چهارشنبه, ۱۳ تیر, ۱۴۰۳ / 3 July, 2024
مقدمه ای بر مفاهیم تست نفوذپذیری
این یك مقاله آموزشی نیست. اما در آن توضیحاتی درباره موضوع «تست نفوذپذیری» داده شده است.
برای آشنایی بیشتر شما با این مباحث توضیحاتی برای شما ارائه شده است كه در بخش های زیر می آید:
۱- تست نفوذپذیری چیست ؟
۲- چرا شما به آن نیاز دارید ؟
۳- یك سرویس را انتخاب كنید.
۴- ره آوردهای مختلف تست نفوذپذیری
۵- در ازای پولتان چه چیزی به دست می آورید ؟
۱-تعریف : تست نفوذپذیری چیست ؟
تست نفوذپذیری رویه ای است كه درآن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد. یك تیم مشخص با استفاده از تكنیك های هك یك حمله واقعی را شبیه سازی می كنند تا به این وسیله سطح امنیت یك شبكه یا سیستم را مشخص كنند. تست نفوذپذیری به یك سازمان كمك می كند كه ضعف های شبكه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یك سازمان كمك می كند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امینیت نیروها و شبكه خود یك ارزیابی واقعی داشته باشد.
نتیجه این تست یك گزارش می باشد كه برای اجرایی شدن و بازرسی های تكنیكی مورد استفاده قرار می گیرد.
۲-چرا تست نفوذپذیری؟ چرا شما به آن نیاز دارید؟
دلایل مختلفی وجود دارد كه یك سازمان تست نفوذپذری را انتخاب می كند. این دلایل می تواند از مسایل تكنیكی تا مسایل تجاری طبقه بندی گردند. اما برخی از عمومی ترین مسایل آن به صورت زیر می باشد :
▪مشخص كردن خطرات و ریسك هایی كه سرمایه های اطلاعاتی سازمان شما با آنها مواجهه می شوند. در اصل شما می توانید با ریسك های اطلاعاتی خود آشنا شوید و سپس برای آنها به مقدار مورد نیاز هزینه كنید.
▪كاهش هزینه های امنیتی سازمان شما : با مشخص كردن نقاط ضعف و آسیب پذیری های سیستم های اطلاعاتی خود به مقدار قابل توجهی از هزینه های صرف شده برای امنیت، می كاهید ، زیرا كه ممكن است آسیب پذیری ها و ضعف هایی در زیرساخت های تكنولوژیكی و یا ضعف های طراحی و پیاده سازی وجود داشته باشد كه در تست نفوذپذیری مشخص می شوند.
▪ضمانت و آسودگی خاطر را برای سازمان شما به ارمغان می آورد یك ارزیابی دقیق و كامل از امنیت سازمان شما ، كل سیاستها (Policy ) ، روالها، طراحی و پیاده سازی آن را پوشش می دهد.
▪دستیابی و نگهداری گواهینامه ها (BS۷۷۹۹ ، HIPAA و ... )
▪بهترین رویه برای تست آیین نامه های صنایع و قوانین حاكم بر آن
۳- یك سرویس را انتخاب كنید: چه تفاوتی بین انواع تست های مختلف وجود دارد؟
الف) تست نفوذپذیری بیرونی( External Penetration Testing ):
یكی از عمومی ترین ره آوردهای تست نفوذپذیری می باشد. این تست روی سرور ها، زیر ساخت های شبكه و زیر ساختهای نرم افزارهای سازمان انجام می گیرد. این تست ممكن است بدون دریافت هیچگونه اطلاعاتی از سازمان مورد نظر صورت گیرد ( جعبه سیاه Black Box )یا با دریافت كلیه اطلاعات توپولوژیكی و محیطی صورت گیرد ( جعبه شفاف Crystal Box ). این تست ابتدا با استفاده از اطلاعات عمومی و در دسترس از سازمان مورد نظر شروع می شود و سپس با شناسایی میزبانها و سرور های شبكه هدف و تجزیه و تحلیل آن ادامه پیدا می كند. در ادامه رفتارهای ابزارهای امنیتی مانند مسیریابها و دیواره های آتش تجزیه و تحلیل می گردند. آسیب پذیری های موجود برای هر میزبان شبكه مشخص و بازبینی می گردند و دلایل آن نیز مشخص می شود.
ب ) ارزیابی امنیتی داخلی (Internal Security Assessment ):
روالی مانند تست بیرونی دارد اما یك دید كامل تری نسبت به مسایل امنیتی سازمان ارائه می دهد. این تست عموما از شبكه های Access Point و بازدید و مرور دوباره قسمتهای فیزیكی و منطقی شبكه انجام می گیرد. برای نمونه ممكن است لایه های شبكه، DMZ درون شبكه و شبكه های شركاء كه با شبكه شما مرتبط می باشند نیز مورد بررسی و تست قرار گیرد.
پ) ارزیابی امنیتی برنامه های كابردی (Application Security Assessment )
این تست روی تمامی برنامه های كاربردی اختصاصی و غیر اختصاصی سازمان هدف انجام می گیرد و در طی آن تمامی خطرات این برنامه ها مشخص می شود. برای مثال نباید این برنامه ها، پتانسیل این را داشته باشند كه اطلاعات حساس سازمان را در معرض عموم قرار دهند. این ارزیابی مهم و حیاتی می باشد و در طی آن باید بدانیم كه اولا؛ این برنامه های كاربردی ، نرمافزارها و سرور های شبكه را در معرض خطر قرار نمی دهند. دوم اینكه یك كاربر خرابكار نمیتواند به داده های حیاتی دسترسی داشته باشد و آنها را تغییر دهد یا خراب كند.
حتی در شبكه هایی كه دارای زیر ساختهای قوی و قدرتمندی می باشند، یك برنامه كاربردی ناقص و آسیب پذیر می تواند كل شبكه را در معرض خطر قرار دهد.
ت) ارزیابی امنیتی شبكه های بیسیم و دسترسی های از راه دور (Remote Access )
در اصل ارزیابی خطرهایی می باشد كه سیستم های سیار را در بر دارد. كار در خانه، با پهنای باند بالا از طریق اینترنت، استفاده از شبكه های بیسیم ۸۰۲.۱۱ و تكنولوژی های دسترسی از راه دور را به صورت گسترده ای افزایش داده است. طراحی و معماری امن اینگونه شبكه ها بسیار مهم و حیاتی می باشد و باید از ریسك ها و خطرهای آنها به صورت كاملی آگاه شویم.
ث) مهندسی اجتماعی (Social Engineering )
اشاره دارد به نفوذ هایی كه از راههای غیر تكنیكی انجام می شود. این بخش به طور كلی روی ارتباطات افراد و كاركنان سازمان تكیه دارد و مشخص می كند چگونه مسایل انسانی سازمان می توانند مسایل امنیتی آن را در معرض خطر قرار دهند و باعث شكسته شدن برخی روال های امنیتی گردند.مهندسی اجتماع با استفاده از ایجاد روابط قابل اعتماد و دوستانه با اشخاص سازمان و با نمایش قصد كمك به طرف مقابل، اطلاعات حساس امنیتی از جمله كلمات رمز و نام كاربری او را دریافت می كند. موارد دیگر نیز به «آشغال گردی» موسوم است كه در آن با جستجو در آشغالهای سازمان مورد نظر، به دنبال اطلاعات حساس و مهم می گردند. همچنین مسایل روان شناختی افراد برای حدس زدن كلمات رمز و ... نیز جزو این بخش از كار می باشد.
۴- انواع ره آوردهای مختلف : تست جعبه سیاه (Black Box) و تست جعبه سفید (White Box)
تست نفوذپذیری به دو صورت مختلف می تواند انجام گیرد: «جعبه سیاه» ( بدون دریافت هیچگونه دانش اولیه برای تست) و «جعبه سفید » (دریافت كلیه اطلاعات زیر ساختی برای تست)
معمولا شركتهایی كه كار تست نفوذپذیری را انجام می دهند از شما میخواهند كه یكی از موارد فوق را انتخاب كنید. اما تست جعبه سیاه به نظر بهترین انتخاب میباشد ، زیرا كه یك شبیه سازی حقیقی از حمله یك هكر را پیادهسازی میكند. این یك ایده بسیار جالبی میباشد اما به طور دقیقی درست نیست. اولا اینگونه فرض كردیم كه هكر هیچگونه اطلاعاتی از سیستمهای شما ندارد ، كه همیشه اینگونه نیست! اگر به طور واقعی یك هكر ، سازمان شما را هدف قرار دهد اینگونه نیست كه هیچگونه اطلاعاتی از سیستم ها و شبكه داخلی سازمان نداشته باشد ( فرض كنید هكر یكی از كاركنان سازمان شما باشد). البته در هر كدام از این موارد باید خطاهایی را نیز به صورت پیش فرض قبول كنیم. در اصل باید اینگونه فرض كرد كه هكر اطلاعات كاملی از سیستم های شما را دارد زیرا كه اگر امنیت شما بر اساس پنهان كردن طراحی شبكه باشد بنابراین از لحاظ امنیتی شبكه شما هیچ وقت نباید قابل لمس باشد كه این غیر ممكن است! دوم اینكه بر خلاف یك تستكننده شبكه، یك هكر از لحاظ زمانی محدود نیست و محدودیت هایی كه برای یك تستكننده وجود دارد برای یك هكر وجود ندارد. به عنوان مثال یك مهاجم ممكن است زمان زیادی (بعضی مواقع بیش از یك سال) را صرف كند تا یك آسیب پذیری را در سیستمی پیدا كند و توسط آن به شبكه نفوذ كند.سوالی كه در اینجا مطرح می شود این است كه این تست چه مقدار هزینه در بردارد؟ در تست جعبه سیاه مهم آن است كه تیم تست كننده باید به مقدار قابل توجهی زمان صرف شناسایی شبكه هدف كند. این زمان ممكن است حتی بیش از زمانی باشد كه صرف تست آسیب پذیری ها میگردد.اینگونه نیست كه بگوییم تست جعبه سیاه هیچ هزینه ای در برندارد ، حتما هزینه هایی را در بر دارد. این مساله خیلی مهم است كه تست كننده اطلاعاتی را درباره سیستم هایی كه ممكن است توسط افراد دیگر مورد سوءاستفاده قرار گیرد را به دست آورد. پس حتما در تست جعبه سیاه باید زمان بیشتری برای انجام تست در نظر گرفت.
۵- در ازای پولتان چه چیزی به دست می آورید ؟
تست نفوذپذیری در اصل یك تجزیه و تحلیل اصولی برای تعین میزان امنیت سازمان شما می باشد. یك پروژه كامل ممكن است كلیه موارد مشخص شده در زیر را در بر گیرد:
Network Security Network Surveying Port Scanning System Identification Services Identification Vulnerability Research & Verification Application Testing & Code Review Router Testing Firewall Testing Intrusion Detection System Testing Trusted Systems Testing Password Cracking Denial of Service Testing Containment Measures Testing Information Security Document Grinding Competitive Intelligence Scouting Privacy Review Social Engineering Request Testing Guided Suggestion Testing Trust Testing Wireless Security Wireless Networks Testing Cordless Communications Testing Privacy Review Infrared Systems Testing Communications Security PBX Testing Voicemail Testing FAX review Modem Testing Physical Security Access Controls Testing Perimeter Review Monitoring Review Alarm Response Testing Location Review Environment Review
مسعود پزشکیان سعید جلیلی انتخابات ریاست جمهوری انتخابات ریاست جمهوری 1403 انتخابات پزشکیان انتخابات ریاست جمهوری چهاردهم جلیلی مناظره مناظره انتخاباتی مجلس شورای اسلامی دولت
قتل هواشناسی سلامت تهران وزارت بهداشت عربستان قوه قضاییه آموزش و پرورش حوادث شهرداری تهران پلیس سازمان هواشناسی
اقتصاد ایران خودرو قیمت دلار دولت سیزدهم قیمت طلا بازار خودرو قیمت خودرو بازار سرمایه بورس دلار قیمت سکه حقوق بازنشستگان
علیرضا قربانی سینمای ایران سارا بهرامی تخت جمشید تلویزیون سینما تئاتر رسانه ملی کنسرت دفاع مقدس
دانش بنیان مغز وزیر علوم
رژیم صهیونیستی اسرائیل جو بایدن جنگ غزه غزه فلسطین آمریکا روسیه ترکیه فرانسه دونالد ترامپ چین
یورو 2024 فوتبال استقلال پرسپولیس کریستیانو رونالدو باشگاه استقلال جام ملت های اروپا باشگاه پرسپولیس لیگ برتر نقل و انتقالات لیگ برتر ایران سپاهان
هوش مصنوعی نمایشگاه الکامپ سامسونگ ایرانسل اینستاگرام روزنامه موبایل ربات اپل
تغذیه قهوه میوه سیب زمینی مو کاهش وزن سرطان دیابت