احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

معرفی 3 مرحله مهم در ارزیابی های امنیتی تست نفوذ

ارزیابی های امنیتی را در 3 دسته طبقه بندی می شوند و وعده را بر این گذاشتیم که در این بخش کمی بیشتر راجع به هرکدام صحبت کنیم. ارزیابی امنیتی به سه دسته کلی زیر تقسیم میشود:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. ممیزی امنیت (Security Audit)
  2. بازرسی آسیب پذیری (Vulnerability Assessments)
  3. تست نفوذ (Penetration Testing)

در ادامه با تشریح هرکدام از موارد بالا با ما همراه باشید:

طبقه‌بندی مراحل انجام تست نفوذ

1. ممیزی امنیت (Security Audit)

یک ممیزی امنیت ‌نظام‌مند است به این معنی که بازرسی فنی از چگونگی اجرای قوانین امنیتی در سازمان قابل اندازه گیری خواهد بود. یک ممیزی امنیت برای نگهداری از سطح امنیت یک سازمان خاص اجرا میشود؛ بشما کمک میکند تا حملاتی را که شبکه شما را مورد تهدید قرار میدهند را بشناسید. ارزیاب امنیتی مسئول انجام ممیزی امنیت در یک شرکت خاص است. ارزیاب امنیتی اطلاعات کامل را در مورد سازمان دارد و با زمانی که در کنار اطلاعاتش جانبی اش کنار خواهد گذاشت، میتواند منابعی از شبکه را که قابل تفتیش شدن هستند، مورد ممیزی قرار دهد.

  • یک ارزیابی امنیتی، سنجشی نظام‌مند از انطباق معیارهای امنیتی یک سازمان با مجموعه ای از شاخص های امنیتی استاندارد است.
  • ارزیابی امنیتی شامل بازرسی از پیکربندی نرم افزار و سخت افزار سیستم ها، تدابیر امنیتی فیزیکی، فرآیند مدیریت دیتا و آمادگی کاربران در شناخت لیستی از قوانین استاندارد و روش اجرای آن ها.
  • یک ممیزی امنیتی این اطمینان را میدهد که یک سازمان مجموعه ای از قوانین امنیتی استاندارد را داشته و اجرا میکند.
  • ممیزی امنیت عموما در دستیابی و بیان تطابق با مجموعه ای از پیش نیازهای نظارتی و قانونی مثل HIPPA، SOX، PCI-DSS و .. بکار میرود.

2. بازرسی آسیب پذیری (Vulnerability Assessments)

بازرسی آسیب پذیری مهمترین بخش مقوله تامین امنیت را تشکیل میدهد. این بازرسی بشما در یافتن نقاط ضعف امنیتی شناخته شده با روش اسکن شبکه، کمک میکند. با کمک ابزار اسکن آسیب پذیری، شما میتوانید بخش های مختلف شبکه را برای یافتن دیوایس های دارای IP فعال و شمارش سیستم ها، سیستم های عامل و اپلیکیشن ها جستجو کنید.

اسکنرهای آسیب پذیری این قدرت را دارند تا پیکربندی دیوایس ها که شامل نسخه سیستم عامل، پروتکل های IP، پورت های TCP//UDP که در حال شنود هستند و اپلیکیشن های نصب شده بر روی سیستم ها میباشد را نیز شناسایی کنند.با استفاده از اسکنرهای آسیب پذیری، علاوه بر موارد گفته شده، خواهید توانست اشتباهات رایج امنیتی مانند اکانت هایی با پسورد ضعیف، فایل و فولدرهایی با Permission ضعیف، سرویس ها و اپلیکیشن های پیش فرضی که باید پاک شوند و اشتباه در پیکربندی امنیتی اپلیکیشن های رایج را شناسایی نمایید.

این ابزار میتوانند کامپیوترهایی را که در معرض آسیب پذیری های معروف و شناخته شده گزارش شده هستند را شناسایی کنند.نرم افزارهایی که اسکن آسیب پذیری را انجام میدهند، سیستم را در مقابل آسیب پذیری های مرسوم و تهدید کننده ها ( CVE) و همچنین نقاط امنیتی ای که شرکت های سازنده نرم افزار مشخص کرده است، اسکن نمایند. CVE لیستی بی طرف و خنثی از طرف شرکت سازنده است که شامل آسیب پذیری های امنیتی گزارش شده در سیستم عامل های مهم و اپلیکیشن هاست.

این لست را میتوانید در آدرس http//:cve.mitre.org مشاهده نمایید.اسکنرهای آسیب پذیری میتوانند سیستم ها و دیوایس های شبکه را درمقابل حملات رایج تست و آزمایش نمایند. این تست شامل حملات مرسوم مثل Enumeration اطلاعات مرتبط با امنیت و حملات DoS میباشد. این نکته را بیاد داشته باشید که گزارش های اسکن آسیب پذیری نقاط ضعف را در نواحی پنهان اپلیکیشن جستجو کرده که غالبا دارای نقاط مثبت کذب زیادی هستند.مدیران شبکه که مسئولیت تحلیل نتیجه اسکن اسیب پذیری را برعهده دارند، باید دانش کافی در این زمینه و تجربه کار با سیستم عامل، دیوایس های شبکه و اپلیکیشن هایی که اسکن شده اند را داشته باشند.

طبقه‌بندی مراحل انجام تست نفوذ

شما بر حسب موقعیتی که دارید میتوانید از دو نوع اسکنر آسیب پذیری خودکار استفاده نمایید: Network-based و Host-based. اسکنرهای Network-based تلاش میکنند تا آسیب پذیری های موجود را از بیرون شبکه شناسایی کنند. آن ها معمولا از طریق یک سیستم ریموت و در خارج از شبکه سازمان و بدون داشتن دسترسی یک یوزر مجاز، قابل دسترسی هستند.

برای مثال اسکنرهای network-based یک سیستم را با اکثر اکسپلویت ها مانند پورت های باز، اکسپلویت های امنیتی اپلیکیشن و سرریزهای بافر (Buffer overflow) تست میکنند.اسکنرهای host-bsed معمولا برای اجرا به یک نسخه Agent و یا کلاینت که باید بر روی هاست نصب شود، نیاز دارند. کلاینت از این طریق گزارشات آسیب پذیری خود را به نسخه سرور ارسال میکند. اسکنرهای host-based عمدتا بدنبال خصوصیاتی چون مجوزهای ضعیف دسترسی به فایل ها، پسوردهای ضعیف و خطاهای موجود لاگین میگردند.

3. تست نفوذ (Penetration Testing)

تست نفوذ در دسته بندی بازرسی امنیت، در مرحله بعدی نسبت به اسکن آسیب پذیری قرار میگیرد. با اسکن آسیب پذیری، توانستید فقط امنیت فردی سیستم ها، دیوایس های شبکه یا اپلیکیشن ها را تخمین بزنید اما تست نفوذ بشما این اجازه را میدهد تا به مدل امنیتی شبکه، بطور کامل دسترسی پیدا کنید. تست نفوذ بشما کمک میکند تا از عمق اثرات حمله احتمالی به شبکه آگاه شوید.

همچنین تست نفوذ نقاط ضعف امنیتی را که معمولا در اسکن های آسیب پذیری نشان داده نشده اند را برجسته میسازد.هدف تست نفوذ فقط نشان دادن نقاط آسیب پذیر نیست بلکه دراین تست چگونگی سوء استفاده (Exploit) از ضعف های شبکه و و همچنین نحوه استفاده هکر از چندین آسیب پذیری جزئی برای تهدید کردن شبکه، مستند سازی میشوند.

تست نفوذ باید به عنوان فعالیتی که حفره های امنیتی را در مدل کلی شبکه نشان میدهد، در نظر گرفت. چنین تستی به سازمان ها کمک میکند تا بین قدرت فنی و عملکرد تجاری خود از لحاظ نقض احتمالی امنیت، تعادل برقرار کند.اکثر بازرسی های آسیب پذیری فقط بر پایه نرم افزار صورت میگیرند و نمیتوانند سنجش خوبی از امنیتی را که مرتبط با تکنولوژی نیست، داشته باشند. افراد و فرآیندها هم میتوانند منشاء آسیب پذیری های امنیتی باشند؛ دقیقا به همان صورتی که آسیب پذیری های موجود در نرم افزار و تکنولوژی وجود دارند.

با استفاده از تکنیک های مهندسی اجتماعی، تست نفوذ میتواند مشخص نماید چه هنگام کارمندان به افراد، بدون احراز هویت آنان مجوز ورود به بخش های شرکت را میدهند و یا آن که کجاها افراد میتوانند دسترسی فیزیکی به کامپیوترها داشته باشند. در این زمینه صدور حکم های مدیریتی مناسب در میتواند مورد ارزیابی قرار گیرند. علاوه بر موارد گفته شده، در یک تست نفوذ میتوان مشکلات موجود در فرآیندها مانند تثبیت نشدن بروز رسانی‌های امنیتی بعد از سه روز از انتشار آن ها را نیز تشخیص داد و برطرف ساخت. در چنین موارد هکر به مدت سه روز یک سیستم عامل آسیب پذیر را برای اکسپلویت و نفوذ در اختیار دارد.

شما باید بین یک انجام دهنده تست نفوذ با یک هکر تفاوت قائل شوید؛ چرا که قصد هکرتخریب سرویس ها و منابع و یا دزدی از اطلاعات شبکه است؛ در حالی که هدف از انجام تست نفوذ برجسته شدن مشکلات و ضعف های موجود در شبکه به منظور برطرف سازی آن ها است. بنابراین باید کارمندان و یا افراد خارج از سازمان نظر به انجام تست نفوذ بدون اجراز هویت و مجوز، هشدار داده شود.

این نکته را نیز باید مد نظر قرار داد که تست نفوذی که در شرایط مناسب و بطور دقیق و درست انجام نشود ممکن است منجر به اختلال در فرآیند سرویس ها و تخریب و توقف در فعالیت شرکت شود.مدیریت شرکت باید دستورالعملی را برای تست نفوذ تهیه و اجرایی نماید. این دستورالعمل باید شامل یک محدود فعالیت مشخص، شرح آن چیزی که باید تست شود و زمان رخ دادن تست باشد. به علت ذات تست نفوذ، هرگونه اشتباه در مورد این دستورالعمل ممکن است منجر به جرائم کامپیوتری شود.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات