ارزیابی امنیتی و آزمون نفوذ
تست نفوذ یا ارزیابی امنیتی روشی است که توسط آن قادر خواهیم بود تا آسیبپذیریهای موجود در نرمافزارها، شبکه، وبسایت و بانکهای اطلاعاتی خود را شناسایی کرده و پیش از آنکه نفوذگران واقعی به سیستم وارد شوند، امنیت سیستم خود را افزایش دهیم. این روش با استفاده از ارزیابی جنبههای مختلف امنیتی کمک میکند تا با کاهش دادن ریسکهای امنیتی موجود، احتمال نفوذ غیرمجاز به شبکه را کاهش دهیم.
هدف از انجام تست نفوذ، یافتن آسیبپذیری در یک یا چند مورد از زمینههای زیر میباشد:
امنیت تجهیزات فعال شبکه
امنیت سیستمعاملها
امنیت سرویسهای شبکه و بانکهای اطلاعاتی
امنیت برنامههای کاربردی و نرمافزارهای تحت شبکه، تحت وب و تحت موبایل
تست نفوذ را میتوان از دیدگاههای متفاوتی بررسی نمود. براساس میزان اطلاعاتی که در اختیار تیم نفوذ است، میتوان سه دسته White Box، Black Box و Gray Box را در نظر گرفت و از دیدگاه مکان انجام تست نفوذ بهInternal و External تقسیم نمود
رویکرد Black-Box ، Gray-Box و White-Box
تست نفوذ به روشهای متفاوتی قابل انجام است. بیشترین تفاوت میان این روشها، در میزان اطلاعات مرتبط با جزییات پیادهسازی سیستم در حال تست میباشد که در اختیار تیم تست نفوذ قرار داده میشود. با توجه به این موضوع تست نفوذ را میتوان به سه دستهBlack-Box ، White – Box و Gray-Box تقسیم نمود.
تست Black-Box با فرض عدم دانش از زیر ساختهایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستمها را بطور دقیق مشخص کنند. تست Black-Box در واقع شبیهسازی کردن حملهای است که توسط نفوذگری انجام میشود که در ابتدا با سیستم آشنایی ندارد.
از سوی دیگر در تست White-Box اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور، در اختیار تیم ارزیابی امنیتی قرار میگیرد. تست White-Box حملهای را شبیه سازی میکند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. تست White-Box دارای گستردگی وسیعی میباشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیبپذیریهایی که تا کنون از دید برنامه نویسان مخفی مانده است، میباشد.
روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار میگیرند که معمولا از آنها به تست های Gray-Box تعبیر میشود.
تست نفوذ External و Internal
تست External به انواع تستهایی اطلاق میشود که در خارج از محدوده سازمانی که قرار است مورد تست نفوذ قرار بگیرد، انجام میشود و تستهای Internal در حوزه مکانی آن سازمان و در میان افرادی که آن سازمان فعالیت میکنند انجام میشود.
نوع اول در واقع سناریویی را بررسی میکند که مهاجم با دسترسی داشتن به منابع مورد نیاز خود، از جمله آدرس های IP که از سازمان مورد نظر در اختیار دارد و یا با در اختیار داشتن کد منبع نرم افزارهایی که در سازمان استفاده میشوند و در اینترنت موجود می باشند اقدام به پویش و کشف آسیبپذیری نماید.
در نوع دوم سناریویی بررسی میشود که مهاجم به هر طریق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوری داده های مورد نظر اقدام به حمله میکند. با ورود به محدوده مکانی یک سازمان مهاجم می تواند سناریوهای مختلفی را پیاده سازی نماید. برای نمونه با استفاده از شبکه بیسیم داخلی و بررسی دادههای به اشتراک گذاشته شده که می تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلی برای مهاجم سادهتر خواهد شد.
متدولوژی های تست نفوذ
متدولوژی های تست نفوذ متعددی برای ارزیابی امنیتی و آزمون نفوذ وجود دارد که بخشی از آنها نیازمند پرداخت هزینه عضویت ماهانه یا سالانه و بخشی از آنها به صورت رایگان ارائه میشوند. برخی از این متدولوژی های توسط OWASP ،ISECOM ،PS و NIST که از شناخته شده ترین استانداردهای ارائه شده در این زمینه هستند ارائه شده که شرحی کوتاه از هر کدام در ذیل تقدیم حضور می گردد:
مجموعه OWASP یا پروژه منبع باز امنیت سامانه های وب (Open Web Application Security Project) از شاخص ترین موسسات فعال بین المللی در بخشهای مختلف امنیت نرم افزار خصوصا امنیت سامانه های وب است. در زمینه تهیه و ارائه متدولوژی های تست نفوذ OWASP از دسامبر ۲۰۰۴ با ارائه نسخه اول
OWASP Testing Guide که در حال حاضر به
نسخه چهارم که در سال ۲۰۱۴ تهیه شده ارتقا یافته و در دسترس عموم قرار دارد از پیشگامان این عرصه است.
موسسه ISECOM نیز از ژانویه ۲۰۰۱ با ارائه دستورالعمل منبع باز متدولوژی تست امنیت (Open Source Security Testing Methodology Manual) یا
OSSTMM که آخرین نسخه رایگان آن
نسخه سه و
نسخه چهارم آن به صورت پرداخت حق عضویت ارائه میگردند نقش مهمی در ترسیم ت های امنیتی سازمان ها برای ارائه و تست راهکارهای امنیتی بر عهده گرفته است.
موسسه ملی استاندارد و تکنولوژی NIST نیز با استاندارد
NIST Special Publication 800-115 از سال ۲۰۰۸ و در چهار بخش اصلی برنامه ریزی Planning، کشف Discovery، نفوذ Attack و گزارش دهی Reporting جزو ارائه دهندگان استانداردهای تست نفوذ است.
از دیگر متدولوژی ها شناخته شده استاندارد اجرایی تست نفوذ (Penetration Testing Execution Standard) یا
PTES است که اولین نسخه آن در سال ۲۰۰۹ توسط تیمی از محققین امنیتی به سرپرستی آقای نیکرسون عرضه گردیده و به صورت اجمالی شامل هفت مرحله است. این استاندارد با بهره گیری از دیگر استانداردها همچون استاندارد OWASP Testing Guide در بخشهای مختلف خصوصا در بخش تست سامانه های وب متدولوژی تست نفوذ نسبتا جامعی را ارائه میکند.
ارزیابی امنیتی (Vulnerability Assessments)، که از منظرهای مختلف شباهت هایی به تست نفوذ دارد و یکی دیگر از روشهای موثر ایمن سازی از طریق سنجش امنیتی بخش های مختلف سیستم ها و سامانه هایی که نیازمند برخورداری از پایداری و امنیت بالایی هستند، است.
برخی از متخصصین امنیت بر این باورند که ارزیابی امنیتی پیش نیاز تست نفوذ بوده و باید بعد از استقرار سیستم امنیتی سازمان و انجام ارزیابی های امنیتی اقدام به تست نفوذ به عنوان آخرین مرحله سنجش و ارزشیابی امنیت کرد.
در این میان یکی از شاخص ترین تفاوتهای بین تست نفوذ و ارزیابی امنیتی، عدم تلاش برای نفوذ (Penetration)و بهره گیری از آسیب پذیری های کشف شده (Exploitation) در ارزیابی امنیتی برخلاف تست نفوذ است. در ارزیابی امنیتی معمولا با توجه به قرارداد منعقد شده ساختار آی تی سازمان با ابزارهای تخصصی دستی و اتوماتیک اسکن شده و نتایج حاصله به صورت مکتوب و مدون و گزارشات مدیریتی و فنی همراه با راهکارهای جلوگیری از تهدیدات یا کاهش آنها برای بهینه سازی های امنیتی در اختیار متقاضی قرار میگیرد.
از دیگر تفاوتها بین تست نفوذ و ارزیابی امنیتی، برخلاف تست نفوذ که با توجه به نوع و حساسیتهای سیستم ها معمولا به صورت دوره ای و هر شش ماه یا یک سال یک بار انجام میگردد، ارزیابی امنیتی باید به صورت مداوم و برنامه ریزی شده خصوصا در زمان هایی همچون تغییرات ساختاری در سیستم های نرم افزاری یا سخت افزاری نصب شده، تغییرات در تنظیمات شبکه یا سامانه های وب صورت میگیرد و یا هنگامی که آسیب پذیری های جدید کشف و منتشر میشوند برای اطمینان از عدم تحت تاثیر گرفتن ساختار شبکه و فناوری سازمان انجام گردد.
اصولی ترین روش بهره گیری از مزایای ارزیابی امنیتی برای سازمانها و شرکتها ادغام دائمی آن با برنامه فناوری سازمان و انجام مداوم آن با فاصله های زمانی کوتاه است.
مراحل اولیه برای تست نفوذ به شرح ذیل می باشد:
۱) مشخص کردن دقیق محدوده تست نفوذ
تعیین محدوده تست نفوذ با هدف تخمین زمان و هزینه انجام می شود و برای بالا بردن دقت در انجام کار حائز اهمیت است.
۲) بدست آوردن اطلاعات مفید دربارهی سیستم هدف:
استفاده از ابزارها، نرم افزارها و راهکارهای مهندسی اجتماعی برای بدست آوردن اطلاعات در مورد هدف، هرچه اطلاعات نسبت به سیستم هدف دقیق تر و کامل تر باشد حملات موفق تری را میتوان انجام داد ،این اطلاعات شامل بدست آوردن محدوده IP ودامنه سایت و…کمک شایانی در نوع حمله خواهد کرد.
۳) پویش سامانه یا سرویس برای یافتن آسیب پذیری ها:
در بسیاری از شرکتها و سازمانها سرویس هایی وجود دارد که پیکربندی آنها در حالت پیش فرض است یا دارای آسیب پذیری است که بروزرسانی و امن سازی نشده و این می تواند نقطه ورودی به شبکه سازمان باشد. پویش سیستمها و سرویس ها برای پیدا کردن چنین آسیب پذیری هایی انجام می شود. شبکه های بی سیم با مکانیزم احرازهویت ضعیف تهدیدی جدی برای سازمان خواهند بود.
۴) شناسایی سیستم ها و برنامه های کاربردی و احراز هویت آنها:
شناسایی کلیه تجهیزات، سیستم ها و منابع مهم شبکه در سازمان در این بخش انجام خواهد شد. سیستم ها و سامانه های مرتبط با هم مطابق معماری در اختیار واحد فناوری سازمان مورد بررسی قرار گرفته و ارتباطات مشخص خواهد شد، سپس درستی ارتباط و احرازهویت و دسترسی ها مورد بررسی قرار خواهند گرفت.
۵) ارائه گزارش مدیریتی و فنی:
گزارش مدیریتی جهت بررسی کلان وضعیت امنیت سامانه یا سرویس مورد تست قرار گرفته برای تصمیم گیری درباره آن ارائه خواهد شد همچنین وضعیت سیستم از نظر فنی همراه با گزارش دقیق آسیب پذیری و راهکارهای کاهش یا جلوگیری از تهدیدات ارائه خواهد شد.
پس از ارائه راهکار ما پیشنهاد امن سازی سرویس را به شما می دهیم در صورت نیاز به اطلاعات بیشتر با واحد امنیت ویرا تماس بگیرید.
درباره این سایت