 2 - واحد 31
طـبق ماده 12 فصل سوم قانون جرائم رایانه ای هرگونه کپی برداری از مطالب سایت ممنوع و پیگرد قانونی دارد.