تست نفوذ بر اساس استانداردهای بین‌المللی برای ارزیابی امنیت اطلاعات

تست نفوذ بر اساس استانداردهای بین‌المللی برای ارزیابی امنیت اطلاعات


تست نفوذ
  • ۲۱ اردیبهشت ۹۶
  • 19923 بازدید
  • [تعداد: 3    میانگین: 5/5]

تست نفوذ را به‌عنوان یک فرآیند بشناسیم

تست نفوذ با رویکردی بر ارزیابی امنیت سازمان‌ها و سیستم‌ها می‌تواند به‌عنوان یک بازرسی سامانمند و قانونی، سطح امنیتی را مشخص نماید. در فرایند تست نفوذ، یک گروه متخصص و کارآمد با استفاده از فن‌ها و شگردها، شروع به شبیه‌سازی حمله به سازمان و سیستم‌ها را انجام می‌دهند و در انتها گزارش کاملی را به سازمان‌ها ارائه داده و نحوه اصلاح ضعف‌های امنیتی شبکه و ساختار سازمان را مورد تجزیه‌وتحلیل قرار می‌دهند. این سلسله‌مراتب باید برای سازمان‌ها و سیستم‌ها به‌صورت فرایندی چرخه‌ای همیشه و در بازه‌های زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.

باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را به‌عنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست های نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را به‌عنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست های نفوذ باید برای سازمان‌ها و سیستم‌های مختلف به‌صورت یک فرایند بازه‌ای انجام پذیرد تا امنیت اطمینان همیشه برقرار باشد.

تست نفوذ؛ چرا و به چه دلیل!

دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دسته‌بندی می‌گردند.

اولین دلیل انجام تست نفوذ می‌توان به خطرات و شکاف های امنیتی نام برد که باعث می‌گردد سرمایه‌های (چه ازلحاظ اطلاعاتی و مالی) سازمان‌ها به خطر انداخته شوند.

دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینه‌های اضافی امنیتی سازمان‌ها است. با مشخص کردن شکاف های امنیتی و نقاط ضعف، سازمان می‌تواند از هزینه‌های اضافی که برای امنیت در سازمان پرداخت می‌کند، جلوگیری به عمل آورد.

سومین دلیل اطمینان خاطری است که سازمان‌ها بعد از تست نفوذ به دست می‌آورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمان‌ها را در اختیار شما قرار می‌دهد.

چهارمین دلیل انجام تست نفوذ، دریافت گواهینامه‌ها و استانداردهای قابل‌اعتماد جهت حصول اطمینان از امنیت در سازمان است.

ارزیابی نفوذ و استانداردهای آن

استانداردهای تست و ارزیابی نفوذ

تست نفوذ و اهداف آن

در فرآیند نفوذ اهداف گوناگونی وجود دارد که می‌توان آن‌ها را در گروه‌های کاملاً متفاوتی دسته‌بندی نمود. در ادامه با این اهداف آشنا خواهیم شد.

۱- امنیت فیزیکی

در تست های نفوذ اولین لایه‌ی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفته‌شده یا با توجه کمتری موردبررسی قرار می‌گیرد. ایمن کردن مکان‌های امنیتی سازمان‌ها یا سیستم‌ها ازنظر فیزیکی باعث می‌گردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست های نفوذ باید به امنیت فیزیکی توجه خاص و ویژه‌ای داشته باشیم.

۲- امنیت در شبکه

نفوذ به شبکه، یکی از متداول‌ترین و عمده‌ترین اهداف برای مشتریان تست های نفوذ است. در این آزمایش هدف کشف شکاف ها و آسیب‌پذیری‌های امنیتی در زیرساخت‌های شبکه‌ای سازمان‌ها است. این‌گونه از آزمایش‌ها را هم می‌توان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمان‌ها بنا به اولویت‌های امنیتی و نیازهای سازمانی می‌توان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در این‌گونه از تست های نفوذ می‌توان به انواع آزمایش‌های زیر اشاره نمود.

  • بررسی پیکربندی دیواره آتش و نحوه عملکرد آن
  • فرار از چنگال سیستم‌های IDS&IPS
  • بررسی‌های مربوط به سرویس DNS
  • بررسی سرویس‌های مختلف ازجمله SSH و SQL
  • بررسی پروتکل‌های لایه‌های Application، Transport و Network

۳- امنیت در شبکه‌های بیسیم

غالباً سازمان‌ها از شبکه‌های بیسیم برای ارتباطات داخل یا بین سازمانی به‌عنوان یک راه‌حل آسان و کم‌هزینه استفاده می‌نمایند. در این سازمان‌ها ممکن است اطلاعات و داده‌های حساس در بستر بیسیم منتقل گردند. ازآنجایی‌که شبکه‌های بیسیم دارای امنیت کمتری نسبت به شبکه‌های کابلی هستند، باید نسبت به این شبکه‌ها تست‌های نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکل‌های ارتباطی و ارتباطات این شبکه‌ها، اطمینان حاصل نماییم.

۴- مهندسی اجتماعی و تست نفوذپذیری

در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقه‌ها و فریب‌های مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آن‌ها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، این‌گونه از حملات می‌تواند یکی از خطرناک‌ترین حملات در سطح سازمان باشد.

۵- تست نفوذ و ارزیابی برنامه‌های کاربردی وب

این نمونه از آزمایش‌ها را می‌توان یکی دیگر از حساس‌ترین بخش‌های امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیق‌تر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست های نفوذ می‌توانیم کلیه‌ی آسیب‌پذیری‌ها و شکاف های امنیتی مبتنی بر وب را کشف نماییم. ازآنجایی‌که این نوع از تست های نفوذ دارای گستره و پیچیدگی فراوانی است باید به‌صورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.

در وب‌سایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامه‌های کاربردی وب خواهیم داشت و کار خود را با آموزش‌های ویدیویی از پایه‌ی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وب‌سایت شکاف، شما می‌توانید از متخصصان برجسته امنیت برنامه‌های کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.

۶- کنترل و تست، سیستم‌های امنیتی

با توجه به افزایش حملات و تهدیدات، باید به‌صورت دوره‌ای تمامی سامانه‌ها و سیاست‌های امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاست‌های امنیتی دچار مشکل می‌گردند و یا به‌مرورزمان منسوخ می‌گردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاست‌ها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.

هدف های ارزیابی نفوذ

اهداف تست نفوذ

تست های نفوذ و روش‌های انجام آن

تست نفوذ که به‌عنوان یک فرایند سامانمند و برنامه‌ریزی‌شده شناخته می‌شود را می‌توان از دو منظر مورد بررسی قرار داد. در ابتدا میزان اطلاعاتی که در اختیار تستر نفوذ قرار می‌گیرد و دیگری مکانی که تست های نفوذ ازآنجا انجام می‌شود.

منظر اول: میزان اطلاعاتی که در اختیار تستر نفوذ قرار می‌گیرد.

تست جعبه سفید (White-Box-Pentest)

در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست های نفوذ اطلاعات کامل و جامعی از سیستم و زیرساخت‌های خود، نقشه شبکه و برنامه‌های کاربردی سازمان را در اختیار تستر نفوذ قرار می‌دهند.

تست جعبه خاکستری (Gray-Box-Pentest)

در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست های نفوذ اطلاعات نسبتاً مناسبی را در اختیار تستر نفوذ قرار می‌دهند. در این تست، تستر نفوذ به‌عنوان یکی از کاربران سازمان در نظر گرفته می‌شود که برخی از سطح دسترسی‌های مجاز را دارد. این‌گونه از تست های نفوذ بین تست نفوذ جعبه سفید و جعبه سیاه قرار دارد.

تست جعبه سیاه (Black-Box-Pentest)

در این نوع از نفوذ، سازمان‌ها و یا متقاضیان تست های نفوذ، هیچ‌گونه اطلاعاتی را در اختیار گروه‌های امنیتی قرار نمی‌دهند و تسترهای نفوذ باید همانند یک هکر کلاه‌سیاه به سیستم نفوذ کرده و امنیت سازمان را ارزیابی و بررسی نمایند.

منظر دوم: مکانی که تست های نفوذ ازآنجا انجام می‌گیرد.

در این دیدگاه حمله به دو صورت انجام می‌گیرد. حمله از داخل سازمان یا Internal Pentest و حمله از خارج سازمان یا External Pentest

در حالت داخلی، تستر نفوذ به‌عنوان یکی از کارمندان سازمان عملیات تست های نفوذ را انجام می‌دهد و در حالت خارجی تستر نفوذ هیچ دسترسی به داخل سازمان را ندارد و سازمان باید حتماً به شبکه اینترنت یا اینترانت متصل باشد.

روش های تست نفوذ

تست نفوذ و مراحل انجام آن

در ابتدا سازمان مربوطه درخواستی مبنی بر تست نفوذ را به شرکت‌های امنیتی ارسال نموده و منتظر پاسخ از طرف شرکت امنیتی می‌ماند. بعد از مشاوره و رایزنی توسط شرکت امنیتی و سازمان، تفاهم‌نامه‌ای مبنی بر هزینه‌ها، نوع و چگونگی تست نفوذ منعقد می‌گردد. بعد از امضای تفاهم‌نامه، شرکت امنیتی بر اساس موازین تعیین‌شده و نقشه راهی که توسط سازمان مشخص‌شده است، شروع به انجام فرآیند تست نفوذ می‌نماید.

در ادامه راه شرکت امنیتی با کمک متخصصین نفوذگر خود، شروع به کشف آسیب‌پذیری‌ها و شکاف‌های امنیتی در سازمان می‌نماید. بعد از انجام این کار ممکن است بر اساس تفاهم‌نامه شروع به حمله به زیرساخت‌ها و اطلاعات سازمان نماید تا بتوانند شکاف‌های امنیتی را به‌صورت کامل کشف نمایند.

در انتهای کار، شرکت امنیتی لیست کامل و جامعی از شکاف ها و ضعف‌های امنیتی را بر اساس مستندات جمع‌آوری کرده و به سازمان مربوطه اعلام می‌دارد. در پایان سازمان مربوطه به کمک شرکت امنیتی یا کارکنان متخصص خود تمامی شکاف ها و رخنه‌های امنیتی را بازبینی، بررسی و تصحیح می‌نمایند.

تست نفوذ و استانداردهای آن

در فرایند تست نفوذ انواع گوناگونی از حالات و روش‌های نفوذ وجود دارد که می‌توانیم از آن‌ها پیروی نماییم. ولی از استانداردهای مطمئن و قابل‌اعتماد، می‌توان به موارد زیر که بر اساس سرفصل‌ها و روش‌های جاری قابل‌اعتماد پیروی می‌نمایند، اشاره نمود.

استاندارد ISO/IEC 27001

این استاندارد یک سیستم مدیریت را معین می‌نماید که هدف اصلی آن تأمین امنیت اطلاعات است. این استاندارد همچنین به‌عنوان ISMS نیز شناخته می‌شود که یکی از استانداردهای قدرتمند در امنیت اطلاعات است و یکسری از نیازهای امنیتی را ملزم می‌داند و باید حتماً اجرا شوند.

استاندارد ISO/IEC 27002

این استاندارد توسط سازمان‌های بین‌المللی استاندارسازی ISO و گروه الکترونیکی بین‌المللی IEC برای مدیریت امنیت اطلاعات منتشرشده است.

استاندارد Open Source Security Testing Methodology Manual (OSSTMM)

این استاندارد شامل یک تست امنیتی کامل و جامع است که در مراحل مختلف و گام‌به‌گام باید انجام پذیرد. در این استاندارد شش بخش امنیت اطلاعات، امنیت فرآیند، امنیت فن‌آوری اینترنت، امنیت ارتباطات، امنیت بی‏سیم و امنیت فیزیکی وجود دارد. هر بخش دارای ماژول‌هایی است که همه‌ی جوانب امنیتی بخش‌ها را پوشش می‌دهد و برای بررسی کامل هر ماژول باید وظایف خاصی انجام گردد.

استاندارد The Open Web Application Security Project (OWASP)

یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

استاندارد Licensed Penetration Tester (LPT)

مدرک LPT یک مدارک وابسته به امنیت است که با استانداردسازی دانش‌های پایه‌ای برای تست نفوذ حرفه‌ای با استفاده بهترین آموزش‌ها است.

در مقاله های بعدی با مقاله ی –وب‌سایت یا برنامه کاربردی وب، دو واژه‌ی یکسان با اختلافی کوچک– و همچنین مقاله ی –امنیت سایت یا تست نفوذ در برنامه‌های کاربردی وب، با استفاده از استانداردهای بین‌المللی– آشنا خواهیم شد.

امین کیانی

امین کیانی

متخصص و کارشناس امنیت صفحات وب با رویکردی پایه‌ای و هدفمند در جهت آموزش‌های مرتبط با امنیت سایت و انجام پروژه‌های تست نفوذ در سایت‌ها و کسب‌وکارهای آنلاین

تعداد علاقه‌مندانی که تاکنون عضو خبرنامه ما شده‌اند:

222 نفر

پاسخ دهید.

دیدگاه‌های این نوشته

هنوز پاسخی ارسال نشده است.

مطالب زیر را حتما بخوانید

دوره‌های آموزشی هک و امنیت