تست نفوذ Penetration Testing و ارزیابی امنیت سازمان ها

تست نفوذ چیست؟

امروزه یکی از رویکردهای متداول به جهت حصول اطمینان از قرار گرفتن سازمان در یک سطح قابل قبول امنیت شبکه و امنیت اطلاعاتی، اجرای تست نفوذ در زیر ساخت فناوری اطلاعات سازمان است. بدین ترتیب در این رویکرد، متخصصین نفوذهای امنیتی، با اطلاع رسانی به مراجع ذیربط سازمانی، بدون این که آسیبی به زیر ساخت فناوری اطلاعات سازمانی وارد نمایند، با استفاده از روش ها و راهکار های خاص، اقدام به نفوذ به زیر ساخت سازمان می‌نمایند و بدین ترتیب، به صورت زنده به کشف آسیب پذیری ها و شکاف های امنیتی سازمانی می‌پردازند.

مزایای اجرای تست نفوذ پذیری در رویکردی که باعث انجام این تست ها می‌شود، نهفته است. به طور کلی، اجرای تست های نفوذپذیری شناسایی عملیاتی آسیب پذیری های موجود در معماری زیر ساخت فناوری اطلاعات نظام های کسب و کاری است که اجرای این تست ها دارای مزایای متعددی برای سازمان میباشد. از مهمترین مزایای اجرای تست نفوذ میتوان به موارد زیر اشاره نمود:
  • ارزیابی سطح امنیت در زیرساخت فناوری اطلاعات
  • شناسایی و طبقه بندی تهدیدات و آسیب پذیری های موجود
  • شناسایی و طبقه بندی ضررهای مالی و غیر مالی در صورت بروز حملات امنیتی به بخش های مختلف
  • شناسایی سطح دشواری نفوذ و شناسایی پیچیدگی هایی که یک حمله به جهت نفوذ موفق به هر کدام از بخش های فناوری اطلاعات دارد
  • پیش بینی رفتارهای حمله کنندگان و نفوذگران امنیتی
  • اولویت بندی نیازمندی های امنیتی و مدیریت هزینه های برطرف نمودن آسیب پذیری ها
  • جلوگیری و برطرف نمودن عوامل امنیتی که باعث ایجاد اختلال در سطح سرویس های کسب و کاری سازمان میشوند
  • ارائه اطلاعات و داده های عملیاتی و زنده به جهت بهینه سازی فرایندهای مدیریت ریسک
در تعیین و انجام شرح فعالیت های مورد نیاز به جهت انجام تست های نفوذپذیری، فاکتور های پایه ای وجود دارند که میتوانند بر نحوه انجام تست نفوذ تاثیر گذار باشند. این فاکتورها و عوامل میتوانند رویکرد و نگرش کلی نسبت به انجام تست نفوذ را تغییر دهند. به طور کلی 3 فاکتور کلی، برروی نحوه انجام تست های نفوذ پذیری تاثیر گذار می‌باشد، که لازم است پیش از اجرای این تست ها با توجه به سیاست ها، نیازمندی ها و محدودیت های کارفرما، به صورت دقیق مشخص گردند. در ادامه به تشریح این عوامل خواهیم پرداخت:

سطح اطلاعاتی که در اختیار نفوذگران قرار داده میشود:

این فاکتور که تعیین کننده ترین، عامل از عوامل تعیین روش اجرای تست های نفوذپذیری به شمار میرود، از جایگاه و اهمیت ویژه ای برخوردار است، چرا که علاوه بر تاثیرگذاری آن برروی روش عملیاتی تست، بسیار وابسته به سیاست های بدنه کارفرمایی است.
به طور کلی سطح اطلاعاتی که از معماری زیر ساخت فناوری اطلاعات، در اختیار نفوذگران قرار داده میشود، میتواند به صورت کامل و با جزییات و دقت کامل باشد و یا هیچ گونه اطلاعاتی در اختیار نفوذگران قرار داده نشود و یا حتی، متناسب با سیاست ها و محدوده انجام تست نفوذپذیری میتواند بخشی از اطلاعات موجود در اختیار نفوذگران قرار گیرد.

تعیین نقاط دسترسی به جهت اجرای عملیات نفوذ:

یکی دیگر از عوامل تاثیرگذار، ماهیت نقاط دسترسی به شبکه و زیر ساخت ارتباطی فناوری اطلاعات سازمان است. در این خصوص یکی از رویکردها، ایجاد دسترسی از محیط بیرون و از طریق شبکه اینترنت و به وسیله سرویس هایی است که مانند سرویس های مربوط به وب سرور، امکان دسترسی به آنها از طریق شبکه عمومی اینترنت امکان پذیر است.
در رویکرد دوم نیز، نفوذگران از طریق شبکه های ارتباطی داخلی زیر ساخت فناوری اطلاعات سازمان متصل میگردند و فعالیت های نفوذ را انجام میدهند، در بسیاری از موارد، بسته به سیاست های و نیازمندی های کارفرمایان، پیشنهاد میگردد تا تست های نفوذ هم از محیط داخلی و هم از محیط خارجی انجام پذیرد.

میزان آگاهی و مشارکت نمایندگان کارفرما در مراحل مختلف اجرای تست نفوذپذیری:

یکی دیگر از عوامل تعیین کننده در نحوه اجرای تست های نفوذپذیری، نحوه اطلاع رسانی به کارفرما و نحوه در جریان قرار دادن نمایندگان کارفرما از فعالیت های در حال انجام است.
علاوه بر 3 فاکتور اساسی و بنیادینی که در بالا به آنها اشاره گردید، با توجه به نیازمندی ها و سیاست های کارفرما، عوامل تاثیرگذار دیگری نیز وجود دارد که نسبت به سه فاکتور بالا، از اهمیت و حساسیت پایین تری برخوردار هستند، ولی در نحوه انجام فعالیت های اجرای تست های نفوذپذیری دارای اهمیت هستند.
از اهم این موارد میتوان به محدوده و قلمرو تست نفوذ که در آن اجزایی از زیر ساخت فناوری اطلاعات که می‌بایست مورد تست قرار گیرند مشخص میگردد، سطح نفوذ، که در آن به عمق و پیشروی فعالیت های مربوط به تست نفوذ اشاره میشود، تکنیک های نفوذ، که در آن خصوصیات فنی نحوه اجرای تست و ابزارهای مورد استفاده در تست نفوذ پذیری مشخص میگردد و ... اشاره نمود.
در ادامه به شرح توانمندی های شرکت، در خصوص اجرای تست های نفوذپذیری در قالب مراحل و فازهای مورد نیاز پرداخته خواهد شد. بدیهی است که معیارهای بیان شده در فوق، میتواند تاثیرات زیادی بر روی این شرح خدمات داشته باشد. بدین ترتیب لازم است تا پیش از اجرای تست نفوذپذیری، این شرح خدمات مطابق با سیاست ها، محدودیت ها و نیازمندی های هر کارفرما، بومی سازی گردد.

   جمع آوري اطلاعات به صورت غير فعال (Reconnaissance)

  • جمع آوري اطلاعات در رابطه با ماهيت و حرفه نظام کسب و کاري
  • جمع آوري اطلاعات در رابطه با مقياس و گستره فيزيکي 
  • جمع آوري اطلاعات در رابطه با تغييرات اخير
  • جمع آوري اطلاعات در رابطه با دسترسي­هاي عمومي به زيرساخت فناوري اطلاعات
  • جمع آوري اطلاعات در رابطه با نحوه و نوع سرويس­هاي ارتباطي عمومي و خصوصي زيرساخت فناوري اطلاعات
  • تعيين ساير اطلاعات غير فني مورد نياز
  • جمع آوري اطلاعات با استفاده از تکنيک­هاي مهندسي اجتماعي
  • مستندسازي اطلاعات به دست آمده

   جمع آوري اطلاعات به صورت فعال (Assets Scanning)

  • جمع آوري آدرس­هاي لايه سه­اي مورد استفاده
  • تعيين نقش و جايگاه آدرس­هاي لايه سه­اي مورد استفاده
  • شناسايي آدرس­هاي مربوط به تجهيزات زيرساختي ارتباطات شبکه و تعيين معماري هم­بندي و توپولوژي
  • شناسايي آدرس­هاي مربوط به سرورها و سرويس­دهنده­ها
  • شناسايي بازه­هاي آدرس­دهي مربوط به کاربران و کلاينت­ها
  • شناسايي سيستم عامل­هاي مربوط به تجهيزات زيرساختي شبکه، سرورها و کلاينت­ها
  • شناسايي پورت­ها و سرويس­هاي باز بر روي تجهيزات زيرساختي شبکه، سرورها و کلاينت­ها
  • شناسايي نقش و جايگاه تجهيزات و راهکارهاي امنيتي به کار گرفته شده
  • جمع آوري اطلاعات با استفاده از تکنيک­هاي Enumeration
  • جمع آوري اطلاعات از روي ترافيک شبکه و با استفاده از Snifferها
  • مستندسازي اطلاعات به دست آمده

   شناسايي آسيب­پذيري­هاي تجهيزات زيرساختي شبکه

  • کشف آسيب­پذيري­هاي تجهيزات سوييچينگ و ارتباطات لايه دويي
  • کشف آسيب­پذيري­هاي تجهيزات مسيريابي و ارتباطات لايه سه­اي
  • کشف آسيب­پذيري­هاي تجهيزات سياست­گذاري امنيتي مانند Firewall، UTM و...
  • کشف آسيب­پذيري­هاي تجهيزات شناسايي وقايع امنيتي مانند IDS/IPS و...
  • کشف آسيب­پذيري­هاي ارتباطات خصوصي مانند VPN و...
  • کشف آسيب­پذيري­هاي تجهيزات  ارتباطات بي­سيم
  • مستندسازي اطلاعات به دست آمده

   شناسايي آسيب­پذيري­هاي سيستم­هاي عامل و سرويس­ها

  • کشف آسيب­پذيري­هاي سيستم­هاي عامل تجهيزات زيرساختي شبکه
  • کشف آسيب­پذيري­هاي سيستم­هاي عامل کلاينت­ها و کاربران
  • کشف آسيب­پذيري­هاي سيستم­هاي عامل ساير نودها مانند پرينتر، اسکنر و ...
  • کشف آسيب­پذيري­هاي زيرساخت مجازي­سازي
  • کشف آسيب­پذيري­هاي سيستم­هاي عامل سرورها و سرويس­دهندگان مبتني بر Windows
  • کشف آسيب­پذيري­هاي سيستم­هاي عامل سرورها و سرويس­دهندگان مبتني بر Linux
  • کشف آسيب­پذيري­هاي سرويس­هاي عمومي مانند DHCP، DNS، FTP و...
  • کشف آسيب­پذيري­هاي سرويس­هاي تحت وب
  • کشف آسيب­پذيري­هاي سرويس­هاي اي ميل
  • کشف آسيب­پذيري­هاي سرويس­هاي پايگاه داده­اي شامل SQL و...
  • کشف آسيب­پذيري­هاي سرويس­هاي ارزش افزوده مانند VoIP، Video و...
  • مستندسازي اطلاعات به دست آمده

   تحليل وضعيت آسيب­پذيري­ها

  • تحليل وضعيت آسيب­پذيري در مقابل حملات مبتني بر ويروس، تروژان و ساير فايل­هاي مخرب
  • تحليل وضعيت آسيب­پذيري در مقابل حملات DOS و DDOS
  • تحليل وضعيت آسيب­پذيري در مقابل حملات System Hijacking و Session Hijacking
  • تحليل وضعيت آسيب­پذيري در مقابل حملات کشف کلمات عبور و ارتقاء سطح دسترسي
  • تحليل وضعيت آسيب­پذيري در مقابل حملات Spoofing
  • مستندسازي اطلاعات به دست آمده

   ارائه پيشنهاد به جهت برطرف نمودن آسيب­پذيري­ها

  • تحليل جامع اطلاعات به دست آمده از تمامي فازها
  • تحليل آسيب­پذيري­هاي امنيتي موجود در تناسب با حساسيت نظام کسب و کار
  • ارائه راهکارهاي پيشنهادي به جهت برطرف نمودن آسيب­پذيري­ها
  • اولويت­بندي راهکارها از لحاظ درجه ريسک و اهميت بخش­هاي مختلف براي نظام کسب و کاري
  • ارائه طرح مفهومي در خصوص چگونگي برطرف نمودن آسيب­پذيري­هاي موجود