تست نفوذ Penetration Testing و انجام ارزیابی امنیت سازمان ها

تست نفوذ چیست؟

امروزه یکی از رویکردهای متداول به جهت حصول اطمینان از قرار گرفتن سازمان در یک سطح قابل قبول امنیت شبکه و امنیت اطلاعاتی، اجرای تست نفوذ در زیر ساخت فناوری اطلاعات سازمان است. بدین ترتیب در این رویکرد، متخصصین نفوذهای امنیتی، با اطلاع رسانی به مراجع ذیربط سازمانی، بدون این که آسیبی به زیر ساخت فناوری اطلاعات سازمانی وارد نمایند، با استفاده از روش ها و راهکار های خاص، اقدام به نفوذ به زیر ساخت سازمان می‌نمایند و بدین ترتیب، به صورت زنده به کشف آسیب پذیری ها و شکاف های امنیتی سازمانی می‌پردازند.

انجام تست نفوذ

مزایای انجام تست نفوذ و یا سنجش آسیب پذیری

مزایای اجرای تست نفوذ پذیری در رویکردی که باعث انجام این تست ها می‌شود، نهفته است. به طور کلی، اجرای تست های نفوذپذیری شناسایی عملیاتی آسیب پذیری های موجود در معماری زیر ساخت فناوری اطلاعات نظام های کسب و کاری است که اجرای این تست ها دارای مزایای متعددی برای سازمان میباشد. از مهمترین مزایای اجرای تست نفوذ میتوان به موارد زیر اشاره نمود:

  • ارزیابی سطح امنیت در زیرساخت فناوری اطلاعات
  • شناسایی و طبقه بندی تهدیدات و آسیب پذیری های موجود
  • شناسایی و طبقه بندی ضررهای مالی و غیر مالی در صورت بروز حملات امنیتی به بخش های مختلف
  • شناسایی سطح دشواری نفوذ و شناسایی پیچیدگی هایی که یک حمله به جهت نفوذ موفق به هر کدام از بخش های فناوری اطلاعات دارد
  • پیش بینی رفتارهای حمله کنندگان و نفوذگران امنیتی
  • اولویت بندی نیازمندی های امنیتی و مدیریت هزینه های برطرف نمودن آسیب پذیری ها
  • جلوگیری و برطرف نمودن عوامل امنیتی که باعث ایجاد اختلال در سطح سرویس های کسب و کاری سازمان میشوند
  • ارائه اطلاعات و داده های عملیاتی و زنده به جهت بهینه سازی فرایندهای مدیریت ریسک

تست نفوذ

در تعیین و انجام شرح فعالیت های مورد نیاز به جهت انجام تست های نفوذپذیری، فاکتور های پایه ای وجود دارند که میتوانند بر نحوه انجام تست نفوذ تاثیر گذار باشند. این فاکتورها و عوامل میتوانند رویکرد و نگرش کلی نسبت به انجام تست نفوذ را تغییر دهند. به طور کلی ۳ فاکتور کلی، برروی نحوه انجام تست های نفوذ پذیری تاثیر گذار می‌باشد، که لازم است پیش از اجرای این تست ها با توجه به سیاست ها، نیازمندی ها و محدودیت های کارفرما، به صورت دقیق مشخص گردند. در ادامه به تشریح این عوامل خواهیم پرداخت:

سطح اطلاعاتی که در اختیار نفوذگران قرار داده میشود:

این فاکتور که تعیین کننده ترین، عامل از عوامل تعیین روش اجرای تست های نفوذپذیری به شمار میرود، از جایگاه و اهمیت ویژه ای برخوردار است، چرا که علاوه بر تاثیرگذاری آن برروی روش عملیاتی تست، بسیار وابسته به سیاست های بدنه کارفرمایی است.
به طور کلی سطح اطلاعاتی که از معماری زیر ساخت فناوری اطلاعات، در اختیار نفوذگران قرار داده میشود، میتواند به صورت کامل و با جزییات و دقت کامل باشد و یا هیچ گونه اطلاعاتی در اختیار نفوذگران قرار داده نشود و یا حتی، متناسب با سیاست ها و محدوده انجام تست نفوذپذیری میتواند بخشی از اطلاعات موجود در اختیار نفوذگران قرار گیرد.

تعیین نقاط دسترسی به جهت اجرای عملیات تست نفوذ:

یکی دیگر از عوامل تاثیرگذار، ماهیت نقاط دسترسی به شبکه و زیر ساخت ارتباطی فناوری اطلاعات سازمان است. در این خصوص یکی از رویکردها، ایجاد دسترسی از محیط بیرون و از طریق شبکه اینترنت و به وسیله سرویس هایی است که مانند سرویس های مربوط به وب سرور، امکان دسترسی به آنها از طریق شبکه عمومی اینترنت امکان پذیر است.
در رویکرد دوم نیز، نفوذگران از طریق شبکه های ارتباطی داخلی زیر ساخت فناوری اطلاعات سازمان متصل میگردند و فعالیت های نفوذ را انجام میدهند، در بسیاری از موارد، بسته به سیاست های و نیازمندی های کارفرمایان، پیشنهاد میگردد تا تست های نفوذ هم از محیط داخلی و هم از محیط خارجی انجام پذیرد.
 

مزایای همکاری با شرکت در حوزه انجام تست نفوذپذیری:

  • استفاده از بازه گسترده ای از ابزارهای حرفه ای رایگان و تجاری
  • انعطاف بالا در اجرای تست های نفوذپذیری، متناسب با سیاست ها، محدودیت ها و نیازمندی های کارفرما
  • اجرای تست نفوذپذیری به صورت White Box یا Black Box
  • انجام تست های نفوذپذیری در رابطه با انواع فناوری ها و تکنولوژی های زیرساختی شبکه و ارتباطات
  • انجام تست های مختلف بدون آسیب رسانی به سرویس ها و با حداقل زمان Down Time
  • ارائه گزارشات تحلیلی از اطلاعات به دست آمده پس از اجرای تست نفوذ
  • ارائه راهکارهای مفهومی و تفصیلی به جهت برطرف نمودن آسیب پذیری های امنیتی به دست آمده

میزان آگاهی و مشارکت نمایندگان کارفرما در مراحل مختلف اجرای تست نفوذپذیری:

یکی دیگر از عوامل تعیین کننده در نحوه اجرای تست های نفوذپذیری، نحوه اطلاع رسانی به کارفرما و نحوه در جریان قرار دادن نمایندگان کارفرما از فعالیت های در حال انجام است.
علاوه بر ۳ فاکتور اساسی و بنیادینی که در بالا به آنها اشاره گردید، با توجه به نیازمندی ها و سیاست های کارفرما، عوامل تاثیرگذار دیگری نیز وجود دارد که نسبت به سه فاکتور بالا، از اهمیت و حساسیت پایین تری برخوردار هستند، ولی در نحوه انجام فعالیت های اجرای تست های نفوذپذیری دارای اهمیت هستند.
از اهم این موارد میتوان به محدوده و قلمرو تست نفوذ که در آن اجزایی از زیر ساخت فناوری اطلاعات که می‌بایست مورد تست قرار گیرند مشخص میگردد، سطح نفوذ، که در آن به عمق و پیشروی فعالیت های مربوط به تست نفوذ اشاره میشود، تکنیک های نفوذ، که در آن خصوصیات فنی نحوه اجرای تست و ابزارهای مورد استفاده در تست نفوذ پذیری مشخص میگردد و … اشاره نمود.
در ادامه به شرح توانمندی های شرکت، در خصوص اجرای تست های نفوذپذیری در قالب مراحل و فازهای مورد نیاز پرداخته خواهد شد. بدیهی است که معیارهای بیان شده در فوق، میتواند تاثیرات زیادی بر روی این شرح خدمات داشته باشد. بدین ترتیب لازم است تا پیش از اجرای تست نفوذپذیری، این شرح خدمات مطابق با سیاست ها، محدودیت ها و نیازمندی های هر کارفرما، بومی سازی گردد.
   جمع آوری اطلاعات به صورت غیر فعال (Reconnaissance)
  • جمع آوری اطلاعات در رابطه با ماهیت و حرفه نظام کسب و کاری
  • جمع آوری اطلاعات در رابطه با مقیاس و گستره فیزیکی
  • جمع آوری اطلاعات در رابطه با تغییرات اخیر
  • جمع آوری اطلاعات در رابطه با دسترسی ­های عمومی به زیرساخت فناوری اطلاعات
  • جمع آوری اطلاعات در رابطه با نحوه و نوع سرویس­های ارتباطی عمومی و خصوصی زیرساخت فناوری اطلاعات
  • تعیین سایر اطلاعات غیر فنی مورد نیاز
  • جمع آوری اطلاعات با استفاده از تکنیک­های مهندسی اجتماعی
  • مستندسازی اطلاعات به دست آمده
   جمع آوری اطلاعات به صورت فعال (Assets Scanning)
  • جمع آوری آدرس­های لایه سه­ای مورد استفاده
  • تعیین نقش و جایگاه آدرس­های لایه سه­ای مورد استفاده
  • شناسایی آدرس­های مربوط به تجهیزات زیرساختی ارتباطات شبکه و تعیین معماری هم­بندی و توپولوژی
  • شناسایی آدرس­های مربوط به سرورها و سرویس­دهنده­ها
  • شناسایی بازه­ های آدرس­ دهی مربوط به کاربران و کلاینت­ها
  • شناسایی سیستم عامل­های مربوط به تجهیزات زیرساختی شبکه، سرورها و کلاینت­ها
  • شناسایی پورت­ها و سرویس­های باز بر روی تجهیزات زیرساختی شبکه، سرورها و کلاینت­ها
  • شناسایی نقش و جایگاه تجهیزات و راهکارهای امنیتی به کار گرفته شده
  • جمع آوری اطلاعات با استفاده از تکنیک­های Enumeration
  • جمع آوری اطلاعات از روی ترافیک شبکه و با استفاده از Snifferها
  • مستندسازی اطلاعات به دست آمده
   شناسایی آسیب­پذیری­های تجهیزات زیرساختی شبکه
  • کشف آسیب­ پذیری­های تجهیزات سوییچینگ و ارتباطات لایه دویی
  • کشف آسیب­ پذیری­های تجهیزات مسیریابی و ارتباطات لایه سه­ای
  • کشف آسیب ­پذیری­های تجهیزات سیاست­گذاری امنیتی مانند Firewall، UTM و…
  • کشف آسیب­ پذیری­های تجهیزات شناسایی وقایع امنیتی مانند IDS/IPS و…
  • کشف آسیب­ پذیری­های ارتباطات خصوصی مانند VPN و…
  • کشف آسیب ­پذیری­های تجهیزات  ارتباطات بی­سیم
  • مستندسازی اطلاعات به دست آمده
   شناسایی آسیب ­پذیری­های سیستم­های عامل و سرویس­ها
  • کشف آسیب­ پذیری­های سیستم­های عامل تجهیزات زیرساختی شبکه
  • کشف آسیب ­پذیری­های سیستم­های عامل کلاینت­ها و کاربران
  •  کشف آسیب ­پذیری­های سیستم­های عامل سایر نودها مانند پرینتر، اسکنر و …
  • کشف آسیب­ پذیری­های زیرساخت مجازی­سازی
  • کشف آسیب­ پذیری­های سیستم­های عامل سرورها و سرویس­دهندگان مبتنی بر Windows
  • کشف آسیب­ پذیری­های سیستم­های عامل سرورها و سرویس­دهندگان مبتنی بر Linux
  • کشف آسیب­ پذیری­های سرویس­های عمومی مانند DHCP، DNS، FTP و…
  • کشف آسیب­ پذیری­های سرویس­های تحت وب
  • کشف آسیب­ پذیری­های سرویس­های ای میل
  • کشف آسیب­ پذیری­های سرویس­های پایگاه داده­ای شامل SQL و…
  • کشف آسیب­ پذیری­های سرویس­های ارزش افزوده مانند VoIP، Video و…
  • مستندسازی اطلاعات به دست آمده
   تحلیل وضعیت آسیب­پذیری­ها
  • تحلیل وضعیت آسیب ­پذیری در مقابل حملات مبتنی بر ویروس، تروژان و سایر فایل­های مخرب
  • تحلیل وضعیت آسیب­ پذیری در مقابل حملات DOS و DDOS
  • تحلیل وضعیت آسیب­ پذیری در مقابل حملات System Hijacking و Session Hijacking
  • تحلیل وضعیت آسیب­ پذیری در مقابل حملات کشف کلمات عبور و ارتقاء سطح دسترسی
  • تحلیل وضعیت آسیب­ پذیری در مقابل حملات Spoofing
  • مستندسازی اطلاعات به دست آمده
   ارائه پیشنهاد به جهت برطرف نمودن آسیب­پذیری­ها
  • تحلیل جامع اطلاعات به دست آمده از تمامی فازها
  • تحلیل آسیب­ پذیری­های امنیتی موجود در تناسب با حساسیت نظام کسب و کار
  • ارائه راهکارهای پیشنهادی به جهت برطرف نمودن آسیب ­پذیری­ها
  • اولویت ­بندی راهکارها از لحاظ درجه ریسک و اهمیت بخش­های مختلف برای نظام کسب و کاری
  • ارائه طرح مفهومی در خصوص چگونگی برطرف نمودن آسیب­ پذیری­های موجود