Five Types of Penetration Test for Security Testers

تست نفوذ چیست ؟

تست نفوذ چیست ؟ تست نفوذ یا آزمون نفوذ ( به انگلیسی Penetration Test یا Pen Test ) تمرین آزمایش سیستم کامپیوتری، شبکه یا نرم افزار وب برای شناسایی آسیب…

تست نفوذ چیست ؟

تست نفوذ یا آزمون نفوذ ( به انگلیسی Penetration Test یا Pen Test ) تمرین آزمایش سیستم کامپیوتری، شبکه یا نرم افزار وب برای شناسایی آسیب پذیری های امنیتی است که مهاجم می تواند از آن بهره برداری کند. تست نفوذ می تواند به صورت خودکار با برنامه های نرم افزاری و یا دستی انجام شود. هدف اصلی آزمون نفوذ، کشف نقاط ضعف امنیتی است. تست نفوذ نیز می تواند مورد استفاده برای بررسی سیاست امنیتی سازمان، آگاهی امنیتی کارکنان و توانایی سازمان برای شناسایی و پاسخ به حوادث امنیتی باشد.

به طور معمول، اطلاعاتی در مورد نقاط ضعف امنیتی که از طریق تست نفوذ بدست می آید، جمع آوری شده و به مدیران سیستم های فناوری اطلاعات و سیستم های سازمان می رسد و آنها را قادر می سازد تصمیم های استراتژیک و اولویت بندی تلاش های بازسازی را تعیین کنند.

 

انواع تست نفوذ

آزمون‌های موجود را به ۳ دسته کلی می‌توان تقسیم کرد:

Pentesting Strategies

  • آزمون جعبه سفید ( White Box ): در این روش با استفاده از فرآورده‌های اطلاعاتی از برنامه کاربردی نظیر کد منبع، نمودارهای طراحی و معماری و مدل داده به صورت دستی یا توسط ابزار خودکار، برنامه کاربردی مورد ارزیابی قرار می‌گیرد.
  • آزمون جعبه سیاه ( Black Box ): در روش جعبه سیاه بدون هیچ‌گونه آگاهی از جزئیات داخلی برنامه کاربردی، توسط ابزار یا به صورت دستی به ارزیابی امنیتی برنامه کاربردی پرداخته می‌شود.
  • آزمون جعبه خاکستری ( Grey Box ): بر حسب داشتن میزان اطلاعات از برنامه کاربردی بین دو روش قبل قرار می‌گیرد. در این روش، معمولا اطلاعاتی و یا دسترسی‌هایی که کاربر معمولی قادر به کسب آنها نیست در اختیار تیم آزمونگر قرار می‌گیرد.

مراحل نست نفوذ

فرآیند تست نفوذ را می توان به 5 بخش تقسیم کرد :

Penetration Test Phases

  1. برنامه ریزی و شناسایی
  • تعریف محدوده و اهداف آزمون، از جمله سیستم هایی که باید مورد توجه قرار بگیرند و روش های آزمونی که قرار است مورد استفاده قرار بگیرد.
  • جمع آوری اطلاعات ( به عنوان مثال، نام شبکه و دامنه، سرور پست الکترونیکی) برای درک بهتر چگونگی کار کردن سیستم هدف و آسیب پذیری های بالقوه آن.
  1. اسکن کردن
  • تحلیل استاتیک : بازبینی کد برنامه در جهت برآورد کردن نحوه رفتار آن هنگام اجرای برنامه، این ابزار ها ( اسکنر ) میتوانند در یک اجرا کل کد را اسکن کنند.
  • تحلیل داینامیک : بازبینی کد برنامه در حالت سرویس دادن، این یک روش عملی اسکن است زیرا یک نمایش زمان واقعی از عملکرد برنامه فراهم می کند.

 

  1. گرفتن دسترسی
  • این مرحله از حملات برنامه های کاربردی وب مانند Cross-site Scripting ) XSS ، SQL Injection ) و بکدور ها ( Backdoors ) در جهت شناسایی آسیب پذیری های هدف استفاده می شود. سپس با بهره برداری از این آسیب پذیری ها در جهت افزایش سطح دسترسی، سرقت اطلاعات، ترافیک و غیره استفاده می شود تا خسارت ناشی از برآورد شود.

 

  1. حفظ دسترسی
  • در این مرحله هدف این می باشد که آیا می توان از آسیب پذیری موجود در سیستم بهره برداری شده برای دستیابی به یک حضور مدوام در آن مورد استفاده قرار گیرد، حد زمانی که نفوذگر بتواند دسترسی با بالاترین سطح بگیرد. ایده این می باشد با تقلید از تهیدادت مستمر پیشرفته که اغلب در سیستم ماه ها باقی می ماند، بتوان مهم ترین اطلاعات یک سازمان را به سرقت برد.

 

  1. آنالیز

سپس نتایج تست نفوذ در گزارش با جزئیات گردآوردی می شود :

  • آسیب پذیری های خاصی که مورد بهره برداری قرار گرفتند.
  • اطلاعات حساسی که مورد دسترسی قرار گرفتند.
  • مقدار زمانی که نفوذگر توانست در سیستم ناشناخته باقی بماند.

این اطلاعات توسط پرسنل امنیتی برای کمک به پیکربندی تنظیمات Web Application Firewall ) WAF ) سازمان و سایر راه حل های امنیتی نرم افزار برای آسیب پذیری های وصله شده و حفاظت در برابر حملات آینده تحلیل می شود.

 

هرچند وقت یک بار باید آزمون نفوذ را انجام دهیم ؟

سازمان ها باید تست نفوذ را به طور منظم انجام دهند، به طور آیده ال، هر یک بار در سال برای اطمینان از پایداری امنیت شبکه و مدیریت فناوری اطلاعات. علاوه بر انجام تجزیه و تحلیل و ارزیابی های قانونی، آزمون نفوذ می تواند هر موقع اجرا شود اگر یک سازمان :

  • زیرساخت شبکه یا برنامه های جدید را اضافه می کند.
  • ارتقاء و یا تغییرات قابل توجهی را به برنامه ها یا زیرساخت های آن بدهد.
  • دفاتر را در مکان های جدید ایجاد می کند.
  • وصله های امنیتی را اعمال می کند؛ یا سیاست های کاربر نهایی را اصلاح می کند.

با این حال، چون آزمون نفوذ یک راه حل یکسان برای همه شرایط نیست، زمانی که یک شرکت باید در تست نفوذ درگیر شود وابسته به مواردی است، از جمله:

  • اندازه شرکت، شرکت هایی که حضور آنلاین بیشتری دارند پتانسیل آسیب پذیری بیشتری دارند از این رو اهداف جذاب تری برای هکرها هستند.
  • تست نفوذ می تواند هزینه بر باشد، یک شرکت با بودجه کوچکتر ممکن است قادر به انجام آن بطور سالیانه نباشد. یک سازمان با بودجه كوچك شاید بتواند تنها هر دو سال یک بار آزمون نفوذ را انجام دهد در حالي كه يك شركت با بودجه بزرگتر مي تواند آزمون نفوذ را هر یک سال یکبار انجام دهد.
  • مقررات و انطباق سازمانها در صنایع خاصی به موجب قانون برای انجام وظایف امنیتی خاص، از جمله تست نفوذ، مورد نیاز است.
  • شرکتی که زیرساخت آن ابری است ممکن است مجاز به انجام آزمون نفوذ زیرساخت ارائه دهنده ابر نباشد. با این حال، ارائه دهنده ممکن است خود تست نفوذ را انجام دهد.
دسته: اخبار تست نفوذ و آسیب پذیری ها
نتیجه‌ای پیدا نشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up