تست نفوذ به تنهایی دیگر کارایی ندارد

تست نفوذ ( Penetration test ) تکنیک ها و روش های پیدا کرده آسیب پذیری های موجود در یک سیستم ، شبکه یا سرویس است. ابزاری که سازمان ها و شرکت تا کنون آن را معیاری برای امنیت خود قلمداد می کردند. آنها با یک حمله شبیه سازی شده ( به سه روش جعبه سیاه، سفید، خاکستری ) میزان امنیت سرویس ها و سیستم های خود را بررسی می کردند. تا همین چند سال پیش روش های حمله و آسیب پذیری ها تقریبا شناخته شده بود. شدت حملات سایبری به این پیچیدگی نبود. اما اکنون شرایط بسیار متفاوت شده است. تکنیک و ابزارهای حمله نیز پیچیده تر شده است.

فراموش نکنید که تست نفوذ و امنیت شبکه از دوستان قدیمی می باشند. اصولا حرف زدن از امنیت شبکه بدون انجام تست نفوذ امکان پذیر نیست. در چند سال اخیر شرکت های بزرگ فناوری سرمایه گذاری گسترده ای بر روی امنیت محصولات خود و انجام تست نفوذ داشته اند. شرکت های مثل اپل، گوگل، مایکروسافت، موزیلا و .. جوایز چند هزار دلاری برای هک محصولات خود تعیین کرده اند. آنها به نوعی خواسته اند تا با این روش هم بر روی سرویس ها، محصولات خود تست نفوذ انجام دهند و آسیب پذیری ها موجود در آنها را پیدا کنند. هر چند چنین ترفندهای هم نتوانسته امنیت کامل برای این شرکت ها به ارمغان بیاورد. و بعدها شاهد پیداش حفره های امنیتی در محصولات و سرویس آنها بوده ایم. با همه این مشکلات تست نفوذ می تواند بهترین راه برای آگاهی از آسیب پذیر ها و مشکلات امنیتی در یک سیستم باشد.

اما در سال 2018 حرف از ناکارآمدی تست نفوذ است. هر چند که ابزارهای انجام تست نفوذ بسیار پیشرفته تر شده است. اما باز هم کارایی لازم را ندارند. شاید ابزار و پیچیدگی حملات سایبری دلیلی بر این ادعا باشد. تا مخالفان آزمون نفوذ پذیری بر ناکارآمدی آن تاکید داشته باشند.

آدریان سانابریا مدیر تحقیقاتی Savage Security در کنفرانس امنیتی RSA که در سال 2018 در سانفرانسیسکو برگزار شد در مورد زمان متوقف کردن ” تست نفوذ ” صحبت کرده است.

سانابریا 4 دلیل برای ناکارآمدی تست نفوذ عنوان کرد:

1- تمرکز بر نشانه‌ها، نه علت‌های اصلی

اگر تا کنون تست نفوذ انجام داده باشید می دانید که بیشتر شرکت هایی که برای شما آزمون نفوذ پذیری شبکه یا سایت انجام می دهند بر نشانه هایی از حمله تمرکز می کنند نه دلایل اصلی. آنها بیشتر از “ممکن است” ، ” شاید از این مورد باشد” ، ” این مورد نیز می تواند باعث حمله شود”  صحبت می کنند. شاید هیچ وقت علت های و مشکلات واقعی سیستم و شبکه شما را تشخیص ندهند. به همین خاطر بعضی از شرکت ها پس از انجام تست نفوذ باز شاهد حمله خواهند بود.

2-تمرکز بر کنترل‌های پیشگیرانه، نه تشخیص

غالب روش های تست نفوذ بر پیشگری و کنترل تمرکز دارند. تکیه کردن شرکت ها به تست نفوذ باعث می شود که آنها نتوانند از خود دفاع کنند بلکه دائما به تست نفوذ نفوذ روی بیاورند. مشاهده می کنیم که اکثر شرکت هایی که تست نفوذ انجام می دهند به مشتری فقط راه های پیشگیری و کنترل را ارائه می دهند نه تشخیص مشکل اصلی. آنها به جای اینکه مشکلات و نقاط ضعف موجود در یک سیستم یا سایت را به مشتری ارائه دهند. به وی توصیه می کنند که از فلان ابزار امنیتی و روش های دیگر برای جلوگیری از حمله استفاده کند.

3-تمرکز بر پیدا کردن آسیب‌پذیری‌ها، نه اصلاح آن‌ها

بعضی از شرکت ها و اشخاص از این گلایه دارند که تست نفوذ انجام داه اند اما باز هم هک شده اند. تست نفوذ چیزی نیست که یک بار برای همیشه انجام داد چرا که تکنیک های حمله و آسیب پذیری های سیستم شما به مرور زمان تغییر خواهد کرد. شاید ویندوز 7 در سال 2010 هک کردن آن مشکل بود. اما برای هکرهای امروزی کار چندان سختی نست. پس اینکه شما در سال گذشته تست نفوذ انجام داده اید. دلیل نمی شود که امسال هم سیستم شما امن باشد. نکته دیگر تست نفوذ به معنای امنیت کامل نیست. چرا که در دنیای مجازی ” حرف زدن از امنیت کامل فقط یک ادعاست”

غالب روش های تست نفوذ بر پیشگری هست نه اصلاح دائمی مشکلات و آسیب پذیری های آنها. آنها به شما می گویند سیستم شما در این موارد و با این تکنیک ها هک می شود اما نمی گویند که برای رفع آن چکار باید کرد. به نوعی می توان گفت که تست نفوذ آسیب پذیری ها و راه های نفوذ به سیستم شما را پیدا می کند اما روش های اصلاح و برطرف سازی را ارائه نمی دهد.

4-عدم وجود معیارهای بهبود

نکته دیگر اینکه هنوز در سطح جهانی معیارهای برای بهبود سرویس و سیستم های شبکه وجود ندارد. شما با هر تیمی که تست نفوذ انجام دهید ممکن است آسیب پذیر های متفاوت و روش های متفاوت ارائه دهند. پس تست نفوذ چیزی نیست که با یک بار انجام دادن آن هم توسط یک شرکت بتواند تمامی مشکلات امنیتی سیستم شما را پیدا کند. چرا که تکنیک ها  و روش های حمله متفاوت هست.