تست نفوذ چیست؟ و چگونه به امنیت شما کمک میکند

در این مقاله میخواهیم تست نفوذ را به طور کامل بررسی کنیم و لزوم استفاده از آنرا برایتان توضیح دهیم با ساینت همراه باشید . تست نفوذ، سنجش آسیب پذیری، Pen Test یا هک اخلاقی، عملی برای آزمایش سیستم های کامپیوتری، شبکه یا برنامه های تحت وب  برای یافتن آسیب پذیری های امنیتی است که یک مهاجم می تواند از آن سوءاستفاده کند، است. تست نفوذ می تواند با برنامه های نرم افزاری به صورت خودکار Continuous Scanning انجام شود یا به صورت دستی انجام شود. در هر صورت این فرایند شامل جمع آوری اطلاعات در مورد هدف قبل از تست نفوذ، شناسایی نقاط ورود احتمالی، تلاش برای ورود – یا به صورت مجازی یا واقعی – و در نهایت گزارش ِیافته ها و راه های نفوذ به سازمان و شبکه است.

هدف اصلی تست نفوذ، شناسایی نقاط ضعف امنیتی است. تست نفوذ نیز می تواند برای تست سیاست های امنیتی سازمان، پایبندی آن به الزامات، آگاهی از امنیت کارمندان و توانایی سازمان در شناسایی و پاسخ به حوادث امنیتی استفاده شود.

به طور معمول، اطلاعات مربوط به نقاط ضعف امنیتی که از طریق تست نفوذ شناسایی شده جمع می شوند و در اختیار مدیران IT سیستم و مدیرشبکه و یا مدیر سیستم ها قرار می گیرند و آنها را قادر می سازد تا جهت اصلاحات امنیتی تصمیم های استراتژیک بگیرند و امنیت را در اولویت قرار دهند.

تست نفوذ گاهی اوقات حملات کلاه سفید نیز نامیده می شود زیرا در یک تست نفوذ، افراد خوب سعی در ورود دارند.

هدف از تست نفوذ

هدف اصلی از تست نفوذ، شناسایی نقاط ضعف در وضعیت امنیت سازمان و همچنین اندازه گیری انطباق سیاست های امنیتی آن و آزمایش آگاهی امنیتی کارکنان و اینکه تیم آماده رویا رویی با موارد امنیتی است بررسی میشود.

یک تست نفوذ همچنین می تواند نقاط ضعف در سیاست های امنیتی یک شرکت را مشخص سازد. به عنوان مثال: ممکن است سیاست امنیتی برای جلوگیری و کشف حمله وجود داشته باشد اما این راهکار برای دور نگه داشتن هکر کافی نباشد. در تست نفوذ این موارد نیز مورد بررسی قرار میگیرد.

گزارش های تولید شده توسط یک تست نفوذ، بازخورد مورد نیاز یک سازمان را برای اولویت بندی سرمایه گذاری هایی که قصد دارد در امنیت خود داشته باشد را فراهم می کند. این گزارش ها همچنین می توانند به توسعه دهندگان برنامه ها کمک کنند تا برنامه های ایمن تری ایجاد کنند. اگر توسعه دهندگان بدانند كه چگونه هكرها به برنامه هایی كه آنها تولید کرده اند نفوذ کردند میتوانند جهت اصلاح و وصله کردن آن اقدام کنند و همچنین در تولید برنامه های بعد راه های نفوذ را ببندند.

هر چند وقت یکبار باید تست نفوذ را انجام دهید ؟

سازمانها باید اطمینان حاصل كنند كه از امنیت شبکه و مدیریت فناوری اطلاعات، به طور منظم حد اقل سالانه یك بار تست نفوذ را انجام دهند. علاوه بر انجام تحلیل ها و ارزیابی هایی که از به صورت روتین مقرر شده است، آزمایش های نفوذ نیز ممکن است در موارد زیر مجددا انجام شود:

1. زمانیکه زیرساخت ها یا برنامه های جدید به شبکه اضافه می کنید.
2. ارتقاء یا تغییرات قابل توجهی در برنامه ها یا زیرساخت های خود ایجاد می کنید.
3. راه اندازی دفاتر مستقر در مکان های جدید.
4. وصله ها و آپدیت های های امنیتی جدید را اعمال می کنید.و یا سیاست های کاربران نهایی را اصلاح می کنید.

البته دقت داشته باشید که زمان تست نفوذ یک برای همه به یک اندازه نیست، وقتی یک شرکت باید در تست نفوذشرکت کند، به چندین عامل دیگر نیز بستگی دارد، از جمله:

اندازه سازمان شما. شرکتهایی که حضور بیشتری در اینترنت دارند، نقاط بیشتری برای حمله دارند و بنابراین ، هدفهای جذاب تری برای هکرها محسوب می شوند.

تست نفوذ می تواند پرهزینه باشد ، بنابراین یک شرکت با بودجه کمتری ممکن است نتواند سالانه آنها را انجام دهد. سازمانی با بودجه كمتر فقط می تواند هر دو سال یكبار آزمایش نفوذ را انجام دهد در حالی كه یك شركت با بودجه بیشتر می تواند سالی یكبار آزمایش نفوذ را انجام دهد.

مقررات و الزامات امنیتی شما . طبق قانون ، سازمانها در صنایع خاص وظایف امنیتی خاصی از جمله تست نفوذ  را بیشتر انجام می دهند. مانند بانکها و موسسات مالی آنلاین.

شرکتی که زیرساخت های آن در ساختار ابری قرار دارد ممکن است اجازه آزمایش زیرساخت های شرکت ارائه دهنده خدمات ابری را نداشته باشد. با این حال ارائه دهنده ممکن است خود تست نفوذ  انجام دهد.

تست نفوذ باید متناسب با نوع کسب و کار سازمانها تنظیم شود. سازمانهای صنعتی از نرم افزارهای متفاوتی نسبت به دیگر مشاغل اتسفاده میکنند مانن اتوماسیون صنعتی که برای آن به ابزارهای متفاوتی نیاز دارید.

ابزارهای تست نفوذ

تست نفوذ معمولاً از ابزارهای خودکار برای کشف آسیب پذیری های کاربردی استاندارد استفاده می کنند. ابزار نفوذ به منظور شناسایی هویت کدهای مخرب در برنامه هایی که می تواند به نقض امنیت منجر شود، کد را اسکن می کند. ابزارهای تست نفوذ، تکنیک های رمزگذاری داده ها را بررسی می کنند و می توانند مقادیر کدگذاری شده سخت مانند نام کاربری و کلمه عبور را برای شناسایی آسیب پذیری های امنیتی در سیستم شناسایی کنند.

ویژگی های ابزارهای تست نفوذ شامل موارد زیر است:

• باید نصب، پیکربندی و استفاده از آن آسان باشد. البته در مورد ابزارهای حرفه اینطور نیست.
• بتوانید یک سیستم را به راحتی اسکن کنید؛
• آسیب پذیری ها را بر اساس شدت طبقه بندی کند، یعنی کسانی که باید سریعاً برطرف شوند را مشخص کند.
• قادر به خودکارسازی صحت آسیب پذیری ها است.
• مجدداً بتوان آسیب پذیری های قبلی را اسکن کنید. و گزارش های مربوط به آسیب پذیری های دقیق را تهیه کنید.

بسیاری از محبوب ترین ابزارهای تست نفوذ نرم افزارهای متن باز و رایگان هستند. این امر به تست کنندگان امکان تغییر و یا تنظیم کد برای نیازهای خود را می دهد. برخی از پرکاربردترین ابزارهای تست نفوذ را با هم بررسی میکنیم :

 Metasploit یک ابزار متن باز است که متعلق به شرکت امنیتی Rapid7 است. این ابزارهای محبوب تست نفوذ را می توان برای تست سرورها، برنامه ها و شبکه های متصل به اینترنت استفاده کرد. Metasploit را می توان برای کشف مسائل امنیتی، تأیید کاهش آسیب پذیری و مدیریت فرآیندهای امنیتی استفاده کرد.

Nmap: مختصر “Network Mapper”، اسکنر پورت است که سیستم ها و شبکه ها را برای آسیب پذیری های مرتبط با پورت های باز اسکن می کند. Nmap به آدرس IP یا آدرس هایی که سیستم یا شبکه برای اسکن در آن قرار دارد هدایت می شود و سپس آن سیستم ها را برای پورت های باز آزمایش می کند. علاوه بر این، از Nmap می توان برای نظارت بر بروزرسانی سرورها یا سرویس و شبکه استفاده کرد.

Wireshark ابزاری برای ترافیک شبکه و تجزیه و تحلیل بسته های شبکه است. Wireshark به سازمانها این امکان را می دهد تا جزئیات کامل از فعالیت شبکه خود را ببینند. این ابزار نفوذ یک آنالایزر ترافیک شبکه و آنلایزر پروتکل شبکه است که آسیب پذیری در ترافیک شبکه را در زمان واقعی ارزیابی می کند. Wireshark اغلب برای بررسی دقیق ترافیک شبکه در سطوح مختلف استفاده می شود.

John Ripper کراکرهای مختلف برای رمز عبور را در یک بسته در اختیار شما می دهد ، بطور خودکار انواع مختلفی از رمزهای عبور را شناسایی می کند و یک شکننده رمز عبور قابل تنظیم میباشد. تست کنندگان به طور معمول از این ابزار برای حمله استفاده می کنند تا نقاط ضعف رمز عبور در سیستم ها یا پایگاه ها داده را پیدا کنند.

تست کنندگان ، از بسیاری از همان ابزارهایی استفاده می کنند که هکرهای کلاه سیاه از آن استفاده می کنند ، نه فقط به دلیل اینکه این ابزارها در دسترس و مستند هستند . بلکه به این دلیل که به تست کنندگان کمک می کند تا درک بهتری نسبت وبه استفاده هکرها از این ابزارها بدهد .

استراتژی های تست نفوذ

یکی از جنبه های مهم هر آزمون تست نفوذ، تعیین محدوده ای است که در آن باید تست کنندگان کار کنند. معمولاً دامنه مشخص می کند که چه سیستم ها، مکان ها، تکنیک ها و ابزارهایی را می توان در یک تست نفوذ استفاده کرد. محدود کردن دامنه تست نفوذ به اعضای تیم – و مدافعان – روی سیستمهایی که سازمان بر آنها کنترل دارد تمرکز می کند.

در اینجا چندین استراتژی اصلی تست نفوذ مورد استفاده متخصصین امنیت قرار گرفته است:

تست هدفمند Targeted Testing: توسط تیم IT سازمان و تیم آزمایش نفوذ انجام می شود که با هم کار می کنند. بعضی اوقات به این روش “چراغ روشن” گفته می شود زیرا همه می دانند تست نفوذ در حال انجام است .

تست خارجیExternal Testing: سرورها یا دستگاههای بیرونی قابل مشاهده در یک شرکت از جمله سرورهای نام دامنه ، سرورهای ایمیل ، سرورهای وب یا فایروال ها را هدف قرار می دهد. هدف این است که دریابیم که یک مهاجم خارجی می تواند پس از دستیابی به آن ، وارد شوید و تا چه حد می تواند وارد شود.

تست داخلی  Internal Testing: از یک حمله داخلی در پشت دیوار آتش توسط یک کاربر مجاز با امتیازات دسترسی استاندارد تقلید می کند. این نوع آزمون برای تخمین میزان آسیب دیدن یک کارمند ناراضی مفید است.

 تست کورBlind Testing: با محدود کردن شدید اطلاعاتی که از قبل به شخص یا تیم انجام آزمایش داده می شود ، اقدامات و مراحل یک مهاجم واقعی را شبیه سازی می کند. به طور معمول ، تست کنندگان فقط می توانند نام شرکت را می دانند. از آنجا که این نوع تست می تواند زمان قابل توجهی برای شناسایی را بگیرد، می تواند گران باشد.

تست کور دوسمت Double-blind Testing: این شیوه تست بالا را یک قدم جلوتر می برد. در این نوع آزمون قلم ، فقط یک یا دو نفر در سازمان ممکن است آگاهی داشته باشند که یک تست در حال انجام است. تست های دوسوکور می تواند برای تست نظارت بر امنیت سازمان و شناسایی حادثه و همچنین روش های پاسخ به آن مفید باشد.

تست جعبه سیاه Black Box Testing: در اصل همان آزمایش کور است اما تستر قبل از انجام آزمایش هیچگونه اطلاعاتی را دریافت نمی کند. در عوض، تست کنندگان باید راه خود را به سیستم بیابند.

تست جعبه سفید White Box Testing  قبل از شروع کار اطلاعات تست کنندگان نفوذ در مورد شبکه هدف را فراهم می کند. این اطلاعات می تواند شامل جزئیاتی از قبیل آدرس های IP، نقشه زیرساخت شبکه و پروتکل های مورد استفاده باشد.

استفاده از راهکارهای مختلف تست نفوذ به تیمهای امنیت کمک می کند تا روی سیستم های مورد نظر تمرکز کنند و نسبت به انواع حملات بیشترین آمادگی را داشته باشند. اگر به تست نفوذ علاقه مندید پیشنهاد می شود دوره CEH را ببینید.