آشنایی با تست نفوذ
تست نفوذ (pentest) یک روش تست، اندازه گیری و بهبود اقدامات امنیتی در ایجاد سیستم های اطلاعاتی و زمینه های پشتیبانی به معنی ارزیابی امنیت کلی سیستم قبل از اتفاق افتادن حمله (attack) است.
تست نفوذ يا ارزيابي امنيتي روشي است که توسط آن قادر خواهيم بود تا آسيبپذيريهاي موجود در نرمافزارها، شبکه، وبسايت و بانکهاي اطلاعاتي خود را شناسايي کرده و پيش از آنکه نفوذگران واقعي به سيستم وارد شوند، امنيت سیستم خود را افزايش دهيم. اين روش با استفاده از ارزيابي جنبههاي مختلف امنيتي کمک ميکند تا با کاهش دادن ريسکهاي امنيتي موجود، احتمال نفوذ غيرمجاز به شبکه را کاهش دهيم.
هدف از انجام تست نفوذ
تاثیر واقعی کنترل های امنیتی موجود بر سیستم، در برابر حملات طراحی شده و ماهرانه چه میزان میباشد؟
Pentestیک فرایند ارزشمند برای رسیدن به اهداف زیر می باشد:
- پیدا کردن نظام مند رخنه های امنیتی، قبل از آن که هکرها آن ها را پیدا نمایند.
- ایجاد درکی از سطح امنیتی مجموعه و ارایه گزارش به مدیریت و برنامه ریزی برای بهبود، ایمن سازی و آموزش پرسنل
- افزایش سطح آگاهی و حساسیت افراد به مقوله امنیت
- ممیزی سطح امنیت در مقایسه تطبیقی با استانداردها
- تست تکنولوژی های جدید استفاده شده در سازمان
- مشخص نمودن نقاط قوت سازمان از لحاظ امنیت
- ارزیابی برندهای مختلف که از تجهیزات و خدمات آن ها در سازمان استفاده می شود
- تعیین امکان سنجی یک مجموعه خاص از حمله (attack vectors)
- شناسایی آسیب پذیری های بزرگ که ممکن است از آسیب های کوچک کنونی سیستم قابل بروز در آینده باشند.
- بررسی تاثیر میزان بزرگی و عملیاتی شدن اثرات حملات موفق برکسب و کار
- تست توانایی دفاع شبکه در موفقیت شناسایی و پاسخ به حملات
- برآورد هزینه ایمن سازی
رويكردهای تست نفوذ
تست نفوذ به روشهاي متفاوتي قابل انجام است. بيشترين تفاوت ميان اين روشها، در ميزان اطلاعات مرتبط با جزييات پيادهسازي سيستم در حال تست ميباشد که در اختيار تيم تست نفوذ قرار داده ميشود. با توجه به اين موضوع تست نفوذ را ميتوان به سه دسته ذیل تقسیم نمود:
- آزمون جعبه سیاه (Black-Box): با فرض فقدان دانش قبلي از زير ساختهايي است که قرار است مورد تست قرار گيرند. در واقع شبيهسازي کردن حملهاي است که توسط نفوذگري انجام ميشود که در ابتدا با سيستم آشنايي ندارد. متخصصان بايد پيش از آناليز و بررسي، ابتدا مکان و گستره سيستمها را بطور دقيق مشخص کنند.
- آزمون جعبه سفید(White-Box): اطلاعات ضروري مانند معماري شبکه، کدهاي منبع، اطلاعات آدرس IP و شايد حتي دسترسي به بعضي از کلمات عبور، در اختيار تيم ارزيابي امنيتي قرار ميگيرد. این تست حملهاي را شبيهسازي ميکند که ممکن است در اثر افشاي اطلاعات محرمانه از شبکه داخلي يا حضور نفوذگر در داخل سازمان بوجود آيد. تست White-Box داراي گستردگي وسيعي ميباشد و محدوده آن شامل بررسي شبکه محلي تا جستجوي کامل منبع نرم افزارهاي کاربردي به منظور کشف آسيبپذيريهايي که تا کنون از ديد برنامه نويسان مخفي مانده است، ميباشد.
- آزمون جعبه خاکستری (Gray-Box): در واقع مابين دو روش ذکر شده در بالا قرار ميگيرند.
دستهبندی تست نفوذ از نظر جایگاه تیم تست کننده
- تست نفوذ خارجی:
تست نفوذ خارجی به انواع تستهايي اطلاق ميشود که در خارج از محدوده سازماني که قرار است مورد تست نفوذ قرار بگيرد، انجام ميشود. این تست در واقع سناريويي را بررسي ميکند که مهاجم با دسترسي داشتن به منابع مورد نياز خود، از جمله آدرسهاي IP که از سازمان مورد نظر در اختيار دارد و يا با در اختيار داشتن کد منبع نرم افزارهايي که در سازمان استفاده ميشوند و در اينترنت موجود مي باشند اقدام به پويش و کشف آسيبپذيري نمايد.
- تست نفوذ داخلی:
تست نفوذ داخلی در حوزه مکاني سازمان و در ميان افرادي که در آن سازمان فعاليت ميکنند انجام ميشود. در این تست سناريويي بررسي ميشود که مهاجم به هر طريق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوري دادههاي مورد نظر اقدام به حمله ميکند. با ورود به محدوده مکاني، يک سازمان مهاجم ميتواند سناريوهاي مختلفي را پياده سازي نمايد. براي نمونه با استفاده از شبکه بيسيم داخلي و بررسي دادههاي به اشتراک گذاشته شده که ميتواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلي براي مهاجم سادهتر خواهد شد.
استاندارهای بین المللی تست نفوذ
تمامی تست های انجام شده در این خدمات با توجه به استانداردهای بین المللی شناخته شده ذیل انجام می پذیرد و گزارشها بر مبنای این استانداردها ارایه خواهد شد.
- ISO/IEC 27001
- ISO/IEC 27002
- PCI DSS
- OSTTMM (Open Source Security Testing Methodology Manual)
- OWASP (Open Web Application Security Project) 2013
- LPT (Licensed Penetration Tester methodology from EC-Council)