تست نفوذ با رویکردی بر ارزیابی امنیت سازمانها و سیستمها میتواند بهعنوان یک بازرسی سامانمند و قانونی، سطح امنیتی را مشخص نماید. در فرایند تست نفوذ، یک گروه متخصص و کارآمد با استفاده از فنها و شگردها، شروع به شبیهسازی حمله به سازمان و سیستمها را انجام میدهند و در انتها گزارش کاملی را به سازمانها ارائه داده و نحوه اصلاح ضعفهای امنیتی شبکه و ساختار سازمان را مورد تجزیهوتحلیل قرار میدهند. این سلسلهمراتب باید برای سازمانها و سیستمها بهصورت فرایندی چرخهای همیشه و در بازههای زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.
باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را بهعنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را بهعنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست نفوذ باید برای سازمانها و سیستمهای مختلف بهصورت یک فرایند بازهای انجام پذیرد تا امنیت اطمینان همیشه برقرار باشد.
دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دستهبندی میگردند.
اولین دلیل انجام تست نفوذ میتوان به خطرات و شکاف های امنیتی نام برد که باعث میگردد سرمایههای (چه ازلحاظ اطلاعاتی و مالی) سازمانها به خطر انداخته شوند.
دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینههای اضافی امنیتی سازمانها است. با مشخص کردن شکاف های امنیتی و نقاط ضعف، سازمان میتواند از هزینههای اضافی که برای امنیت در سازمان پرداخت میکند، جلوگیری به عمل آورد.
سومین دلیل اطمینان خاطری است که سازمانها بعد از تست نفوذ به دست میآورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمانها را در اختیار شما قرار میدهد.
چهارمین دلیل انجام تست نفوذ، دریافت گواهینامهها و استانداردهای قابلاعتماد جهت حصول اطمینان از امنیت در سازمان است.
?
استانداردهای تست نفوذ
در فرآیند نفوذ اهداف گوناگونی وجود دارد که میتوان آنها را در گروههای کاملاً متفاوتی دستهبندی نمود. در ادامه با این اهداف آشنا خواهیم شد.
در تست نفوذ اولین لایهی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفتهشده یا با توجه کمتری موردبررسی قرار میگیرد. ایمن کردن مکانهای امنیتی سازمانها یا سیستمها ازنظر فیزیکی باعث میگردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژهای داشته باشیم.
نفوذ به شبکه، یکی از متداولترین و عمدهترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکاف ها و آسیبپذیریهای امنیتی در زیرساختهای شبکهای سازمانها است. اینگونه از آزمایشها را هم میتوان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمانها بنا به اولویتهای امنیتی و نیازهای سازمانی میتوان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در اینگونه از تست نفوذ میتوان به انواع آزمایشهای زیر اشاره نمود.
غالباً سازمانها از شبکههای بیسیم برای ارتباطات داخل یا بین سازمانی بهعنوان یک راهحل آسان و کمهزینه استفاده مینمایند. در این سازمانها ممکن است اطلاعات و دادههای حساس در بستر بیسیم منتقل گردند. ازآنجاییکه شبکههای بیسیم دارای امنیت کمتری نسبت به شبکههای کابلی هستند، باید نسبت به این شبکهها تستهای نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکلهای ارتباطی و ارتباطات این شبکهها، اطمینان حاصل نماییم.
در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقهها و فریبهای مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آنها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، اینگونه از حملات میتواند یکی از خطرناکترین حملات در سطح سازمان باشد.
این نمونه از آزمایشها را میتوان یکی دیگر از حساسترین بخشهای امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیقتر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ میتوانیم کلیهی آسیبپذیریها و شکاف های امنیتی مبتنی بر وب را کشف نماییم. ازآنجاییکه این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید بهصورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.
در وبسایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامههای کاربردی وب خواهیم داشت و کار خود را با آموزشهای ویدیویی از پایهی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وبسایت شکاف، شما میتوانید از متخصصان برجسته امنیت برنامههای کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.
با توجه به افزایش حملات و تهدیدات، باید بهصورت دورهای تمامی سامانهها و سیاستهای امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاستهای امنیتی دچار مشکل میگردند و یا بهمرورزمان منسوخ میگردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاستها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.
?
اهداف تست نفوذ
تست نفوذ که بهعنوان یک فرایند سامانمند و برنامهریزیشده شناخته میشود را میتوان از دو منظر مورد بررسی قرار داد. در ابتدا میزان اطلاعاتی که در اختیار تستر نفوذ قرار میگیرد و دیگری مکانی که تست نفوذ ازآنجا انجام میشود.
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ اطلاعات کامل و جامعی از سیستم و زیرساختهای خود، نقشه شبکه و برنامههای کاربردی سازمان را در اختیار تستر نفوذ قرار میدهند.
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ اطلاعات نسبتاً مناسبی را در اختیار تستر نفوذ قرار میدهند. در این تست، تستر نفوذ بهعنوان یکی از کاربران سازمان در نظر گرفته میشود که برخی از سطح دسترسیهای مجاز را دارد. اینگونه از تست نفوذ بین تست نفوذ جعبه سفید و جعبه سیاه قرار دارد.
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ، هیچگونه اطلاعاتی را در اختیار گروههای امنیتی قرار نمیدهند و تسترهای نفوذ باید همانند یک هکر کلاهسیاه به سیستم نفوذ کرده و امنیت سازمان را ارزیابی و بررسی نمایند.
در این دیدگاه حمله به دو صورت انجام میگیرد. حمله از داخل سازمان یا Internal Pentest و حمله از خارج سازمان یا External Pentest
در حالت داخلی، تستر نفوذ بهعنوان یکی از کارمندان سازمان عملیات تست نفوذ را انجام میدهد و در حالت خارجی تستر نفوذ هیچ دسترسی به داخل سازمان را ندارد و سازمان باید حتماً به شبکه اینترنت یا اینترانت متصل باشد.
روش های تست نفوذ
در ابتدا سازمان مربوطه درخواستی مبنی بر تست نفوذ را به شرکتهای امنیتی ارسال نموده و منتظر پاسخ از طرف شرکت امنیتی میماند. بعد از مشاوره و رایزنی توسط شرکت امنیتی و سازمان، تفاهمنامهای مبنی بر هزینهها، نوع و چگونگی تست نفوذ منعقد میگردد. بعد از امضای تفاهمنامه، شرکت امنیتی بر اساس موازین تعیینشده و نقشه راهی که توسط سازمان مشخصشده است، شروع به انجام فرآیند تست نفوذ مینماید.
در ادامه راه شرکت امنیتی با کمک متخصصین نفوذگر خود، شروع به کشف آسیبپذیریها و شکافهای امنیتی در سازمان مینماید. بعد از انجام این کار ممکن است بر اساس تفاهمنامه شروع به حمله به زیرساختها و اطلاعات سازمان نماید تا بتوانند شکافهای امنیتی را بهصورت کامل کشف نمایند.
در انتهای کار، شرکت امنیتی لیست کامل و جامعی از شکاف ها و ضعفهای امنیتی را بر اساس مستندات جمعآوری کرده و به سازمان مربوطه اعلام میدارد. در پایان سازمان مربوطه به کمک شرکت امنیتی یا کارکنان متخصص خود تمامی شکاف ها و رخنههای امنیتی را بازبینی، بررسی و تصحیح مینمایند.
در فرایند تست نفوذ انواع گوناگونی از حالات و روشهای نفوذ وجود دارد که میتوانیم از آنها پیروی نماییم. ولی از استانداردهای مطمئن و قابلاعتماد، میتوان به موارد زیر که بر اساس سرفصلها و روشهای جاری قابلاعتماد پیروی مینمایند، اشاره نمود.
این استاندارد یک سیستم مدیریت را معین مینماید که هدف اصلی آن تأمین امنیت اطلاعات است. این استاندارد همچنین بهعنوان ISMS نیز شناخته میشود که یکی از استانداردهای قدرتمند در امنیت اطلاعات است و یکسری از نیازهای امنیتی را ملزم میداند و باید حتماً اجرا شوند.
این استاندارد توسط سازمانهای بینالمللی استاندارسازی ISO و گروه الکترونیکی بینالمللی IEC برای مدیریت امنیت اطلاعات منتشرشده است.
این استاندارد شامل یک تست امنیتی کامل و جامع است که در مراحل مختلف و گامبهگام باید انجام پذیرد. در این استاندارد شش بخش امنیت اطلاعات، امنیت فرآیند، امنیت فنآوری اینترنت، امنیت ارتباطات، امنیت بیسیم و امنیت فیزیکی وجود دارد. هر بخش دارای ماژولهایی است که همهی جوانب امنیتی بخشها را پوشش میدهد و برای بررسی کامل هر ماژول باید وظایف خاصی انجام گردد.
یک متدولوژی است تا در آن شما را بهعنوان یک متخصص برنامهنویسی تحت وب، با معیارهای درست امنتر کردن برنامههای کاربردی وب آشنا سازد.
مدرک LPT یک مدارک وابسته به امنیت است که با استانداردسازی دانشهای پایهای برای تست نفوذ حرفهای با استفاده بهترین آموزشها است.
در مقاله های بعدی با مقاله ی –وبسایت یا برنامه کاربردی وب، دو واژهی یکسان با اختلافی کوچک– و همچنین مقاله ی –امنیت سایت یا تست نفوذ در برنامههای کاربردی وب، با استفاده از استانداردهای بینالمللی– آشنا خواهیم شد.
برچسب ها:استاندارد تست نفوذ, امنیت اطلاعات, تست نفوذ ? امین کیانی
متخصص و کارشناس امنیت صفحات وب با رویکردی پایهای و هدفمند در جهت آموزشهای مرتبط با امنیت سایت و انجام پروژههای تست نفوذ در سایتها و کسبوکارهای آنلاین