تست نفوذ بر اساس استانداردهای بینالمللی، راهحلی برای ارزیابی امنیت اطلاعات
تست نفوذ را بهعنوان یک فرآیند بشناسیم
تست نفوذ با رویکردی بر ارزیابی امنیت سازمانها و سیستمها میتواند بهعنوان یک بازرسی سامانمند و قانونی، سطح امنیتی را مشخص نماید. در فرایند تست نفوذ، یک گروه متخصص و کارآمد با استفاده از فنها و شگردها، شروع به شبیهسازی حمله به سازمان و سیستمها را انجام میدهند و در انتها گزارش کاملی را به سازمانها ارائه داده و نحوه اصلاح ضعفهای امنیتی شبکه و ساختار سازمان را مورد تجزیهوتحلیل قرار میدهند. این سلسلهمراتب باید برای سازمانها و سیستمها بهصورت فرایندی چرخهای همیشه و در بازههای زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.
باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را بهعنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را بهعنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست نفوذ باید برای سازمانها و سیستمهای مختلف بهصورت یک فرایند بازهای انجام پذیرد تا امنیت اطمینان همیشه برقرار باشد.
تست نفوذ؛ چرا و به چه دلیل!
دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دستهبندی میگردند.
اولین دلیل انجام تست نفوذ میتوان به خطرات و شکافهای امنیتی نام برد که باعث میگردد سرمایههای (چه ازلحاظ اطلاعاتی و مالی) سازمانها به خطر انداخته شوند.
دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینههای اضافی امنیتی سازمانها است. با مشخص کردن شکافهای امنیتی و نقاط ضعف، سازمان میتواند از هزینههای اضافی که برای امنیت در سازمان پرداخت میکند، جلوگیری به عمل آورد.
سومین دلیل اطمینان خاطری است که سازمانها بعد از تست نفوذ به دست میآورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمانها را در اختیار شما قرار میدهد.
چهارمین دلیل انجام تست نفوذ، دریافت گواهینامهها و استانداردهای قابلاعتماد جهت حصول اطمینان از امنیت در سازمان است.
[caption id="attachment_536" align="aligncenter" width="300"]

تست نفوذ و اهداف آن
در فرآیند نفوذ اهداف گوناگونی وجود دارد که میتوان آنها را در گروههای کاملاً متفاوتی دستهبندی نمود. در ادامه با این اهداف آشنا خواهیم شد.
1- امنیت فیزیکی
در تست نفوذ اولین لایهی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفتهشده یا با توجه کمتری موردبررسی قرار میگیرد. ایمن کردن مکانهای امنیتی سازمانها یا سیستمها ازنظر فیزیکی باعث میگردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژهای داشته باشیم.
2- امنیت در شبکه
نفوذ به شبکه، یکی از متداولترین و عمدهترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکافها و آسیبپذیریهای امنیتی در زیرساختهای شبکهای سازمانها است. اینگونه از آزمایشها را هم میتوان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمانها بنا به اولویتهای امنیتی و نیازهای سازمانی میتوان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در اینگونه از تست نفوذ میتوان به انواع آزمایشهای زیر اشاره نمود.
- بررسی پیکربندی دیواره آتش و نحوه عملکرد آن
- فرار از چنگال سیستمهای IDS&IPS
- بررسیهای مربوط به سرویس DNS
- بررسی سرویسهای مختلف ازجمله SSH و SQL
- بررسی پروتکلهای لایههای Application، Transport و Network
3- امنیت در شبکههای بیسیم
غالباً سازمانها از شبکههای بیسیم برای ارتباطات داخل یا بین سازمانی بهعنوان یک راهحل آسان و کمهزینه استفاده مینمایند. در این سازمانها ممکن است اطلاعات و دادههای حساس در بستر بیسیم منتقل گردند. ازآنجاییکه شبکههای بیسیم دارای امنیت کمتری نسبت به شبکههای کابلی هستند، باید نسبت به این شبکهها تستهای نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکلهای ارتباطی و ارتباطات این شبکهها، اطمینان حاصل نماییم.
4- مهندسی اجتماعی و تست نفوذپذیری
در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقهها و فریبهای مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آنها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، اینگونه از حملات میتواند یکی از خطرناکترین حملات در سطح سازمان باشد.
5- تست نفوذ و ارزیابی برنامههای کاربردی وب
این نمونه از آزمایشها را میتوان یکی دیگر از حساسترین بخشهای امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیقتر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ میتوانیم کلیهی آسیبپذیریها و شکافهای امنیتی مبتنی بر وب را کشف نماییم. ازآنجاییکه این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید بهصورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.
در وبسایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامههای کاربردی وب خواهیم داشت و کار خود را با آموزشهای ویدیویی از پایهی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وبسایت شکاف، شما میتوانید از متخصصان برجسته امنیت برنامههای کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.
6- کنترل و تست، سیستمهای امنیتی
با توجه به افزایش حملات و تهدیدات، باید بهصورت دورهای تمامی سامانهها و سیاستهای امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاستهای امنیتی دچار مشکل میگردند و یا بهمرورزمان منسوخ میگردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاستها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.
[caption id="attachment_531" align="aligncenter" width="256"]

تست نفوذ و روشهای انجام آن
تست نفوذ که بهعنوان یک فرایند سامانمند و برنامهریزیشده شناخته میشود را میتوان از دو منظر مورد بررسی قرار داد. در ابتدا میزان اطلاعاتی که در اختیار تستر نفوذ قرار میگیرد و دیگری مکانی که تست نفوذ ازآنجا انجام میشود.
منظر اول: میزان اطلاعاتی که در اختیار تستر نفوذ قرار میگیرد.
تست جعبه سفید (White-Box-Pentest)
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ اطلاعات کامل و جامعی از سیستم و زیرساختهای خود، نقشه شبکه و برنامههای کاربردی سازمان را در اختیار تستر نفوذ قرار میدهند.
تست جعبه خاکستری (Gray-Box-Pentest)
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ اطلاعات نسبتاً مناسبی را در اختیار تستر نفوذ قرار میدهند. در این تست، تستر نفوذ بهعنوان یکی از کاربران سازمان در نظر گرفته میشود که برخی از سطح دسترسیهای مجاز را دارد. اینگونه از تست نفوذ بین تست نفوذ جعبه سفید و جعبه سیاه قرار دارد.
تست جعبه سیاه (Black-Box-Pentest)
در این نوع از نفوذ، سازمانها و یا متقاضیان تست نفوذ، هیچگونه اطلاعاتی را در اختیار گروههای امنیتی قرار نمیدهند و تسترهای نفوذ باید همانند یک هکر کلاهسیاه به سیستم نفوذ کرده و امنیت سازمان را ارزیابی و بررسی نمایند.
منظر دوم: مکانی که تست نفوذ ازآنجا انجام میگیرد.
در این دیدگاه حمله به دو صورت انجام میگیرد. حمله از داخل سازمان یا Internal Pentest و حمله از خارج سازمان یا External Pentest
در حالت داخلی، تستر نفوذ بهعنوان یکی از کارمندان سازمان عملیات تست نفوذ را انجام میدهد و در حالت خارجی تستر نفوذ هیچ دسترسی به داخل سازمان را ندارد و سازمان باید حتماً به شبکه اینترنت یا اینترانت متصل باشد.
روش های تست نفوذ
تست نفوذ و مراحل انجام آن
در ابتدا سازمان مربوطه درخواستی مبنی بر تست نفوذ را به شرکتهای امنیتی ارسال نموده و منتظر پاسخ از طرف شرکت امنیتی میماند. بعد از مشاوره و رایزنی توسط شرکت امنیتی و سازمان، تفاهمنامهای مبنی بر هزینهها، نوع و چگونگی تست نفوذ منعقد میگردد. بعد از امضای تفاهمنامه، شرکت امنیتی بر اساس موازین تعیینشده و نقشه راهی که توسط سازمان مشخصشده است، شروع به انجام فرآیند تست نفوذ مینماید.
در ادامه راه شرکت امنیتی با کمک متخصصین نفوذگر خود، شروع به کشف آسیبپذیریها و شکافهای امنیتی در سازمان مینماید. بعد از انجام این کار ممکن است بر اساس تفاهمنامه شروع به حمله به زیرساختها و اطلاعات سازمان نماید تا بتوانند شکافهای امنیتی را بهصورت کامل کشف نمایند.
در انتهای کار، شرکت امنیتی لیست کامل و جامعی از شکافها و ضعفهای امنیتی را بر اساس مستندات جمعآوری کرده و به سازمان مربوطه اعلام میدارد. در پایان سازمان مربوطه به کمک شرکت امنیتی یا کارکنان متخصص خود تمامی شکافها و رخنههای امنیتی را بازبینی، بررسی و تصحیح مینمایند.
تست نفوذ و استانداردهای آن
در فرایند تست نفوذ انواع گوناگونی از حالات و روشهای نفوذ وجود دارد که میتوانیم از آنها پیروی نماییم. ولی از استانداردهای مطمئن و قابلاعتماد، میتوان به موارد زیر که بر اساس سرفصلها و روشهای جاری قابلاعتماد پیروی مینمایند، اشاره نمود.
استاندارد ISO/IEC 27001
این استاندارد یک سیستم مدیریت را معین مینماید که هدف اصلی آن تأمین امنیت اطلاعات است. این استاندارد همچنین بهعنوان ISMS نیز شناخته میشود که یکی از استانداردهای قدرتمند در امنیت اطلاعات است و یکسری از نیازهای امنیتی را ملزم میداند و باید حتماً اجرا شوند.
استاندارد ISO/IEC 27002
این استاندارد توسط سازمانهای بینالمللی استاندارسازی ISO و گروه الکترونیکی بینالمللی IEC برای مدیریت امنیت اطلاعات منتشرشده است.
استاندارد Open Source Security Testing Methodology Manual (OSSTMM)
این استاندارد شامل یک تست امنیتی کامل و جامع است که در مراحل مختلف و گامبهگام باید انجام پذیرد. در این استاندارد شش بخش امنيت اطلاعات، امنيت فرآیند، امنيت فنآوری اينترنت، امنيت ارتباطات، امنيت بيسيم و امنيت فيزيکي وجود دارد. هر بخش دارای ماژولهایی است که همهی جوانب امنیتی بخشها را پوشش میدهد و برای بررسی کامل هر ماژول باید وظایف خاصی انجام گردد.
استاندارد The Open Web Application Security Project (OWASP)
یک متدولوژی است تا در آن شما را بهعنوان یک متخصص برنامهنویسی تحت وب، با معیارهای درست امنتر کردن برنامههای کاربردی وب آشنا سازد.
استاندارد Licensed Penetration Tester (LPT)
مدرک LPT یک مدارک وابسته به امنیت است که با استانداردسازی دانشهای پایهای برای تست نفوذ حرفهای با استفاده بهترین آموزشها است.
در مقاله های بعدی با مقاله ی -وبسایت یا برنامه کاربردی وب، دو واژهی یکسان با اختلافی کوچک- و همچنین مقاله ی -امنیت سایت یا تست نفوذ در برنامههای کاربردی وب، با استفاده از استانداردهای بینالمللی- آشنا خواهیم شد.
Comments
Post a Comment