تست نفوذ بر اساس استانداردهای بین‌المللی، راه‌حلی برای ارزیابی امنیت اطلاعات

-

تست نفوذ را به‌عنوان یک فرآیند بشناسیم


تست نفوذ با رویکردی بر ارزیابی امنیت سازمان‌ها و سیستم‌ها می‌تواند به‌عنوان یک بازرسی سامانمند و قانونی، سطح امنیتی را مشخص نماید. در فرایند تست نفوذ، یک گروه متخصص و کارآمد با استفاده از فن‌ها و شگردها، شروع به شبیه‌سازی حمله به سازمان و سیستم‌ها را انجام می‌دهند و در انتها گزارش کاملی را به سازمان‌ها ارائه داده و نحوه اصلاح ضعف‌های امنیتی شبکه و ساختار سازمان را مورد تجزیه‌وتحلیل قرار می‌دهند. این سلسله‌مراتب باید برای سازمان‌ها و سیستم‌ها به‌صورت فرایندی چرخه‌ای همیشه و در بازه‌های زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.

باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را به‌عنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را به‌عنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست نفوذ باید برای سازمان‌ها و سیستم‌های مختلف به‌صورت یک فرایند بازه‌ای انجام پذیرد تا امنیت اطمینان همیشه برقرار باشد.

تست نفوذ؛ چرا و به چه دلیل!


دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دسته‌بندی می‌گردند.

اولین دلیل انجام تست نفوذ می‌توان به خطرات و شکاف‌های امنیتی نام برد که باعث می‌گردد سرمایه‌های (چه ازلحاظ اطلاعاتی و مالی) سازمان‌ها به خطر انداخته شوند.

دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینه‌های اضافی امنیتی سازمان‌ها است. با مشخص کردن شکاف‌های امنیتی و نقاط ضعف، سازمان می‌تواند از هزینه‌های اضافی که برای امنیت در سازمان پرداخت می‌کند، جلوگیری به عمل آورد.

سومین دلیل اطمینان خاطری است که سازمان‌ها بعد از تست نفوذ به دست می‌آورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمان‌ها را در اختیار شما قرار می‌دهد.

چهارمین دلیل انجام تست نفوذ، دریافت گواهینامه‌ها و استانداردهای قابل‌اعتماد جهت حصول اطمینان از امنیت در سازمان است.

[caption id="attachment_536" align="aligncenter" width="300"]تست نفوذ و استانداردهای آن استانداردهای تست نفوذ[/caption]

تست نفوذ و اهداف آن


در فرآیند نفوذ اهداف گوناگونی وجود دارد که می‌توان آن‌ها را در گروه‌های کاملاً متفاوتی دسته‌بندی نمود. در ادامه با این اهداف آشنا خواهیم شد.

1- امنیت فیزیکی


در تست نفوذ اولین لایه‌ی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفته‌شده یا با توجه کمتری موردبررسی قرار می‌گیرد. ایمن کردن مکان‌های امنیتی سازمان‌ها یا سیستم‌ها ازنظر فیزیکی باعث می‌گردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژه‌ای داشته باشیم.

2- امنیت در شبکه


نفوذ به شبکه، یکی از متداول‌ترین و عمده‌ترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکاف‌ها و آسیب‌پذیری‌های امنیتی در زیرساخت‌های شبکه‌ای سازمان‌ها است. این‌گونه از آزمایش‌ها را هم می‌توان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمان‌ها بنا به اولویت‌های امنیتی و نیازهای سازمانی می‌توان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در این‌گونه از تست نفوذ می‌توان به انواع آزمایش‌های زیر اشاره نمود.

  • بررسی پیکربندی دیواره آتش و نحوه عملکرد آن

  • فرار از چنگال سیستم‌های IDS&IPS

  • بررسی‌های مربوط به سرویس DNS

  • بررسی سرویس‌های مختلف ازجمله SSH و SQL

  • بررسی پروتکل‌های لایه‌های Application، Transport و Network


3- امنیت در شبکه‌های بیسیم


غالباً سازمان‌ها از شبکه‌های بیسیم برای ارتباطات داخل یا بین سازمانی به‌عنوان یک راه‌حل آسان و کم‌هزینه استفاده می‌نمایند. در این سازمان‌ها ممکن است اطلاعات و داده‌های حساس در بستر بیسیم منتقل گردند. ازآنجایی‌که شبکه‌های بیسیم دارای امنیت کمتری نسبت به شبکه‌های کابلی هستند، باید نسبت به این شبکه‌ها تست‌های نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکل‌های ارتباطی و ارتباطات این شبکه‌ها، اطمینان حاصل نماییم.

4- مهندسی اجتماعی و تست نفوذپذیری


در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقه‌ها و فریب‌های مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آن‌ها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، این‌گونه از حملات می‌تواند یکی از خطرناک‌ترین حملات در سطح سازمان باشد.

5- تست نفوذ و ارزیابی برنامه‌های کاربردی وب


این نمونه از آزمایش‌ها را می‌توان یکی دیگر از حساس‌ترین بخش‌های امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیق‌تر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ می‌توانیم کلیه‌ی آسیب‌پذیری‌ها و شکاف‌های امنیتی مبتنی بر وب را کشف نماییم. ازآنجایی‌که این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید به‌صورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.

در وب‌سایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامه‌های کاربردی وب خواهیم داشت و کار خود را با آموزش‌های ویدیویی از پایه‌ی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وب‌سایت شکاف، شما می‌توانید از متخصصان برجسته امنیت برنامه‌های کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.

6- کنترل و تست، سیستم‌های امنیتی


با توجه به افزایش حملات و تهدیدات، باید به‌صورت دوره‌ای تمامی سامانه‌ها و سیاست‌های امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاست‌های امنیتی دچار مشکل می‌گردند و یا به‌مرورزمان منسوخ می‌گردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاست‌ها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.

[caption id="attachment_531" align="aligncenter" width="256"]هدف های تست نفوذ اهداف تست نفوذ[/caption]

تست نفوذ و روش‌های انجام آن


تست نفوذ که به‌عنوان یک فرایند سامانمند و برنامه‌ریزی‌شده شناخته می‌شود را می‌توان از دو منظر مورد بررسی قرار داد. در ابتدا میزان اطلاعاتی که در اختیار تستر نفوذ قرار می‌گیرد و دیگری مکانی که تست نفوذ ازآنجا انجام می‌شود.

منظر اول: میزان اطلاعاتی که در اختیار تستر نفوذ قرار می‌گیرد.


تست جعبه سفید (White-Box-Pentest)


در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست نفوذ اطلاعات کامل و جامعی از سیستم و زیرساخت‌های خود، نقشه شبکه و برنامه‌های کاربردی سازمان را در اختیار تستر نفوذ قرار می‌دهند.

تست جعبه خاکستری (Gray-Box-Pentest)


در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست نفوذ اطلاعات نسبتاً مناسبی را در اختیار تستر نفوذ قرار می‌دهند. در این تست، تستر نفوذ به‌عنوان یکی از کاربران سازمان در نظر گرفته می‌شود که برخی از سطح دسترسی‌های مجاز را دارد. این‌گونه از تست نفوذ بین تست نفوذ جعبه سفید و جعبه سیاه قرار دارد.

تست جعبه سیاه (Black-Box-Pentest)


در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست نفوذ، هیچ‌گونه اطلاعاتی را در اختیار گروه‌های امنیتی قرار نمی‌دهند و تسترهای نفوذ باید همانند یک هکر کلاه‌سیاه به سیستم نفوذ کرده و امنیت سازمان را ارزیابی و بررسی نمایند.

منظر دوم: مکانی که تست نفوذ ازآنجا انجام می‌گیرد.


در این دیدگاه حمله به دو صورت انجام می‌گیرد. حمله از داخل سازمان یا Internal Pentest و حمله از خارج سازمان یا External Pentest

در حالت داخلی، تستر نفوذ به‌عنوان یکی از کارمندان سازمان عملیات تست نفوذ را انجام می‌دهد و در حالت خارجی تستر نفوذ هیچ دسترسی به داخل سازمان را ندارد و سازمان باید حتماً به شبکه اینترنت یا اینترانت متصل باشد.

روش های تست نفوذ

تست نفوذ و مراحل انجام آن


در ابتدا سازمان مربوطه درخواستی مبنی بر تست نفوذ را به شرکت‌های امنیتی ارسال نموده و منتظر پاسخ از طرف شرکت امنیتی می‌ماند. بعد از مشاوره و رایزنی توسط شرکت امنیتی و سازمان، تفاهم‌نامه‌ای مبنی بر هزینه‌ها، نوع و چگونگی تست نفوذ منعقد می‌گردد. بعد از امضای تفاهم‌نامه، شرکت امنیتی بر اساس موازین تعیین‌شده و نقشه راهی که توسط سازمان مشخص‌شده است، شروع به انجام فرآیند تست نفوذ می‌نماید.

در ادامه راه شرکت امنیتی با کمک متخصصین نفوذگر خود، شروع به کشف آسیب‌پذیری‌ها و شکاف‌های امنیتی در سازمان می‌نماید. بعد از انجام این کار ممکن است بر اساس تفاهم‌نامه شروع به حمله به زیرساخت‌ها و اطلاعات سازمان نماید تا بتوانند شکاف‌های امنیتی را به‌صورت کامل کشف نمایند.

در انتهای کار، شرکت امنیتی لیست کامل و جامعی از شکاف‌ها و ضعف‌های امنیتی را بر اساس مستندات جمع‌آوری کرده و به سازمان مربوطه اعلام می‌دارد. در پایان سازمان مربوطه به کمک شرکت امنیتی یا کارکنان متخصص خود تمامی شکاف‌ها و رخنه‌های امنیتی را بازبینی، بررسی و تصحیح می‌نمایند.

تست نفوذ و استانداردهای آن


در فرایند تست نفوذ انواع گوناگونی از حالات و روش‌های نفوذ وجود دارد که می‌توانیم از آن‌ها پیروی نماییم. ولی از استانداردهای مطمئن و قابل‌اعتماد، می‌توان به موارد زیر که بر اساس سرفصل‌ها و روش‌های جاری قابل‌اعتماد پیروی می‌نمایند، اشاره نمود.

استاندارد ISO/IEC 27001


این استاندارد یک سیستم مدیریت را معین می‌نماید که هدف اصلی آن تأمین امنیت اطلاعات است. این استاندارد همچنین به‌عنوان ISMS نیز شناخته می‌شود که یکی از استانداردهای قدرتمند در امنیت اطلاعات است و یکسری از نیازهای امنیتی را ملزم می‌داند و باید حتماً اجرا شوند.

استاندارد ISO/IEC 27002


این استاندارد توسط سازمان‌های بین‌المللی استاندارسازی ISO و گروه الکترونیکی بین‌المللی IEC برای مدیریت امنیت اطلاعات منتشرشده است.

استاندارد Open Source Security Testing Methodology Manual (OSSTMM)


این استاندارد شامل یک تست امنیتی کامل و جامع است که در مراحل مختلف و گام‌به‌گام باید انجام پذیرد. در این استاندارد شش بخش امنيت اطلاعات، امنيت فرآیند، امنيت فن‌آوری اينترنت، امنيت ارتباطات، امنيت بي‏سيم و امنيت فيزيکي وجود دارد. هر بخش دارای ماژول‌هایی است که همه‌ی جوانب امنیتی بخش‌ها را پوشش می‌دهد و برای بررسی کامل هر ماژول باید وظایف خاصی انجام گردد.

استاندارد The Open Web Application Security Project (OWASP)


یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

استاندارد Licensed Penetration Tester (LPT)


مدرک LPT یک مدارک وابسته به امنیت است که با استانداردسازی دانش‌های پایه‌ای برای تست نفوذ حرفه‌ای با استفاده بهترین آموزش‌ها است.

در مقاله های بعدی با مقاله ی -وب‌سایت یا برنامه کاربردی وب، دو واژه‌ی یکسان با اختلافی کوچک- و همچنین مقاله ی -امنیت سایت یا تست نفوذ در برنامه‌های کاربردی وب، با استفاده از استانداردهای بین‌المللی- آشنا خواهیم شد.

Comments

Post a Comment

Popular posts from this blog

انواع حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه یا حملات IDOR عبارت یا اصطلاح ارجاع مستقیم به اشیاء داخلی برنامه یا Direct Object Reference، یک رویکرد در طراحی صفحات وب را توصیف و بیان می‌کند که در آن کلیدهای واقعی و نام‌های موجود، برای شناسایی منابع تحت کنترل برنامه، استفاده می‌شوند. اگر طراح یا برنامه‌نویس وب‌سایت، در برنامه خود یک مقدار متفاوت را به‌اشتباه، برای کلیدها و نام‌ها جایگزین نماید و از طریق آن، برنامه به منابع مختلفی که قصد و تصمیم طراح نیست و یا کاربر مجاز به دسترسی در آن منابع نبوده است، دسترسی پیدا نماید، یک آسیب‌پذیری ارجاع مستقیم ناامن به اشیاء دخلی برنامه صورت می‌پذیرد. به بیان ساده‌تر، این نوع از حملات زمانی رخ می‌دهد که طراح یا برنامه‌نویس، دسترسی ارجاع یک منبع، به Object های داخلی برنامه را باز بگذارد و یا سطح دسترسی‌ها را به‌درستی پیکربندی نکرده باشد. به‌عنوان‌مثال می‌توان به فایل‌ها، دایرکتوری‌ها و یا بانک‌های اطلاعاتی اشاره نمود. زمانی که کنترل دسترسی بر روی یک دایرکتوری یا فایل به‌صورت صحیح پیکربندی نشده باشد، هکر می‌تواند منابع را در جهت استفاده خ...
Read more

انواع حملات نقض احراز هویت و مدیریت نشست در برنامه های کاربردی وب

-
Image
آشنایی با مفاهیم هویتی، مجوزی و بازرسی در سیستم‌های کامپیوتری قبل از آشنایی با حملات نقض احراز هویت و مدیریت نشست نیاز است تا با چندین اصطلاح و مفهوم خاص آشنا شویم. زمانی که درباره‌ی ورود کاربر یا کامپیوتر به سیستم‌ها بحث می‌کنیم، باید با سه مفهوم حسابرسی یا Accounting، صدور مجوز یا Authorization و احراز هویت یا Authentication آشنایی داشته باشیم و تفاوت این سه اصطلاح را در مبانی و فرایند انجامشان، درک نماییم. [caption id="attachment_663" align="aligncenter" width="300"] نقض احراز هویت و مدیریت نشست[/caption] احراز هویت یا Authentication کاربر، کامپیوتر یا هر دستگاه دیگر، برای آنکه بتواند نقش خود را در یک سیستم شبکه یا وب اجرا نماید، باید ابتدا فرایند احراز هویت را برای تشخیص هویت خود انجام دهد. ازآنجایی‌که احراز هویت یکی از مهم‌ترین بخش‌های هر وب‌سایت است، باید به این مسئله اهمیت فراوانی در طراحی وب داده شود. برای درک بهتر مسئله احراز هویت یک مثال ساده و کاربردی را در ادامه بیان می‌نماییم. فرض کنید شما کارمند یک سازمان هستید، زمانی که شما می‌خواهید وارد س...
Read more

انواع حملات CSRF یا حملات جعل درخواست فرا وبگاهی در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر ...
Read more