تست نفوذ چیست؟

#تست نفوذ یا Pen Test یک حملۀ سایبری شبیه‌سازی‌شده به سیستم‌های کامپیوتری برای سنجش میزان #امنیت آنها است. متخصصین تست نفوذ از ابزارهای مشابه با #هکرها استفاده می‌کنند تا تبعات اقتصادی ضعف‌های سیستم را شناسایی کرده و در معرض نمایش بگذارند.

گروه متخصصین تست نفوذ حمله‌ #سایبری را شبیه‌سازی می‌کنند. برای این کار، معمولاً از یک نقشۀ راه استفاده می‌کنند که شامل موارد زیر است:

شناسایی: در این مرحله سعی براین است تا حد امکان اطلاعات بیشتری از طریق منایع داخلی و خارجی به دست آورده شود؛ منابع خارجی می‌تواند شامل اینترنت، مهندسی اجتماعی، اسکن شبکه به‌صورت غیرمتجازوانه و حتی جست‌وجو میان فایل‌های باطله. این اطلاعات به تست‌ نفوذ کاران کمک می‌کند که نقشۀ آسیب‌پذیری‌ها و حمله را بتوانند ترسیم کنند. بسته به میزان دسترسی ما، این مرحله می‌تواند صرفاً با یک تماس تلفنی هم انجام شود.

نظارت کردن: تست نفوذ کاران از ابزار مختلفی برای اطلاع از نقاط ضعف وب‌سایت یا سیستم هدف استفاده می‌کنند، که می‌تواند شامل این موارد باشد: سرویس‌های عمومی، مشکلات امنیتی اپلیکیشن‌ها و آسیب پذیری‌های متن‌باز.

دسترسی پیدا کردن: انگیز‌ه‌های مهاجمین سایبری می‌تواند مختلف باشد: دزدیدن، تغییر دادن و حذف کردن داده، انتقال پول و یا حتی خراب کردن اعتبار یک شرکت. متخصص تست نفوذ برای هر یک از این سناریوها، بایستی بهترین ابزار را انتخاب کرده تا به سیستم دسترسی پیدا کند؛ این ابزار می‌تواند SQL Injection ، بدافزار، مهندسی اجتماعی و یا روش‌های دیگر باشد .

حفظ دسترسی: وقتی که متخصص تست نفوذ به سیستم دسترسی پیدا کرد، باید این دسترسی را به اندازۀ کافی حفظ کند تا بتواند به اهدافی نظیر دریافت، تغییر یا حذف کردن اطلاعات، برسد. این کار برای آگاهی از ابعاد احتمالی آسیب‌پذیری می باشد

متن کامل مقاله در سایت افراتک