تست نفوذپذیری

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به ناوبری پرش به جستجو

آزمون نفوذپذیری یا آزمون نفوذ (به انگلیسی: Penetration test) فرآیند ارزیابی معیارهای امنیتی است . معیار های امنیتی از لحاظ ضعف طراحی ، مشکلات فنی و آسیب پذیری ها بررسی گردیده و نتایج آن در قالب گزارشی کامل ، به مدیران و نیروهای فنی ارائه می گردد .

در این روش با استفاده از تکنیک های هک ، یک حمله واقعی شبیه سازی می شود تا به این وسیله سطح امنیت یک شبکه یا سیستم مشخص گردد . این امر به سازمان ها کمک می کند تا با تشخیص به موقع ، از دسترسی و آسیب رسانی هکرهای واقعی به سرمایه سازمان جلوگیری نمایند .

رویکرد تست نفود نرم افزار Black-Box‌ ، Covert  ، Gray-Box و White-Box :[ویرایش]

تست نفوذ به روش‌های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش‌ها، در میزان اطلاعات مرتبط با جزییات پیاده‌سازی سیستم در حال تست می‌باشد که در اختیار تیم تست نفوذ قرار داده می‌شود. با توجه به این موضوع تست نفوذ را می‌توان به 4 دسته Black-Box ، White – Box و Gray-Box تقسیم نمود.

Black-Box‌ :

تست Black-Box ( جعبه سیاه ) با فرض فقدان دانش قبلی از زیر ساختهایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستم‌ها را بطور دقیق مشخص کنند. تست Black-Box در واقع شبیه‌سازی کردن حمله‌ای است که توسط نفوذگری انجام می‌شود که در ابتدا با سیستم آشنایی ندارد.

Covert  :

این نوع تست که به تست نفوذ Double-Blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچ‌کس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حمله‌ی کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکننده‌ی تست اطلاعاتی پایه‌ای درباره‌ی موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.

White-Box :

تست White-Box ( جعبه سفید یا تست شفاف ) اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور،در اختیار تیم ارزیابی امنیتی قرار می‌گیرد. تست White-Box حمله‌ای را شبیه سازی می‌کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. تست White-Box دارای گستردگی وسیعی می‌باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب‌پذیری‌هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می‌باشد.

Gray-Box :

روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می‌گیرند که معمولا از آنها به تست های Gray-Box ( جعبه خاکستری )تعبیر می‌شود.

اهداف انجام آزمون نفوذپذیری[ویرایش]

  • شناسایی نقاط ضعف و آسیب‌پذیر سیستم‌ها و نرم‌افزارها
  • شناسای آسیب‌پذیری‌های درونی و بیرونی شبکه
  • بررسی امکان نفوذ به سیستم‌ها و برنامه‌ها
  • ارائه راه حل برای رفع مشکلات و آسیب‌پذیری‌های امنیتی موجود

دامنه آزمون نفوذپذیری[ویرایش]

  • آزمون نفوذ سامانه‌های تحت وب (Web Application)
  • آزمون نفوذ تجهیزات شبکه و سرویس‌های سیستم‌عامل (Network, Firewall, OS Services)
  • آزمون نفوذ برنامه‌های کاربردی موبایل (Mobile Application)
  • آزمون نفوذ برنامه‌های دسکتاپ (Desktop Application)
  • آزمون نفوذ وب‌سرویس (Web Service)
  • آزمون نفوذ شبکه‌های بیسیم (Wireless)
  • آزمون نفوذ رایانش ابری (Cloud Computing)
  • آزمون نفوذ شبکه‌های مخابراتی (Telecom)
  • آزمون نفوذ شبکه‌های کنترل صنعتی (SCADA , DCS)
  • آزمون نفوذ سیستم‌های ویپ (VOIP)
  • آزمون نفوذ Core Banking
  • آزمون نفوذ برنامه‌های کلاینتی (Client Side Application)
  • آزمون امنیت فیزیکی (Physical)
  • آزمون نفوذ اینترنت اشیاء (IoT)

استانداردهای تست نفوذ[ویرایش]

کارشناسان امنیتی برای انجام تست نفوذ از استاندارد های زیر استفاده می نمایند :

  • ISO/IEC 27001
  • ISO/IEC 27002
  • OSSTMM   ( Open Source Security Testing Methodology Manual )
  • OWASP 2017  (Open Web Application Security Project )
  • LPT   ( Licensed Penetration Tester methodology from EC-Council )
  • CVSS   ( Common Vulnerability Scoring System SIG )

انواع تست نفوذ[ویرایش]

  1. تحلیل ریسک‌های امنیت
  2. برنامه‌ریزی تست امنیت
  3. طراحی و اجرای تست امنیت
  • تکنیک‌های جمع‌آوری اطلاعات یک برنامه کاربردی (عمدتاً وب سایتها)
  • تست مدیریت پیکربندی (Configuration Management)
  • تست منطق کاری (Business Logic)
  • تست مدیریت نشست (Session Management)
  • تست احراز هویت (Authentication)
  • تست کنترل دسترسی (Authorization)
  • تست‌های مربوط به اعتبارسنجی داده‌های وروردی (Injections, Buffer overflow)

تست نفوذ در ایران[ویرایش]

با توجه به اهمیت دادن مسئولین و سران نظام به مسئله امنیت در ایران، امنیت در حوزه فناوری اطلاعات نیز از اهمیت ویژه‌ای برخوردار است. این مسئله سبب شده بر خلاف سایر حوزه‌های تضمین کیفیت و تست نرم‌افزار، برای این حوزه اهمیت خیلی زیادی قائل شوند. علاوه بر این، جذابیت مباحث هک و نفوذ سبب شده افراد زیادی به این موضوع علاقه پیدا کنند. به دلیل بومی نبودن تکنولوژی مربوطه، دانش سطحی و نبود زیر ساخت‌های لازم، تعداد متخصصین و افراد خبره در این موضوع بسیار اندک است، اما در چند سال اخیر گروه‌های تخصصی و فنی مجرب زیادی شروع به کار کرده‌اند که آینده روشنی را برای ایران در حوزه امنیت تداعی می‌کنند.

منابع[ویرایش]