آزمون نفوذپذیری بهترین و دقیقترین روش برای سنجش میزان امنیت یک نرم افزار، رایانه یا شبکه است که با شبیهسازی حملات یک حمله کننده (هکر) واقعی انجام میشود. در این روش، تمام نرمافزارها، سیستمها و سرویسهای نصب شده بر روی آن برای یافتن مشکلات امنیتی، آزمایش شده و سپس اقدام به رفع آنها میشود.
آزمون نفوذپذیری به روشهای مختلفی انجام میشود که عمدهترین اختلاف آنها، تفاوت در میزان اطلاعات آزمونگر درباره سیستم مورد نظر و همچنین میزان دسترسی وی به آن سیستم است. آزمون جعبه سیاه، روشی است که بدون داشتن هیچگونه اطلاعات قبلی در مورد سیستم، توسط آزمونگر انجام میشود. آزمون جعبه سفید یا آزمون شفاف، روشی است که در آن آزمونگر، مشخصات کامل سیستم را در اختیار دارد. در این میان، روش دیگری هم وجود دارد که در آن، تنها بخشی از اطلاعات در اختیار آزمونگر قرار میگیرد و به آزمون جعبه خاکستری معروف است. با انجام آزمون شفاف میتوان سیستم را به طور دقیقتر و برای موارد بیشتر تست کرد در صورتی که با انجام آزمون جعبه سیاه ممکن است تمام حفرههای موجود مورد بررسی قرار نگیرند. بنابراین در مواقعی که امنیت نقش کلیدی ایفا میکند، لازم است که آزمون شفاف انجام شود.
هدف از انجام آزمون نفوذپذیری
مهمترین اهداف انجام آزمون نفوذپذیری عبارتند از:
· شناسایی راههای نفوذ به شبکه سازمان (کشف رخنههای امنیتی)
· شناسایی تهدیدها و آسیب پذیریهای موجود در سازمان
· برطرفسازی آسیب پذیریهای شناسایی شده، به منظور افزایش ضریب امنیتی سازمان
استانداردهای اجرای آزمون نفوذپذیری
از جمله استانداردهای مطرحی که تیم آزمون نفوذ اینجانب برای انجام آزمون نفوذپذیری در سازمانها و شرکتهای متقاضی از آنها استفاده میکند، میتوان به استاندارد OWASP (Open Web Application Security Project ) اشاره کرد.
متدولوژیهای انجام آزمون نفوذپذیری
از مهمترین متدولوژیهایی که متخصصان تیم آزمون نفوذ اینجانب برای شناسایی آسیب پذیریها از آنها استفاده میکنند میتوان به OSSTM ( the Open Source Security Testing Methodology Manual ) و ISSAF (Information Systems Security Assessment Framework ) اشاره کرد.
ابزارها، نرم افزارها و تیم آزمون نفوذپذیری
امروزه نرم افزارها و ابزارهای آزمون نفوذپذیری متعدد و متنوعی وجود دارد که میتوان از آنها برای انجام ارزیابیهای امنیتی استفاده کرد. اگر چه این ابزارها میتوانند کار آزمون نفوذ را به صورت خودکار انجام دهند اما به طور کلی، استفاده از آنها توصیه نمیشود زیرا اولاً نرم افزار مورد نظر میتواند خود ابزاری مخرب باشد که اطلاعات را در اختیار طراحان آن قرار دهد و ثانیاً این نرم افزارها هوش انسان را ندارند و نمیتوانند تمام حفرههای موجود را شناسایی کنند و در نهایت، تنها قسمت محدودی از حفرههای موجود در برنامهها را کشف میکنند. همچنین استفاده از این ابزارها در صورتی که سازمان از نرم افزار اختصاصی نوشته شده برای خود، استفاده میکند عملاً غیرممکن میشود زیرا آنها قادر به شناسایی آسیب پذیریهای موجود در این برنامههای اختصاصی سازمان نیستند.
از سوی دیگر، به دلیل اینکه کیفیت آزمون نفوذپذیری، ارتباط مستقیمی با میزان دانش امنیتی و تجربه آزمونگر از نرمافزارها و سرویسهای موجود بر روی سیستم دارد، لازم است که این آزمون توسط یک تیم متخصص انجام شود تا همه اجزای برنامهها و سامانهها بتوانند به صورت کامل، مورد بررسی قرار گیرند.
در خدمات آزمون نفوذپذیری که توسط تیم تخصصی اینجانب انجام میشود، هر یک از اعضای تیم، مسئول تست بخشی از برنامهها، سامانهها و شبکهها هستند که این امر میتواند موجب شناسایی بهتر آسیب پذیریها شده و راه حلهای لازم برای رفع این آسیب پذیریهای کشف شده را به صورت تخصصیتری ارایه کند.
روش اجرای آزمون نفوذپذیری
در سرویس آزمون نفوذپذیری که توسط تیم امنیتی اینجانب ارایه میشود، حملات شبیهسازی شدهای که کاملاً تحت کنترل متخصصان تیم است، در زمانهای مشخصی که خللی بر فعالیتهای سازمان وارد نمیشود، بر روی شبکه هدف اجرا شده و تلاش میشود در یک محیط واقعی، مشکلات امنیتی شناسایی شوند. این روش که شیوه سازمان یافتهای از آزمون نفوذپذیری و مبتنی بر استانداردهای مطرح بینالمللی است، آزمونی نسبتاً جامع و کامل از تمام نرم افزارها، سامانهها و شبکههای سازمان را تضمین میکند. در پایان اجرای آزمون نفوذ نیز گزارش کاملی از فعالیتهای صورت گرفته ارایه میشود.
بطور کلی، این مراحل در شکل زیر نشان داده شده است:
توانمندیهای تیم آزمون نفوذپذیری
از مهمترین تواناییهای تیم آزمون نفوذپذیری اینجانب میتوان به موارد زیر اشاره کرد:
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی تمامی سامانهها، نرم افزارها و شبکههای سازمان
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی شبکههای کنترل صنعتی
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی تجهیزات سیستمهای کنترل صنعتی (اسکادا)
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی نرم افزارهای تحت وب سفارشی و خاص سازمان
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی سرویسها و پروتکلهای مورد استفاده
- * انجام آزمون نفوذپذیری تجهیزات ارتباطی شبکه (مسیریابها، سوییچها و غیره)
- * انجام آزمون نفوذپذیری و ارزیابی امنیتی شبکههای بیسیم سازمانی
- * انجام آزمون نفوذپذیری تجهیزات امنیتی شبکه (IDS ، IPS ، UTM ، Firewall و غیره)
- * انجام آزمون نفوذپذیری بانکهای اطلاعاتی (My SQL ، MS SQL و Oracle )
- * تدوین و تهیه مستندات اجرای آزمون نفوذپذیری (همچون RFP ، Propozal و غیره)
- * مستندسازی فعالیتهای آزمون نفوذپذیری
- * آموزش روشهای اجرای آزمون نفوذپذیری