ارزیابی امنیتی و آزمون نفوذ

ارزیابی امنیتی و آزمون نفوذ

تست نفوذ یا ارزیابی امنیتی روشی است که توسط آن قادر خواهیم بود تا آسیب‌پذیری‌های موجود در نرم‌افزارها، شبکه، وب‌سایت و بانک‌های اطلاعاتی خود را شناسایی کرده و پیش از آنکه نفوذگران واقعی به سیستم وارد شوند، امنیت سیستم خود را افزایش دهیم. این روش با استفاده از ارزیابی جنبه‌های مختلف امنیتی کمک می‌کند تا با کاهش دادن ریسک‌های امنیتی موجود، احتمال نفوذ غیرمجاز به شبکه را کاهش دهیم.

هدف از انجام تست نفوذ، یافتن آسیب‌پذیری در یک یا چند مورد از زمینه‌های زیر می‌باشد:

امنیت تجهیزات فعال شبکه

امنیت سیستم‌عامل‌ها

امنیت سرویس‌های شبکه و بانک‌های اطلاعاتی

امنیت برنامه‌های کاربردی و نرم‌افزارهای تحت شبکه، تحت وب و تحت موبایل

تست نفوذ را می‌‎توان از دیدگاه‌های متفاوتی بررسی نمود. براساس میزان اطلاعاتی که در اختیار تیم نفوذ است، می‌توان سه دسته White Box، Black Box و Gray Box را در نظر گرفت و از دیدگاه مکان انجام تست نفوذ بهInternal و External تقسیم نمود

رویکرد Black-Box‌ ، Gray-Box و White-Box

تست نفوذ به روش‌های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش‌ها، در میزان اطلاعات مرتبط با جزییات پیاده‌سازی سیستم در حال تست می‌باشد که در اختیار تیم تست نفوذ قرار داده می‌شود. با توجه به این موضوع تست نفوذ را می‌توان به سه دستهBlack-Box ، White – Box و Gray-Box تقسیم نمود.

تست Black-Box با فرض عدم دانش از زیر ساختهایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستم‌ها را بطور دقیق مشخص کنند. تست Black-Box در واقع شبیه‌سازی کردن حمله‌ای است که توسط نفوذگری انجام می‌شود که در ابتدا با سیستم آشنایی ندارد.

از سوی دیگر در تست White-Box اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور، در اختیار تیم ارزیابی امنیتی قرار می‌گیرد. تست White-Box حمله‌ای را شبیه سازی می‌کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. تست White-Box دارای گستردگی وسیعی می‌باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب‌پذیری‌هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می‌باشد.

روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می‌گیرند که معمولا از آنها به تست های Gray-Box تعبیر می‌شود.

تست نفوذ External و Internal

تست External به انواع تست‌هایی اطلاق می‌شود که در خارج از محدوده سازمانی که قرار است مورد تست نفوذ قرار بگیرد، انجام می‌شود و تست‌های Internal در حوزه مکانی آن سازمان و در میان افرادی که آن سازمان فعالیت می‌کنند انجام می‌شود.

نوع اول در واقع سناریویی را بررسی می‌کند که مهاجم با دسترسی داشتن به منابع مورد نیاز خود، از جمله آدرس های IP که از سازمان مورد نظر در اختیار دارد و یا با در اختیار داشتن کد منبع نرم افزارهایی که در سازمان استفاده می‌شوند و در اینترنت موجود می باشند اقدام به پویش و کشف آسیب‌پذیری نماید.

در نوع دوم سناریویی بررسی می‌شود که مهاجم به هر طریق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوری داده های مورد نظر اقدام به حمله می‌کند. با ورود به محدوده مکانی یک سازمان مهاجم می تواند سناریوهای مختلفی را پیاده سازی نماید. برای نمونه با استفاده از شبکه بی‌سیم داخلی و بررسی داده‌های به اشتراک گذاشته شده که می تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلی برای مهاجم ساده‌تر خواهد شد.

متدولوژی های تست نفوذ

متدولوژی های تست نفوذ متعددی برای ارزیابی امنیتی و آزمون نفوذ وجود دارد که بخشی از آنها نیازمند پرداخت هزینه عضویت ماهانه یا سالانه و بخشی از آنها به صورت رایگان ارائه میشوند. برخی از این متدولوژی های توسط OWASP ،ISECOM ،PS و NIST که از شناخته شده ترین استانداردهای ارائه شده در این زمینه هستند ارائه شده که شرحی کوتاه از هر کدام در ذیل تقدیم حضور می گردد:

مجموعه OWASP یا پروژه منبع باز امنیت سامانه های وب (Open Web Application Security Project)   از شاخص ترین موسسات فعال بین المللی در بخشهای مختلف امنیت نرم افزار خصوصا امنیت سامانه های وب است. در زمینه تهیه و ارائه متدولوژی های تست نفوذ OWASP از دسامبر ۲۰۰۴ با ارائه نسخه اول 

OWASP Testing Guide که در حال حاضر به 

نسخه چهارم که در سال ۲۰۱۴ تهیه شده ارتقا یافته و در دسترس عموم قرار دارد از پیشگامان این عرصه است.

موسسه ISECOM نیز از ژانویه ۲۰۰۱ با ارائه دستورالعمل منبع باز متدولوژی تست امنیت (Open Source Security Testing Methodology Manual) یا 

OSSTMM  که آخرین نسخه رایگان آن 

نسخه سه و 

نسخه چهارم آن به صورت پرداخت حق عضویت ارائه میگردند نقش مهمی در ترسیم ت های امنیتی سازمان ها برای ارائه و تست راهکارهای امنیتی بر عهده گرفته است.

موسسه ملی استاندارد و تکنولوژی NIST نیز با استاندارد 

NIST Special Publication 800-115  از سال ۲۰۰۸ و در چهار بخش اصلی برنامه ریزی  Planning، کشف  Discovery، نفوذ  Attack و گزارش دهی Reporting جزو ارائه دهندگان استانداردهای تست نفوذ است.

از دیگر متدولوژی ها شناخته شده استاندارد اجرایی تست نفوذ (Penetration Testing Execution Standard)  یا 

PTES  است که اولین نسخه آن در سال ۲۰۰۹ توسط تیمی از محققین امنیتی به سرپرستی آقای نیکرسون عرضه گردیده و به صورت اجمالی شامل هفت مرحله است. این استاندارد با بهره گیری از دیگر استانداردها همچون استاندارد OWASP Testing Guide در بخشهای مختلف خصوصا در بخش تست سامانه های وب متدولوژی تست نفوذ نسبتا جامعی را ارائه میکند.

ارزیابی امنیتی (Vulnerability Assessments)، که از منظرهای مختلف شباهت هایی به تست نفوذ دارد و یکی دیگر از روشهای موثر ایمن سازی از طریق سنجش امنیتی بخش های مختلف سیستم ها و سامانه هایی که نیازمند برخورداری از پایداری و امنیت بالایی هستند، است.

برخی از متخصصین امنیت بر این باورند که ارزیابی امنیتی پیش نیاز تست نفوذ بوده و باید بعد از استقرار سیستم امنیتی سازمان و انجام ارزیابی های امنیتی اقدام به تست نفوذ به عنوان آخرین مرحله سنجش و ارزشیابی امنیت کرد.

در این میان یکی از شاخص ترین تفاوتهای بین تست نفوذ و ارزیابی امنیتی، عدم تلاش برای نفوذ  (Penetration)و بهره گیری از آسیب پذیری های کشف شده (Exploitation) در ارزیابی امنیتی برخلاف تست نفوذ است. در ارزیابی امنیتی معمولا با توجه به قرارداد منعقد شده ساختار آی تی سازمان با ابزارهای تخصصی دستی و اتوماتیک اسکن شده و نتایج حاصله به صورت مکتوب و مدون و گزارشات مدیریتی و فنی همراه با راهکارهای جلوگیری از تهدیدات یا کاهش آنها برای بهینه سازی های امنیتی در اختیار متقاضی قرار میگیرد.

از دیگر تفاوتها بین تست نفوذ و ارزیابی امنیتی، برخلاف تست نفوذ که با توجه به نوع و حساسیتهای سیستم ها معمولا به صورت دوره ای و هر شش ماه یا یک سال یک بار انجام میگردد، ارزیابی امنیتی باید به صورت مداوم و برنامه ریزی شده خصوصا در زمان هایی همچون تغییرات ساختاری در سیستم های نرم افزاری یا سخت افزاری نصب شده، تغییرات در تنظیمات شبکه یا سامانه های وب صورت میگیرد و یا هنگامی که آسیب پذیری های جدید کشف و منتشر میشوند برای اطمینان از عدم تحت تاثیر گرفتن ساختار شبکه و فناوری سازمان انجام گردد.

اصولی ترین روش بهره گیری از مزایای ارزیابی امنیتی برای سازمانها و شرکتها ادغام دائمی آن با برنامه فناوری سازمان و انجام مداوم آن با فاصله های زمانی کوتاه است.

مراحل اولیه برای تست نفوذ به شرح ذیل می باشد:

۱) مشخص کردن دقیق محدوده تست نفوذ

تعیین محدوده تست نفوذ با هدف تخمین زمان و هزینه انجام می شود و برای بالا بردن دقت در انجام کار حائز اهمیت است.

۲) بدست آوردن اطلاعات مفید درباره‌ی سیستم هدف:
استفاده از ابزارها، نرم افزارها و راهکارهای مهندسی اجتماعی برای بدست آوردن اطلاعات در مورد هدف، هرچه اطلاعات نسبت به سیستم هدف دقیق تر و کامل تر باشد حملات موفق تری را می‌توان انجام داد ،این اطلاعات شامل بدست آوردن محدوده IP ودامنه سایت و…کمک شایانی در نوع حمله خواهد کرد.

۳) پویش سامانه یا سرویس برای یافتن آسیب پذیری ها:
در بسیاری از شرکتها و سازمانها سرویس هایی وجود دارد که پیکربندی آنها در حالت پیش فرض است یا دارای آسیب پذیری است که بروزرسانی و امن سازی نشده و این می تواند نقطه ورودی به شبکه سازمان باشد. پویش سیستمها و سرویس ها برای پیدا کردن چنین آسیب پذیری هایی انجام می شود. شبکه های بی سیم با مکانیزم احرازهویت ضعیف تهدیدی جدی برای سازمان خواهند بود.

۴) شناسایی سیستم ها و برنامه های کاربردی و احراز هویت آنها:
شناسایی کلیه تجهیزات، سیستم ها و منابع مهم شبکه در سازمان در این بخش انجام خواهد شد. سیستم ها و سامانه های مرتبط با هم مطابق معماری در اختیار واحد فناوری سازمان مورد بررسی قرار گرفته و ارتباطات مشخص خواهد شد، سپس درستی ارتباط و احرازهویت و دسترسی ها مورد بررسی قرار خواهند گرفت.

۵) ارائه گزارش مدیریتی و فنی:

گزارش مدیریتی جهت بررسی کلان وضعیت امنیت سامانه یا سرویس مورد تست قرار گرفته برای تصمیم گیری درباره  آن ارائه خواهد شد همچنین وضعیت سیستم از نظر فنی همراه با گزارش دقیق آسیب پذیری و راهکارهای کاهش یا جلوگیری از تهدیدات ارائه خواهد شد.

پس از ارائه راهکار ما پیشنهاد امن سازی سرویس را به شما می دهیم در صورت نیاز به اطلاعات بیشتر با واحد امنیت ویرا تماس بگیرید.