تست نفوذ چیست و چرا حائز اهمیت می باشد ؟

تست نفوذ چیست و چرا حائز اهمیت می باشد ؟

انجام تست نفوذ و آزمون نفوذ پذیری از خدمات امنیتی شرکت پاوان است. لازم بر آن دیدیم تا در این مقاله به بررسی تعریف تست نفوذ و چرایی اهمیت آن…

انجام تست نفوذ و آزمون نفوذ پذیری از خدمات امنیتی شرکت پاوان است. لازم بر آن دیدیم تا در این مقاله به بررسی تعریف تست نفوذ و چرایی اهمیت آن بپردازیم. امروزه شرکت های سازنده نرم افزار, مدیران سایت, مدیران شرکت و طراحان اپلیکیشن برای اطمینان از امنیت محصولات و شبکه خود بر روی آن تست نفوذ انجام می دهد. تست نفوذ در واقع نوعی هک کردن توافقی هست. شرکت سازنده یک نرم افزار, یا مدیر یک شبکه از تیم امنیتی می خواهد تا به آن حمله کرده و آن را هک کنند. با هک شدن حفره ای امنیتی آن مشخص می شود. بدون انجام تست نفوذ نمی توان از امنیت یک وب سایت یا شبکه اینترنت یک سازمان اطمینان پیدا کرد. البته اخیرا گروهی از هکر ها پیدا شدند که با هک کردن سایت ها, یا اپلیکیشن ها و نرم افزار ها از مدیران آنها تقاضای دریافت باج می کنند. تا حفره های امنیتی را به آنها جهت برطرف سازی ارائه دهند. مثلا شما یک نرم افزار یا مرورگر دارید. یا یک شبکه اجتماعی بزرگ دارید. یک هکر با هک کردن شبکه شما به شما می گوید که سایت یا شبکه شما را هک کرده. اگر می خواهید حفره های امنیتی آن را به شما نشان دهم. باید مبلغ مورد درخواست را واریز کنید.

تست نفوذ چیست؟

آزمون نفوذ پذیری ( که به نام های دیگر از جمله ” تست نفوذ ”  یا  “مرسوم ترین آزمون امنیتی”) به مجموعه اقدامات جهت بررسی آسیب پذیری های احتمال بهوقوع در برنامه های رایانه ای و یافتن چگونگی آسیب و صدمه به بار آوردن هکر ها به برنامه ها و سازمان ، گفته میشود .

یک تست نفوذ مفید همیشه نیازمند یک یا گروهی از هکر های با مهارت می باشد ، در اطمینان یافتن از عدم توانایی دسترسی هکر ها به هیچ یک از منابع کد ( Source Code ) ، از تیم تست نفوذ درخواست میگردد تا تلاش به وارد شدن یا بدست آوردن کنترل سیستم کنند .

تست های نفوذ میتواند در حیطه های محدوده آدرس دهی IP ( IP address range   ) ، برنامه های منحصر به فرد ، یا حتی در کوچکترین جزییات از جمله نام کمپانی اعمال گردد .

بنا به میزان سطح سنجش از تشکیلات و سازمان ها ، باید به همان اندازه به حمله کننده ( فرد یا تیم تست نفوذ ) اجازه دست رسی به سیستم را داد . به عنوان مثال با تست نفوذ میتوان :

1 – اگر به یک تیم تست نفوذ آدرس سیستم و اجازه ذسترسی داده شود ، تیم تست نفوذ با بکارگیری از تعداد بیشماری روش و تکنیک استفاده میکند تا به سازمان دسترسی کامل پیدا کنند ، و تمامی بخش ها از جمله از بخشSocial Engineering ، تا برنامه های رایانه ای پیچیده را مانند هکر های واقعی مورد حمله و آزمایش قرار میدهند .

2 – میتوان به آزمون گر نفوذ ( فردی از تیم تست نفوذ ) اجازه دسترسی به یک نسخه برنامه تحت وب که هنوز در دسترس عموم قرار نگرفته است را داد تا او تمام راه های ورودی به برنامه یا راه های آسیب رسانی به آن را بیابد ، آزمون گر نفوذ با استفاده از روش ها و حملات گوناگون و متنوع به بخش های مختلف برنامه ، سعی در شکست حفاظ امنیتی و ورود به برنامه میکند .

یک اصل مهم که میان تمامی کارکنان در حیطه تست نفوذ مرسوم است ، همیشه در حال یافتن و جستجو کردن میباشد زیرا هیچ سیستمی بی نقص نیست و فقط اقداماتی جهت بهبود و ارتقاء امنیت سیستم انجام میشود .

پس هدف از اعمال تست نفوذ ، شناسایی و یافتن نقاط ضعف در سیستم ، برنامه و سازمان جهت دستیابی به بهترین و مطمئن ترین ” Resourse ” برای پایه گذاری برنامه ها و سازمان  بر آن می باشد.

penetration test pavan

چرا تست های نفوذ مهم بشمار می آید ؟

1 – آنها می توانند به پرسنل یا کارکنان شرکت ، تجربه واقعی مقابله با حمله کنندگان ( هکر ها ) را بدهند . تست نفوذ باید بدون اطلاع هیچ یک از کارکنان انجام گردد ؛ که این به سازمان این اجازه را میدهد تا از میزان کیفیت امنیتی خود اطلاع حاصل کند .

2 – میتواند کاستی ها و اشکالات در شیوه امنیتی که بسیار احساس میشود را روشن سازی کند . امکان دارد در هنگام حمله به سیستم ، کارکنان موفق به یافتن حمله کننده بشوند ولی به طور مؤثر قادر به دفع و حذفش از سیستم قبل از آسیب رساندن ، نباشند .

3 – آنها ضعیف ترین بخش های سیستم و برنامه را شناسایی و درموردش گزارش میدهند . تیم تست نفوذ از زاویه بیرون به سیستم مینگرد و مانند بقیه هکر های واقعی به هر شیوه که امکان دارد تلاش میکنند تا به سیستم دسترسی پیدا کنند ،  این به خودی خود میتواند بسیاری از آسیب پذیری های موجود در سیستم که توسط توسعه دهندگان ( Developers ) مورد بی توجهی و نا آگاهی قرار گرفته است را شفاف سازی میکند تا در آینده مشکلی پیش نیاید .

4 – گزارش های تست نفوذ میتواند استفاده شود تا توسعه دهندگان آن هارا تحلیل کنند و مرتکب اشتباهات کمتری شوند . اگر کارکنان فرآیند چگونگی ورود یک حمله کننده خلرجی ( هکر ) به سیستمی که خود توسعه دادند را مشاهده کنند ؛ به طور قطع برای افزایش علوم امنیتی خود بیشتر تشویق میگردند و در آینده از ارتکاب به اشتباهات گذشته پرهیز می کنند .

لازم به ذکر است که در اولین تست نفوذ بر سازمان و سیستم خود ممکن است نتایج اعجاب انگیزی به بار آورد که مشخص می نماید که سیستم شما بیشتر از آنچه که انتظار داشتید آسیب پذیر در برابر حمله هکر ها می باشد .

منبع : سکیوریتی ایننویشن یوروپ

 

دسته: امنیت شبکه
نتیجه‌ای پیدا نشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up