تست نفوذ چیست؟
امروزه یکی از رویکردهای متداول به جهت حصول اطمینان از قرار گرفتن سازمان در یک سطح قابل قبول امنیت شبکه و امنیت اطلاعاتی، اجرای تست نفوذ در زیر ساخت فناوری اطلاعات سازمان است. بدین ترتیب در این رویکرد، متخصصین نفوذهای امنیتی، با اطلاع رسانی به مراجع ذیربط سازمانی، بدون این که آسیبی به زیر ساخت فناوری اطلاعات سازمانی وارد نمایند، با استفاده از روش ها و راهکار های خاص، اقدام به نفوذ به زیر ساخت سازمان مینمایند و بدین ترتیب، به صورت زنده به کشف آسیب پذیری ها و شکاف های امنیتی سازمانی میپردازند.
مزایای انجام تست نفوذ و یا سنجش آسیب پذیری
مزایای اجرای تست نفوذ پذیری در رویکردی که باعث انجام این تست ها میشود، نهفته است. به طور کلی، اجرای تست های نفوذپذیری شناسایی عملیاتی آسیب پذیری های موجود در معماری زیر ساخت فناوری اطلاعات نظام های کسب و کاری است که اجرای این تست ها دارای مزایای متعددی برای سازمان میباشد. از مهمترین مزایای اجرای تست نفوذ میتوان به موارد زیر اشاره نمود:
- ارزیابی سطح امنیت در زیرساخت فناوری اطلاعات
- شناسایی و طبقه بندی تهدیدات و آسیب پذیری های موجود
- شناسایی و طبقه بندی ضررهای مالی و غیر مالی در صورت بروز حملات امنیتی به بخش های مختلف
- شناسایی سطح دشواری نفوذ و شناسایی پیچیدگی هایی که یک حمله به جهت نفوذ موفق به هر کدام از بخش های فناوری اطلاعات دارد
- پیش بینی رفتارهای حمله کنندگان و نفوذگران امنیتی
- اولویت بندی نیازمندی های امنیتی و مدیریت هزینه های برطرف نمودن آسیب پذیری ها
- جلوگیری و برطرف نمودن عوامل امنیتی که باعث ایجاد اختلال در سطح سرویس های کسب و کاری سازمان میشوند
- ارائه اطلاعات و داده های عملیاتی و زنده به جهت بهینه سازی فرایندهای مدیریت ریسک
در تعیین و انجام شرح فعالیت های مورد نیاز به جهت انجام تست های نفوذپذیری، فاکتور های پایه ای وجود دارند که میتوانند بر نحوه انجام تست نفوذ تاثیر گذار باشند. این فاکتورها و عوامل میتوانند رویکرد و نگرش کلی نسبت به انجام تست نفوذ را تغییر دهند. به طور کلی ۳ فاکتور کلی، برروی نحوه انجام تست های نفوذ پذیری تاثیر گذار میباشد، که لازم است پیش از اجرای این تست ها با توجه به سیاست ها، نیازمندی ها و محدودیت های کارفرما، به صورت دقیق مشخص گردند. در ادامه به تشریح این عوامل خواهیم پرداخت:
سطح اطلاعاتی که در اختیار نفوذگران قرار داده میشود:
تعیین نقاط دسترسی به جهت اجرای عملیات تست نفوذ:
مزایای همکاری با شرکت در حوزه انجام تست نفوذپذیری:
- استفاده از بازه گسترده ای از ابزارهای حرفه ای رایگان و تجاری
- انعطاف بالا در اجرای تست های نفوذپذیری، متناسب با سیاست ها، محدودیت ها و نیازمندی های کارفرما
- اجرای تست نفوذپذیری به صورت White Box یا Black Box
- انجام تست های نفوذپذیری در رابطه با انواع فناوری ها و تکنولوژی های زیرساختی شبکه و ارتباطات
- انجام تست های مختلف بدون آسیب رسانی به سرویس ها و با حداقل زمان Down Time
- ارائه گزارشات تحلیلی از اطلاعات به دست آمده پس از اجرای تست نفوذ
- ارائه راهکارهای مفهومی و تفصیلی به جهت برطرف نمودن آسیب پذیری های امنیتی به دست آمده
میزان آگاهی و مشارکت نمایندگان کارفرما در مراحل مختلف اجرای تست نفوذپذیری:
جمع آوری اطلاعات به صورت غیر فعال (Reconnaissance) |
|
|
|
|
|
|
|
|
جمع آوری اطلاعات به صورت فعال (Assets Scanning) |
|
|
|
|
|
|
|
|
|
|
|
شناسایی آسیبپذیریهای تجهیزات زیرساختی شبکه |
|
|
|
|
|
|
|
شناسایی آسیب پذیریهای سیستمهای عامل و سرویسها |
|
|
|
|
|
|
|
|
|
|
|
|
تحلیل وضعیت آسیبپذیریها |
|
|
|
|
|
|
ارائه پیشنهاد به جهت برطرف نمودن آسیبپذیریها |
|
|
|
|
|