احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

تست نفوذسنجی خودکار چیست؟ آشنایی با Automatic Penetration Test

همانطور که سری مباحث تست نفوذ را دنبال میکنید، در جلسات پیش انواع تست نفوذ و انواع تست های زیر مجموعه آن ها آشنا شدیم و قرار بر این شد که در این جلسه نیز با دونوع دیگر از تست های زیر مجموعه تست نفوذ داخلی آشنا شویم. گفتیم که تست نفوذ داخلی از تست های جعبه سیاه، جعبه خاکستری، جعبه سفید، با اطلاع و بدون اطلاع تشکیل میشود. تست های جعبه سیاه، جعبه خاکستری، جعبه سفید را در قالب نکته ای توضیح دادیم و در این نکته میخواهیم شما را با دو نوع تست دیگر یعنی تست های با اطلاع و بدون اطلاع آشنا کنیم. با ما همراه باشید:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تست اطلاع داده شده

این تست تلاشی است جهت بدست اوردن دسترسی و یا تهدید کردن سیستم های موجود در شبکه کلاینت با همکاری و آگاهی کامل کارکنان IT شرکت. برای نمونه میتوان به تست هایی که زیرساخت فعلی امنیت را به چالش میکشند و یا تست تک تک سیستم ها برای کشف آسیب پذیری های محتمل در آن ها، اشاره کرد. ایجاد یک محیط کاری تیمی که در آن اعضای واحد شبکه شرکت، بخشی از تیم تست نفوذ هستند که این اجازه را میدهند تا علیه هاست های مهم شبکه حمله ای هدفدار ترتیب دهیم.

تست بدون اطلاع

این تست تلاشی است جهت بدست آوردن دسترسی و یا تهدید کردن سیستم های موجود در شبکه کلاینت تنها با آگاهی و اطلاع سطح مدیریتی بالا دست انجام دهنده تست نفوذ. نمونه این تست میتوان به بررسی زیرساخت امنیتی موجود و همچنین مسئولیت پذیری کارمندان اشاره کرد. اگر در شبکه IDS و سیستم پاسخگویی به رخدادها (Incident response) وجود داشته باشد یا ایجاد شود، این نوع تست هرگونه ضعف در اجرا را شناسایی خواهد کرد. تست بدون اطلاع، به شرکت ها تست را پیشنهاد خواهد داد که در آن راه کارهای امنیتی شرکت علاوه بر زیرساخت امنیتی آن مورد بررسی و ازمایش قرار خواهد گرفت.

درهر دو تست بالا، نمایندگان IT در شرکت که بطورعادی گزارش نقض امنیت را به مسئولان بالا دست گزارش میدهند، باید از محتوا و محدوده اجرای تست با اطلاع باشند تا لحاظ قانونی و حقوقی به جهت این نقض امنیت (تست نفوذ) مشکلی ایجاد نشود. به عبارت دیگر پیش از انجام تست نفوذ حتما بایستی قرارداد رسمی بین نماینده شرکت و انجام دهنده تست نفوذ منعقد شود.

تست نفوذ خودکار

در این نوع تست بجای وابسته بودن به متخصصان امنیت، برخی از سازمان ها و شرکت های انجام دهنده تست نفوذ، ترجیح میدهند تا ارزیابی های امنیتی خود را خوکار کنند. در این نوع تست، یک ابزار امنیتی در برابر سیستم و یا شبکه هدف به اجرا گذارده میشود و وضعیت امنیت آن را ارزیابی میکند. این ابزار سعی میکند تا حملاتی را که شناخته شده هستند از طریق تکرار آنها مورد استفاده قرار دهد. این کار شبیه اسکن اسیب پذیری خواهد بود. بر اساس موفقیت آمیز بودن یا شکست این حملات، ابزار سعی خواهد کرد تا وضعیت امنیت را ارزیابی کرده و گزارشی از آسیب پذیری ارائه دهد.

تست نفوذ خودکار چیست؟

بهرحال این نکته باید خاطرمان باشد که یک ارزیابی امنیتی کامل شامل پارامترهای بررسی معماری، قوانین امنیتی، رول های قابل تحلیل فایروال، تست اپلیکیشن و معیارهای عمومی است. تست نفوذ اتوماتیک عموما محدود به تست نفوذ خارجی و از لحاظ آگاهی در حد تست جعبه سیاه میباشد. به عنوان یک فرایند اتوماتیک، در تست صورت گرفته هیچ ارزیابی برای پارامترهای پالیسی و معماری در نظر گرفته نمیشود؛ بخاطر همین موضوع ممکن است نیاز باشد تا این فرایند توسط یک متخصص حرفه ای امنیت تکمیل شود.

یک مزیت که برای این تست میتوان مثال زد کاهش مقدار ترافیکی است که برای هر تست لازم است. این موضوع میتواند باعث شود که شرکت در عین مورد ارزیابی قرار گرفتن، بتواند همزمان سرویس های لازم را نیز به مشتریانش ارائه دهد. ارزیابی امنیتی غیر خودکار همیشه از لحاظ پیش نیازها برای یک شرکت منعطف تر و مقرون به صرفه تر است چرا که دیگر نواحی مانند ساختار امنیتی و پالیسی را نیز مورد ارزیابی قرار خواهد داد و از لحاظ دقت مرتبه بالاتری دارد و از به این جهت امن تر است. علاوه بر این انجام تست در بازه های زمانی مشاوران این اجازه را میدهد تا به مدیریت شرکت و مخاطبان فنی خودش آنچه را که در ارزیابی خود کشف کرده است، توضیح دهد.

سربلند و مانا باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات