Global Cyber Security Group | گروه امنیتی گلوب سایبر

تست نفوذ

استفاده از شبکه‌هاي کامپيوتري علاوه بر امکانات و تسهيلاتي که در اختيار سازمانها قرار مي‌دهد آنان را در معرض مشکلات و خطراتي نيز قرار مي دهد. اين خطرات و مشکلات هنگامي شبکه‌ها را در معرض خطر قرار مي‌دهد که شبکه‌ها از طراحي و پیاده سازی صحيح ایمني برخوردار نباشند. بدين ترتيب اين شبکه‌ها راهی را براي هکرها و کلیه تهدیدات باز مي‌گذارند. و با هک شدن شبکه‌ها يا با آلوده شدن آنها به بد افزار هاي مختلف ضررهاي جبران ناپذيري به شبکه وارد مي‌شود. بنابراين ايجاد امنيت از طريق طراحي صحيح و پیکربندی مناسب يک شبکه اولين اولويت براي هر طراح شبکه مي باشد.

نفوذ كردن به شبكه هاي كامپيوتري و دسترسي به منابع يك شبكه، در حالت معمول، امري غير قانوني تلقي مي شود. اما يك متخصص امنيت، با بستن قراردادي با صاحبان و مديران شبكه و يا يك نرم افزار ، علاوه بر قانوني كردن آن، نتايج آن را به نفع شما باز مي گرداند. او از ديد يك هكر به برنامه يا شبكه شما نگريسته و تلاش مي كند تا كليه مشكلات و شكافهاي امنيتي آن را شناسايي و به شما ارائه دهد. در راستاي ارزيابي و يافتن نقاط ضعف امنيتي موجود، از روشهاي مختلف تست نفوذ پذيري استفاده مي‌گردد. در اين تست‌ها با استفاده از تكنيك هاي نفوذ، يك حمله واقعي را شبيه سازي مي‌شود تا به اين وسيله سطح امنيت يك شبكه يا سيستم را مشخص كنند. اين امر به يك سازمان كمك مي كند تا در زمينه تشخيص، توانايي پاسخ و تصميم مناسب در زمان بحرانی، بر روي امنيت شبكه خود يك ارزيابي واقعي داشته باشد. نتيجه اين تست يك گزارش محرمانه مي باشد كه براي اجرايي شدن و بازرسي هاي تكنيكي مورد استفاده قرار مي گيرد.

چرا باید عملیات تست نفوذ انجام شود؟

بوسیله تست نفوذ می توانید حفره های امنیتی را کشف نمایید. این حملات می تواند بر پایه حملات فنی و Script Base و یا حملات بر پایه منابع انسانی و Human Base در شبکه صورت گیرد. به طور کلی تست نفوذ در موارد زیر را به همراه خواهد داشت :

- شناسایی تهدیداتی که اطلاعات شما را تهدید می نماید.- اطمينان از ايمني در مقابل آخرين آسيب‌پذيري ها
- کاهش هزینه های فناوری سازمان/شرکت از طریف شناسایی آسیب پذیری ها و نقاط ضعف
- ارزیابی سیستم های امنیتی که نصب کرده اید از قبیل فایروال ها، روترها و وب سرورها
- كاهش هزينه هاي ترميم، با كاهش مخاطرات نفوذ مهاجمان
- برنامه ریزی مناسب و مبتنی بر واقعیت برای خرید های نرم افزاری و سخت افزار و طراحی های شبکه
- اطمينان از صحت پيكربندي امنيتي سيستم ها
- اطمينان از به روز بودن سيستم ها و رايانه ها
- يافتن نقاط ضعف، پيش از سوء استفاده مهاجمان از آنها
- تأیید امنیت فناوری و اطلاعات سازمان توسط شخص سوم، خارج از سازمان

تست نفوذپذيري به سه روش مختلف قابل اجرا مي باشد:

Black Box Test : در اين روش كارشناسان تست نفوذ بدون هيچگونه اطلاعاتي از شبکه، اقدام به تست مي‌نمايند و دقیقا مانند یک هکر که هیچ دیدی از سازمان ندارد عمل میکند.
White Box Test : در اين روش كارشناسان تست نفوذ با اطلاعاتي کامل از شبکه و زيرساخت‌هاي موجود، اقدام به تست نفوذ مي‌نمايند.
Gray Box or Crystal Box Test : در اين روش كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم مي‌توانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مي‌نمايد.

چنانچه استراتژی BlackBox انتخاب شده باشد، عملیات تست از جهات مختلف بسیار محدود می شود و ممکن است حتی اطلاعاتی از قبیل آدرس سازمان ، نام افراد ، نوع خدمات و... نیز در اختیار وی قرار نمی گیرد.

گروه امنیتی گلوب سایبر جهت انجام تست نفوذ پذيري قابلیت استفاده از کلیه روشهای موجود را دارا می باشد و طبق استانداردهای OWASPو OSSTMM و متدهای SANS عمل میکند، بدين ترتيب که کارفرما با در اختيار قراردادن اطلاعات مورد نیاز بر اساس روش توافق شده، مراحل زیر بر اساس نیاز اجرا میشود:

مهندسی اجتماعی
جمع آوری اطلاعات
پيمايش و بازديد از شبكه
مروركردن وضعيت پورت ها
مشخصات نرم افزاري سيستم ها
معماری شبکه
معماری سیستم ها
پويش در زمينه سرويس ها
تست شبكه در مقابل آسيب پذيري ها
استفاده از اكسپلويت هاي موجود و مقاومت سيستم ها
تست برنامههاي کاربردي
پیدا کردن آسیب پذیری در برنامه های کاربردی
گرفتن دسترسی
تست حملات تكذيب سرويس
ارزيابي امنيتي شبكه هاي بيسيم
بررسي دسترسي هاي از راه دور
تست نفوذپذيري روترها و تجهيزات برقرارکننده ارتباطات
تست نفوذپذيري تجهيزات و نرمافزارهاي امنيتي شامل: WAF, UTM, Firewall ، IDS/IDP/IPS
تست نفوذپذيري بانک اطلاعاتي و...

در پايان با توجه به اطلاعات جمع آوري شده از مراحل تست، گزارشات تست تهيه و تدوين مي‌گردد و وضعيت شبکه با توجه به آيتم‌هاي عنوان شده تعيين مي‌گردد. بدين ترتيب که وضعيت ريسک هر آيتم ارزيابي و مشخص مي‌گردد و در نهايت با توجه ارزيابي‌هاي صورت گرفته وضعيت کلي شبکه و سیستم ها مشخص مي‌گردد

لازم به ذکر است کلیه ابزارهای که در طول پروژه از آنها استفاده می شود ابزارهای استاندارد بوده و به هیچ عنوان آسیبی به سیستم ها وارد نخواهد نکرد .

همچنین نحوه برآورد هزینه و زمان آزمون نفوذکاملاً وابسته به حجم پروژه، نیازهای کارفرما و زمان مورد نیاز برای پروژه می باشد که پس از جلسه توجیهی فنی ما بین کارفرما و مجری قابل محاسبه و ارائه خواهد بود.