تست نفوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده و سیستماتیك برای به كارگیری آسیب پذیری ها جهت نفوذ به سرور، شبكه و یا منابع برنامه های كاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی حمله یك هكر یا نفوذگر خرابكار صورت می گیرد.
با کرک باز همراه باشید.
در یک حمله سایبری واقعی، مهاجم ممکن است هیچ اطلاعاتی درباره شبکه هدف خود نداشته باشد و یا تمامی ورودی و خروجیهای زیرساخت شبکه مورد هدف خود (سازمان ها شرکت هاو..) را نداند. به همین دلیل، حمله جستجوی فراگیری علیه زیرساخت فناوری اطلاعات صورت میدهد به این امید که آسیبپذیری یا ضعفی روی آن زیرساخت پیدا کند.
بهعبارت دیگر، در این نوع تست نفوذ، هیچگونه اطلاعاتی نه درباره عملیات درونی سرویس ها و نه در مورد کد منبع یا ساختار سرویس ها به متخصص تست نفوذ (هکر کلاه سفید) داده نمیشود. در نتیجه مدتزمان بسیاری طول میکشد تا این نوع خاص از تست نفوذ کامل شود بنابراین اغلب اوقات آزمایشکننده ترجیح میدهد از فرآیندهای خودکار برای کشف ضعف و آسیبپذیریها استفاده کند. این نوع آزمایش همچنین روش «آزمون و خطا » نامیده میشود.
همانطور که از نام آن پیداست، این نوع آزمایش ترکیبی از تست جعبه سیاه و جعبه سفید است. بهعبارت دیگر، آزمایشگر دانش اندکی راجع به کارهای درونی برنامه کاربردی وب دارد. این تست اغلب به دسترسی به بخشی اندکی از اطلاعات شبکه مورد هدف محدود میشود.
در تست جعبه خاکستری، میتوان از هر دو فرآیند دستی و خودکار استفاده کرد. به همین دلیل، یک متخصص تست نفوذ(هکر کلاه سفید)میتواند عمده تلاشهایش را روی نواحی از سرویس هایی که اندک اطلاعاتی که از قبل دارد متمرکز می کند و بدین ترتیب هرگونه آسیبپذیری یا ضعفی را در آنجا شناسایی میکند،ولی این روش یک مشکل بسیار اساسی دارد چرا که احتمال بیشتری وجود دارد تا اشکالهای امنیتی که سختتر پیدا میشوند کشف شوند.البته این اشکال درصورتی بسیار خودنمایی میکند که تیم ویا شرکتی که وظیفه تست نفوذ را برعهده دارد از کارخود کوتاهی کرده وتمام شبکه مورد هدف را هماننده سرویس هایی که از آن ها اطلاعاتی را دارد اسکن نکند ولی اگر کار دقیق انجام شود این روش را میتوان به یکی از روش های خوب ودقیق نامبرد.
در این نوع تست نفوذ که تست جعبه پاک هم نامیده میشود، آزمایشگر دانش و دسترسی کامل به تمام اطلاعات شبکه هدف از جمله نرم افزار های تحت وب،وب سرور ها،میل سرور ها،سرور های اتوماسیون داخلی وخارجی وغیره را دارد به همین دلیل، تست جعبه سفید در مقایسه با تست جعبه سیاه در مدت زمان سریعتری انجام میشود. مزیت دیگر این روش این است که تست نفوذ، بسیار دقیقتر انجام میگیرد.
اما این روش، اشکالاتی هم دارد از جمله اینکه چون آزمایشگر دانش کاملی از آن دارد،وتمامی شبکه مورد نظر را میشناسد در زمان حمله مدتی طول میکشد تا تصمیم خود را مبنی بر حق تقدم این که به کدام یک از سرویس ها اول حمله کند بوجود می آید دوم اینکه برای انجام این آزمایش، ابزارهای پیچیدهای مانند تحلیلگر های بسیار پیشرفته و دقیق و نرم افزار های رفع اشکال کد (debugger) نیاز است
مزیت های بسیاری برای تست نفوذ چه از جنبه تجاری و چه از جنبه فنی وجود دارد. تعدادی از دلایل عمده قبول تست نفوذ عبارتند از:
1- جلوگیری از مخاطرات امنیتی مخاطرات امنیتی از قبیل حمله ویروس ها، نفوذبه شبکه و سرقت اطلاعات ، در نتیجه داشتن یک سیستم غیر امن به وجود می آید. این امر باعث عدم اطمینان مشتریان سازمان می شود. تست نفوذ با شناسایی نقاط ضعف امنیتی سیستم، موجبات جلوگیری از تهدید های امنیتی این وقایع را فراهم می کند.
2- محافظت از اطلاعات شرکت ها برای محافظت اطلاعات از مکانیزم های امنیتی بسیاری مانند متد هایی کنترل دستیابی، دیوار آتش،رمزنگاری اطلاعات، سیستم های تشخیص و پاسخ به نفوذ و موارد مشابه استفاده می کنند. البته روزانه با شناسایی حملات جدید، به طور پیوسته محافظت از اطلاعات سیستم/کاربر دشوارتر می شود. تست نفوذ با شبیه سازی انواع مختلفی از حملات، این نگرانی را بر طرف می کند.
3- اولویت بندی خطرات امنیتی تست نفوذ به کاهش خسارات مالی در نتیجه سرویس دهی به سیستم مورد حمله توسط تهدیدهای امنیتی کمک می کند زیرا سبب میشود تا سازمان ها از شکاف های امنیتی موجود در سیستم خود آگاه شده و برای رفع آنها برنامه ریزی نمایند.
دیدگاه ها