تست نفوذ یا ارزیابی آسیب پذیری ؟
به طور کلی دو اصطلاح تست نفوذ و ارزیابی آسیب پذیری (ارزیابی امنیتی آسیب پذیریها)به دلیل سوء تعبیر یا غلو در بازاریابی، توسط مردم به جای هم بکار می روند. اما این دو اصطلاح بر حسب اهداف و سایر روش ها با یکدیگر متفاوتند. با این حال، قبل از شرح این تفاوت ها، بهتر است ابتدا هر دو را بررسی کنیم.
تست نفوذ
تست نفوذ، اقدامات مهاجمان مجازی داخلی و یا خارجی را که قصد نقض(شکستن) امنیت اطلاعات و هک کردن داده های باارزش یا قصد اخلال در عملکرد عادی سازمان را دارند، بازسازی و تکرار می کند. بنابراین تِستِرِ نفوذ(همچنین به عنوان هکر اخلاقی هم شناخته می شود) با کمک تکنیک ها و ابزارهای پیشرفته، برای کنترل سیستم های بحرانی و دسترسی به داده های حساس تلاش می کند.
ارزیابی آسیب پذیری
از سوی دیگر، ارزیابی آسیب پذیری، تکنیک شناسایی(کشف) و ارزیابی آسیب پذیری های امنیتی(اسکن) در یک محیط معین است که یک ارزیابی جامع از موقعیت امنیت اطلاعات (تجزیه و تحلیل نتیجه) است. علاوه بر این ، ارزیابی آسیب پذیری، نقاط ضعف بالقوه را مشخص و اقدامات مناسبی برای رفع نقاط ضعف یا کاهش سطح خطر ارائه می کند.
نمودار زیر، ارزیابی آسیب پذیری را بدین صورت نشان می دهد:
جدول زیر، تفاوت های اساسی بین تست نفوذ و ارزیابی های آسیب پذیری را شرح می دهد:
تست نفوذ | ارزیابی آسیب پذیری |
تعیین دامنه حمله | تهیه فهرست از موجودی ها و منابع در یک سیستم خاص |
تست داده های حساس | کشف تهدیدات بالقوه هر منبع |
جمع آوری اطلاعات مشخص و یا بررسی سیستم | تخصیص مقدار قابل سنجش به منابع موجود |
پاکسازی سیستم و ارائه گزارش نهایی | تلاش برای کاهش یا حذف آسیب پذیری های بالقوۀ منابع باارزش |
مزاحم نبودن، مستندسازی، و تحلیل و بررسی محیطی | تحلیل جامع و از طریق بررسی سیستم هدف و محیط آن |
ایده آل برای محیط های فیزیکی و معماری شبکه | ایده آل برای محیط های آزمایشگاه |
مدنظر سیستم های بحرانی در زمان واقعی | مدنظر سیستم های غیربحرانی |
کدام گزینه برای تمرین، ایده آل است؟
هر دو روش، عملکرد و رویکرد متفاوتی دارند، بنابراین به موقعیت امنیتی سیستم مربوطه بستگی دارد. اما، به دلیل تفاوت اساسی بین تست نفوذ و ارزیابی آسیب پذیری، روش دوم نسبت به روش اول مفیدتر است.
ارزیابی آسیب پذیری، نقاط ضعف را مشخص می کند و راه حلی برای رفع آنها ارائه می دهد. از سوی دیگر، تست نفوذ فقط به این سؤال پاسخ می دهد که “آیا کسی می تواند امنیت سیستم را مختل کند و اگر چنین باشد ، چه ضرری می تواند وارد نماید؟”
علاوه بر این، ارزیابی آسیب پذیری تلاش می کند سیستم امنیتی را بهبود بخشد و یک برنامه امنیتی یکپارچه و کاملتری را تهیه کند. از طرف دیگر، تست نفوذ فقط تصویری از اثربخشی برنامه امنیتی شما را نشان می دهد.
همانطور که در اینجا دیدیم، ارزیابی آسیب پذیری مفیدتر است و در مقایسه با تست نفوذ، نتیجه بهتری به همرا دارد. اما، متخصصان پیشنهاد می کنند، به عنوان بخشی از سیستم مدیریت امنیت ، هر دو تکنیک باید بطور روتین اجرا شوند تا از یک محیط امن و بدون نقص مطمئن شویم.