تست نفوذ چیست؟
امروزه یکی از رویکردهای متداول به جهت حصول اطمینان از قرار گرفتن سازمان در یک سطح قابل قبول امنیت شبکه و امنیت اطلاعاتی، اجرای تست نفوذ در زیر ساخت فناوری اطلاعات سازمان است. بدین ترتیب در این رویکرد، متخصصین نفوذهای امنیتی، با اطلاع رسانی به مراجع ذیربط سازمانی، بدون این که آسیبی به زیر ساخت فناوری اطلاعات سازمانی وارد نمایند، با استفاده از روش ها و راهکار های خاص، اقدام به نفوذ به زیر ساخت سازمان مینمایند و بدین ترتیب، به صورت زنده به کشف آسیب پذیری ها و شکاف های امنیتی سازمانی میپردازند.
مزایای انجام تست نفوذ و یا سنجش آسیب پذیری
مزایای اجرای تست نفوذ پذیری در رویکردی که باعث انجام این تست ها میشود، نهفته است. به طور کلی، اجرای تست های نفوذپذیری شناسایی عملیاتی آسیب پذیری های موجود در معماری زیر ساخت فناوری اطلاعات نظام های کسب و کاری است که اجرای این تست ها دارای مزایای متعددی برای سازمان میباشد. از مهمترین مزایای اجرای تست نفوذ میتوان به موارد زیر اشاره نمود:
- ارزیابی سطح امنیت در زیرساخت فناوری اطلاعات
- شناسایی و طبقه بندی تهدیدات و آسیب پذیری های موجود
- شناسایی و طبقه بندی ضررهای مالی و غیر مالی در صورت بروز حملات امنیتی به بخش های مختلف
- شناسایی سطح دشواری نفوذ و شناسایی پیچیدگی هایی که یک حمله به جهت نفوذ موفق به هر کدام از بخش های فناوری اطلاعات دارد
- پیش بینی رفتارهای حمله کنندگان و نفوذگران امنیتی
- اولویت بندی نیازمندی های امنیتی و مدیریت هزینه های برطرف نمودن آسیب پذیری ها
- جلوگیری و برطرف نمودن عوامل امنیتی که باعث ایجاد اختلال در سطح سرویس های کسب و کاری سازمان میشوند
- ارائه اطلاعات و داده های عملیاتی و زنده به جهت بهینه سازی فرایندهای مدیریت ریسک
در تعیین و انجام شرح فعالیت های مورد نیاز به جهت انجام تست های نفوذپذیری، فاکتور های پایه ای وجود دارند که میتوانند بر نحوه انجام تست نفوذ تاثیر گذار باشند. این فاکتورها و عوامل میتوانند رویکرد و نگرش کلی نسبت به انجام تست نفوذ را تغییر دهند. به طور کلی ۳ فاکتور کلی، برروی نحوه انجام تست های نفوذ پذیری تاثیر گذار میباشد، که لازم است پیش از اجرای این تست ها با توجه به سیاست ها، نیازمندی ها و محدودیت های کارفرما، به صورت دقیق مشخص گردند. در ادامه به تشریح این عوامل خواهیم پرداخت:
سطح اطلاعاتی که در اختیار نفوذگران قرار داده میشود:
این فاکتور که تعیین کننده ترین، عامل از عوامل تعیین روش اجرای تست های نفوذپذیری به شمار میرود، از جایگاه و اهمیت ویژه ای برخوردار است، چرا که علاوه بر تاثیرگذاری آن برروی روش عملیاتی تست، بسیار وابسته به سیاست های بدنه کارفرمایی است.
به طور کلی سطح اطلاعاتی که از معماری زیر ساخت فناوری اطلاعات، در اختیار نفوذگران قرار داده میشود، میتواند به صورت کامل و با جزییات و دقت کامل باشد و یا هیچ گونه اطلاعاتی در اختیار نفوذگران قرار داده نشود و یا حتی، متناسب با سیاست ها و محدوده انجام تست نفوذپذیری میتواند بخشی از اطلاعات موجود در اختیار نفوذگران قرار گیرد.
تعیین نقاط دسترسی به جهت اجرای عملیات تست نفوذ:
یکی دیگر از عوامل تاثیرگذار، ماهیت نقاط دسترسی به شبکه و زیر ساخت ارتباطی فناوری اطلاعات سازمان است. در این خصوص یکی از رویکردها، ایجاد دسترسی از محیط بیرون و از طریق شبکه اینترنت و به وسیله سرویس هایی است که مانند سرویس های مربوط به وب سرور، امکان دسترسی به آنها از طریق شبکه عمومی اینترنت امکان پذیر است.
در رویکرد دوم نیز، نفوذگران از طریق شبکه های ارتباطی داخلی زیر ساخت فناوری اطلاعات سازمان متصل میگردند و فعالیت های نفوذ را انجام میدهند، در بسیاری از موارد، بسته به سیاست های و نیازمندی های کارفرمایان، پیشنهاد میگردد تا تست های نفوذ هم از محیط داخلی و هم از محیط خارجی انجام پذیرد.
مزایای همکاری با شرکت در حوزه انجام تست نفوذپذیری:
- استفاده از بازه گسترده ای از ابزارهای حرفه ای رایگان و تجاری
- انعطاف بالا در اجرای تست های نفوذپذیری، متناسب با سیاست ها، محدودیت ها و نیازمندی های کارفرما
- اجرای تست نفوذپذیری به صورت White Box یا Black Box
- انجام تست های نفوذپذیری در رابطه با انواع فناوری ها و تکنولوژی های زیرساختی شبکه و ارتباطات
- انجام تست های مختلف بدون آسیب رسانی به سرویس ها و با حداقل زمان Down Time
- ارائه گزارشات تحلیلی از اطلاعات به دست آمده پس از اجرای تست نفوذ
- ارائه راهکارهای مفهومی و تفصیلی به جهت برطرف نمودن آسیب پذیری های امنیتی به دست آمده
میزان آگاهی و مشارکت نمایندگان کارفرما در مراحل مختلف اجرای تست نفوذپذیری:
یکی دیگر از عوامل تعیین کننده در نحوه اجرای تست های نفوذپذیری، نحوه اطلاع رسانی به کارفرما و نحوه در جریان قرار دادن نمایندگان کارفرما از فعالیت های در حال انجام است.
علاوه بر ۳ فاکتور اساسی و بنیادینی که در بالا به آنها اشاره گردید، با توجه به نیازمندی ها و سیاست های کارفرما، عوامل تاثیرگذار دیگری نیز وجود دارد که نسبت به سه فاکتور بالا، از اهمیت و حساسیت پایین تری برخوردار هستند، ولی در نحوه انجام فعالیت های اجرای تست های نفوذپذیری دارای اهمیت هستند.
از اهم این موارد میتوان به محدوده و قلمرو تست نفوذ که در آن اجزایی از زیر ساخت فناوری اطلاعات که میبایست مورد تست قرار گیرند مشخص میگردد، سطح نفوذ، که در آن به عمق و پیشروی فعالیت های مربوط به تست نفوذ اشاره میشود، تکنیک های نفوذ، که در آن خصوصیات فنی نحوه اجرای تست و ابزارهای مورد استفاده در تست نفوذ پذیری مشخص میگردد و … اشاره نمود.
در ادامه به شرح توانمندی های شرکت، در خصوص اجرای تست های نفوذپذیری در قالب مراحل و فازهای مورد نیاز پرداخته خواهد شد. بدیهی است که معیارهای بیان شده در فوق، میتواند تاثیرات زیادی بر روی این شرح خدمات داشته باشد. بدین ترتیب لازم است تا پیش از اجرای تست نفوذپذیری، این شرح خدمات مطابق با سیاست ها، محدودیت ها و نیازمندی های هر کارفرما، بومی سازی گردد.
| جمع آوری اطلاعات به صورت غیر فعال (Reconnaissance) |
|
|
|
|
|
|
|
|
| جمع آوری اطلاعات به صورت فعال (Assets Scanning) |
|
|
|
|
|
|
|
|
|
|
|
| شناسایی آسیبپذیریهای تجهیزات زیرساختی شبکه |
|
|
|
|
|
|
|
| شناسایی آسیب پذیریهای سیستمهای عامل و سرویسها |
|
|
|
|
|
|
|
|
|
|
|
|
| تحلیل وضعیت آسیبپذیریها |
|
|
|
|
|
|
| ارائه پیشنهاد به جهت برطرف نمودن آسیبپذیریها |
|
|
|
|
|