تست نفوذ (Penetration Testing) چیست؟

در این مقاله می‌خوانید

تست نفوذ (Penetration Testing) چیست؟

تست نفوذ (pentest)، فرایندی است که در آن یک هکر قانونمند، برای ارزیابی‌ اهداف خود، با ارسال کدهای مخرب به یافتن آسیب‌پذیری‌ها می‌پردازد و هدف اصلی پن تست (آزمون نفوذ)، دسترسی غیرمجاز به سیستم به تقلید از یک هکر غیرقانونی می‌باشد.

تست نفوذ (Penetration test) معمولا به مراحل شناسایی، اسکن و شمارش، نفوذ به سیستم ، حفظ دسترسی و البته پوشش حملات تقسیم‌بندی می‌شود.

تشخیص و ارزیابی در امنیت سایبری

ارزیابی آسیب پذیری یا (VA) چیست؟

ارزیابی آسیب پذیری (Vulnerability Assessment)، فرآیند شناسایی تهدیدها و آسیب‌پذیری‌های یک سیستم با استفاده از اسکنرهای خودکار است. این عملکرد، همچنین شامل طیف وسیعی از تست‌های دستی(Manual) با ابزارهای دیگر، برای ارزیابی بیشتر امنیت برنامه‌ها یا شبکه‌ها می‌شود.

حال آنکه با اسکن آسیب‌پذیری آشنا شدیم، به عوامل موثر در آن می‌پردازیم :

  • محدوده عملکرد
  • ریسک و بحرانی بودن دارایی‌ها
  • مقدار هزینه و زمان
تست نفوذ (Penetration Testing) چیست

اجزای آزمون نفوذ (پن تست) کدامند؟

امروز بسیاری از روش‌های تست نفوذ (پن تست)، شامل مراحل زیر می‌باشند:

  1. مشخص کردن محدوده تست نفوذ یا به اصطلاح اسکوپینگ
  2. جمع آوری و طبقه‌بندی کلیه اطلاعات مرتبط با سامانه که اصطلاحاً به آن (Gathering information) می‌گویند
  3. در محدوده از پیش تعیین شده و با استفاده از اطلاعات گردآوری شده رویکرد تست نفوذ مشخص می‌گردد
  4. کلیه پارامترهای مورد استفاده سامانه و همچنین درگاه‌های وابسته به آن، شناسایی می‌گردند که اصطلاحاً به آن (Rikan Essence) گفته می‌شود
  5. آسیب‌پذیری‌های شناسایی شده، مجددا بررسی می‌شوند و پس از آن مراحل بهره‌برداری از آن‌ها مستند خواهد شد
  6. رویکرد امنیت و جلوگیری از آسیب‌پذیری شناسایی شده در چرخه توسعه محصول تدوین می‌گردد
  7. نیازمندی‌های جلوگیری از بروز آسیب‌پذیری در سطح سورس کد مستند خواهند شد
  8. پس از برطرف کردن آسیب‌پذیری، مجدداً سامانه مورد بررسی قرار خواهد گرفت

زیر مجموعه‌های آزمون نفوذ (Pentest) چیست؟

تست نفوذ وب (Web Pentest)

در این دو از آزمون نفوذ (پن تست) کلیه سامانه های بر بستر وب از جمله: وب سایت وب اپلیکیشن وب سرویس و وب سرور، ارزیابی امنیت سایبری می‌گردد. همه آسیب‌پذیری‌ها بر بستر وب توسط مجموعه OWASP گردآوری شدند برای بررسی و تست نفوذ کلیه آسیب پذیری ها به دو روش دستی و خودکار اکتفا می کنیم 

اگر مشتاق به مطالعه در این حوزه هستید، پیشنهاد ما برای شما

مطالعه مقاله امنیت سایبری و حقایق آن در سال 2022 است

تست نفوذ (پن تست) موبایل اپلیکیشن

در این روش سامانه یا اپلیکیشن های بر بستر موبایل مانند اندروید و ios ارزیابی امنیتی می گردند. لازم به ذکر است بررسی امنیتی اپلیکیشن های موبایل به صورت بلک باکس و وایت باکس انجام می گردد  همچنین برخی از آسیب پذیری ها به دلیل عدم پیاده سازی صحیح قابلیت های سیستم عامل مقصد مانند اندروید و ios میباشد چه در تست نفوذ موبایل اپلیکیشن آسیب پذیری های رخ داده شده شناسایی می گردد همچنین امروزه سامانه های pwa برای اپلیکیشن های موبایل بسیار رواج یافته است برای ارزیابی امنیتی این سامانه ها کلیه متد های تست نفوذ وب هم بررسی می گردد

تست نفوذ زیرساخت شبکه

 در این نوع تست نفوذ زیرساخت مورد استفاده سازمان و لوکیشن ها مورد ارزیابی امنیت سایبری قرار می گیرد همچنین با توجه به نوع پیاده سازی و زون بندی شبکه تست نفوذ از داخل و خارج انجام می گردد لازم به ذکر است بسیاری از آسیب پذیری هایی  که نفوذگران به واسطه آن در شبکه دسترسی خود را ارتقا می دهند به سبب پیاده سازی ناصحیح ویژگیهای زیرساخت مورد استفاده به معنی اکتیو دایرکتوری است تست نفوذ زیرساخت شبکه به دلیل تشابهات زیادی که با تیم قرمز دارند میتواند پیش از عملیات تیم قرمز آگاهی لازم را نسبت به مشکلات امنیتی سازمان ارائه کند زیرا آسیب پذیری های شناسایی شده در سطح شبکه که در طول عملیات تینا قرمز از آنها سوء استفاده می گردد پیش از عملیات شناسایی و پچ می گردد.

آزمون نفوذ ابری (cloud)

 امروزه بسیاری از اپلیکیشن‌ها بر بستر ابر یا کلاه خود می باشند همچنین ارتباطات بیشماری بین اپلیکیشن و زیرساخت و همچنین کاربر نهایی وجود دارد مهاجم با استفاده از از عدم پیاده سازی صحیح این ارتباطات می‌توانند به ارتباطات سایر کاربران و همچنین اطلاعات سیستم دسترسی پیدا کند. تست نفوذ (پن تست) ابری می‌تواند بسیاری از آسیب‌پذیری‌های موجود در ویژگی‌های پیاده‌سازی شده و همچنین معماری مورد استفاده را شناسایی نماید.

لازم به ذکر است تست نفوذ (پن تست) ابری، محدود به شرکت‌های ارائه‌دهنده عمومی زیرساخت ابری مانند آروان و پی سی پی یا ای دبلیو اس نیست، بلکه مجموعه سازمان‌هایی که برای خود امر خصوصی نیز راه اندازی کردند، می‌توانند از این بخش آسیب ببینند.

Cloud penetration testing in cyber security
آزمون نفوذ ابری در امنیت سایبری

مهندسی اجتماعی (Social Engineering)

امروزه بخش اعظم حملات با استفاده از عدم آگاهی امنیتی کارکنان صورت می‌پذیرد. از این روی افزایش آگاهی‌رسانی امنیتی کارکنان سازمان با استفاده از روش‌های طبقه‌بندی شده، به منظور دستیابی به اهداف از پیش تعیین شده امری الزامی می‌باشد. تست نفوذ (Pentest) کارکنان یک سازمان می‌تواند با استفاده از کمپین‌های آگاهی رسانی اجرا گردد که خروجی آن‌ها، می‌توانند به سازمان آگاهی لازم را بدهد تا اقدامات لازم در امنیت سایبری برنامه‌ریزی شوند.

برای آشنایی بیشتر با این مفهوم، پیشنهاد می‌کنیم مقاله زیر را مطالعه بفرمایید

مقاله مهندسی اجتماعی چیست و چه کاربردی دارد؟

تست نفوذ اینترنت اشیا (IOT)

امروزه بسیاری از از دستگاه‌های استفاده شده در منازل و یا مناطق صنعتی و تجاری، از نوع دستگاه‌های اینترنت اشیا می‌باشند. ارزیابی امنیتی این دستگاه‌ها، متشکل از تست نفوذ اپلیکیشن مورد استفاده و همچنین زیرساخت مورد استفاده آن دستگاه می‌باشد یکی دیگر از مهمترین بخش های ارزیابی این دستگاه ها مهندسی معکوس و  پایش آسیب‌پذیری‌های در سطح فریم ور است

اگر مشتاق به آشنایی بیشتر با مفهوم تست نفوذ وب‌اپلیکیشن هستید

مقاله تست نفوذ وب‌اپلیکیشن چیست؟ را مطالعه بفرمایید.

متدهای مختلف جهت آزمون نفوذ

 یکی از اصلی‌ترین مراجع تست نفوذ (Pentest)، برای سامانه‌های وب و موبایل، شرکت OWASP است که کلیه آسیب‌پذیری‌ها را به صورت تست کیس مشخص نموده است، تا سازمان‌ها بتوانند به کمک آن، به یافتن آن آسیب‌پذیری‌ها در سیستم خود اقدام کند. یکی دیگر از مراجع برای تست نفوذ زیرساخت و شبکه مجموعه مایتر است که کلیه آسیب‌پذیری‌های زیرساخت و شبکه را طبقه‌بندی نموده و همچنین با استفاده از استاندارد مایتر، می‌توانیم متدهای مختلف تست ارزیابی آگاهی سطح امنیتی کارکنان را نیز بررسی نماییم.

چرا تست نفوذ (Pentest) مهم است؟

تا اینجا، سعی کردیم که با معرفی آزمون نفوذ (Penetration Test) به شما، به اهمیت وجود آن در سازمان بپردازیم. حال نیاز است تا دلایل اهمیت این عملیات را برای سازمان‌ها بررسی کنیم. در ادامه به این مورد می‌پردازیم که چرا تست نفوذ مهم است؟

توانایی شناسایی و اولویت‌بندی آسیب‌پذیری‌ها

آزمون نفوذ، توانایی سازمان را برای محافظت از شبکه‌ها، نقاط پایانی (end points) و کاربران خود، در برابر تلاش‌های داخلی و خارجی که به منظور دور زدن (Bypass) کنترل‌های امنیتی و همچنین دستیابی به دسترسی‌های غیرمجاز صورت گرفته را، ارزیابی می‌کند.

بهره‌مندی از رویکردهای پیشگیرانه در امنیت سایبری

قطعا تیم‌های امنیتی سازمان‌ها، قادر به بررسی و از بین بردن تمامی نقاط آسیب‌پذیری خود نیستند، پس باید از تاکتیک‌ها و راه‌های دفاعی، مانند رمزنگاری‌ها، آنتی ویروس‌ها و… استفاده کنند تا سیستم ایمن‌تری را داشته باشند. با این وجود، یافتن و برطرف کردن آسیب‌پذیری‌ها، همیشه مسئله‌ای دشوار خواهد بود. این عملیات پن تست (Penetration Test) که با عملکردی پیشگیرانه، آسیب‌پذیری سازمان شما را آشکار می‌کند.

pentest hacker in cyber security
تست نفوذ به اعتماد به نفس تیم شما کمک می‌کند

بالا بردن اعتماد به نفس تیم‌های امنیتی سازمان شما

شما تا زمانی که سیستم‌های خود را تست نکنید، نمی‌توانید اعتماد به نفس داشته باشید. با انجام آزمون نفوذ (پن تست) به صورت منظم، تست کردن زیرساخت‌‌ها و همچنین عملکرد تیم امنیتی خود، دیگر با حمله‌های هکری، غافلگیر نخواهید شد.

توانایی مدیریت نقاط آسیب‌پذیری

تست نفوذ اطلاعات دقیقی در مورد تهدیدات امنیتی به شما ارائه می‌دهد. سازمان شما با انجام این آزمون، نقاط آسیب‌پذیری مهم‌تر را تشخیص می‌دهد و متوجه می‌شوید کدام یک از اهمیت کمی برخوردار هستند. این موضوع در اولویت‌بندی اقدامات امنیتی آینده، به سازمان شما کمک می‌کند. و درنهایت می‌توانید از صحت عملکرد تیم امنیتی خود، اطمینان داشته باشید.

ابزارهای مورد استفاده در آزمون نفوذ چیست؟

 به صورت پیش فرض کلیه آسیب پذیری ها در تمامی لایه ها به صورت دستی مورد بررسی قرار می گیرد با توجه به این موارد گاهی اوقات تست ها به صورت ترکیبی از روش های دستی و روش های خودکار انجام می گردد. امروزه بسیاری از ابزارها برای تست خودکار توسعه داده شده است و همچنین بسیاری از ابزار ها به صورت کامرشیال یا شرکتی برای سازمان های خاص ارائه می گردد مجموعه امنیت سایبری حادث با دسترسی به تمامی ابزارهای کامرشیال مطرح دنیا همچنین با استفاده از روش‌های مدرن بررسی دستی سازی پذیری ها سامانه و دارایی مورد نظر رو ارزیابی امنیتی می نماید برخی از ابزارهای مورد استفاده حادث عبارتند از

  1. HP Web Inspect
  2. NMAP
  3. Hashcat
  4. Hydra
  5. SQlmap
  6. IBM App  Scan
  7. Cobalt Strike
  8. CANVAS
  9. exploit Kit
penetration testing is a systematic process in cybersecurity

سناریوها و اهداف یک آزمون نفوذ (Penetration Test)

چشم انداز تست نفوذ

تست نفوذ اغلب با سناریوهای مختلفی شامل: راه‌اندازی برنامه، تغییرات عمده یا به روزرسانی‌ شبکه/برنامه، مقررات انطباق یا نقض و طراحی یک حمله هدفمند آغاز می‌شود. به طور کلی هدف نهایی یک هکر قانونمند در آزمون نفوذ، دستیابی غیرمجاز به سیستم با استفاده از آسیب پذیری‌های کشف نشده در مرحله اسکن است. با این حال، سازمان شما ممکن است اهداف دیگری نیز در ذهن داشته باشد.

راه‌اندازی برنامه

 ممکن است یک تست نفوذ به عنوان بخشی از فرایند چرخه توسعه نرم افزار (SDLC)، برای کشف آسیب پذیری‌های موجود در آن انجام شود. هدف اصلی انجام این تست‌ها، یافتن آسیب‌های موجود و رفع آن‌ها قبل از تولید برنامه کاربردی و ارائه آن برای استفاده کاربران است که این امر به صرفه جویی در وقت و هزینه نیز کمک شایانی کرده و علاوه بر آن، راه برای استفاده هکرهای مخرب هم بسته خواهد شد.

تغییر یا بروزرسانی عمده شبکه یا برنامه

 پن تست اغلب به صورت سه ماهه، سالانه و یا دو ساله برنامه‌ریزی شده تا امنیت برنامه را در مقابل تغییرات عمده‌ای که به طور بالقوه باعث آسیب پذیری‌های جدید می‌شوند، حفظ کند.

مدیریت آسیب پذیری

 حملات به سیستم‌ها، با سرعتی سریع در حال پیشرفت است. همین امر، باعث کاهش آگاهی سازمان‌ها در رابطه با وضعیت امنیتی برنامه خود می‌شود. پس به همین منظور، ارزیابی مداوم برنامه‌ها و زیرساخت‌ها به صورت منظم یا حداقل نیمه منظم ضروری است. این کار در عمل با استفاده از یک برنامه مدیریت آسیب پذیری که تست‌ نفوذ را در چرخه‌های مختلف اجرا می‌کند، امکان پذیر است. یک نقل قول معروف از جان چمبرز (مدیر عامل سابق سیسکو) در انجمن اطلاعات InfoSec وجود دارد که بر نیاز به نگهداری مداوم تاکید دارد. وی می‌گوید: “فقط دو نوع شرکت وجود دارد: آنها که هک شده‌اند و آنها که هنوز نمی‌دانند هک شده‌اند. “

مقررات انطباق: می‌توان یک تست نفوذ (pentest) را با هدف دستیابی به برخی استانداردها انجام داد که از الزامات دستیابی به آن، استفاده‌ی دوره‌ای از آزمایشات است. بسته به نوع پردازش یا ذخیره داده، ممکن است ملزم به رعایت مقررات مختلف مانند PCI DSS، HIPAA، Sarbanes-Oxle برای دریافت استاندارد باشند. ممکن است سازمانی برای دستیابی به برخی از این مقررات، برای مقابله با خطرات احتمالی و داشتن امنیت، به آزمون نفوذ احتیاج داشته باشد.

a hacker check the data in cyber security

نقص امنیتی

 این دلیل احتمالا بدترین دلیل برای انجام یک پن تست (آزمون نفوذ) ، اما متاسفانه بسیار رایج است که سازمان‌ها پس از نشت اطلاعاتی و ایجاد مشکل به فکر تست نفوذ باشند. پس از اینکه به سازمان حمله شد و اطلاعات محرمانه در دسترس عموم قرار گرفت، سازمان وحشت کرده و بلافاصله فردی را برای جلوگیری از تکرار حملات مشابه در آینده استخدام می‌کند تا مشابه با آنچه اتفاق افتاده، یک تست نفوذ را انجام دهد. هدف از این کار کشف هرگونه آسیب پذیری و حفره اضافی موجود در سازمان است زیرا اکنون هکر‌ها کاملاً از وجود نقص آگاه هستند.

تست نفوذ داخلی (Internal Penetration Test)

در یک تست داخلی، عضو گروه تست نفوذ، با دسترسی به برنامه‌ای دور از دسترس فایروال سیستم، حمله توسط یک شخص دیگر را با هدف تخریب شبیه سازی می‌کند. این کار لزوماً شبیه سازی حمله انجام شده توسط کارمندی خودی نیست. بلکه ممکن است حمله توسط کاربری به طور ناآگاهانه و به دلیل سرغت اطلاعات وی توسط حملات فیشینگ انجام شده باشد.

تست خارجی (External Penetration Test)

در یک تست کور، به انجام دهنده تست تنها یک نام از سازمان هدف داده خواهد شد. این کار به پرسنل امنیتی و انجام دهندگان آزمون نفوذ، نگاهی واقعی را از حمله خارج از سازمان می‌دهد تا دقیقا بتوانند مشابه با یک مهاجم خارجی عمل کنند.

Penetration Test in Cyber Security

اگر هنوز با مفهوم تست نفوذ داخلی آشنایی کافی را ندارید، حتما مقاله تست نفوذ داخلی چیست؟ را مطالعه بفرمایید!

همچنین می‌توانید مفهوم تست نفوذ خارجی را به کمک مقاله تست نفوذ خارجی چه کاربردی دارد؟ را بهتر درک کنید.

تست نفوذ جعبه سفید (White box penetration testing)

تست نفوذ جعبه سفید که به نام‌ Crystal هم شناخته می‌شود، نوعی از آزمون نفوذ (Penetration test) است که در آن اطلاعات کامل شبکه و سیستم با آزمون گیرنده به اشتراک گذاشته می‌شود. این دیتا شامل نقشه‌های شبکه و اعتبارنامه‌ها می‌باشد. داشتن این اطلاعات به صرفه‌جویی در زمان کمک می‌کند. تست نفوذ جعبه سیاه برای شبیه‌سازی یک حمله هدفمند و برنامه‌ریزی شده، روی یک سیستم خاص مورد استفاده قرار می‌گیرد و تمامی حملات احتمالی را تا حد امکان پوشش می‌دهد. در ادامه به معرفی تست نفوذ جعبه سیاه می‌پردازیم.

تست جعبه سیاه (Black box penetration testing)

در یک آزمایش دوسوکور، پرسنل امنیتی هیچ اطلاعی از حمله شبیه سازی شده ندارند. همانطور که در دنیای واقعی، آنها هیچ وقت برای دفاع از خود قبل از حمله هکرها، فرصت و آگاهی از چگونگی آن را نخواهند داشت.

تست هدفمند در آزمون نفوذ

در این سناریو، آزمایشگر آزمون نفوذ (Pentest) و پرسنل امنیتی با هم کار می‌کنند و یکدیگر نسبت به حرکاتشان ارزیابی می‌کنند. این یک تمرین آموزشی ارزشمند است که دریافت بازخورد لحظه‌ای را از یک هکر، برای یک تیم امنیتی فراهم می‌کند.

a hacker in Cyber Security Work with Labtop

چه نوع آزمون نفوذی برای ما مناسب است؟

پاسخ به این سوال نیازمند شناخت یک سری موارد است!

 اگر سامانه شما شامل وب اپلیکیشن و موبایل اپلیکیشن می‌باشد، می‌توانید از تست وایت باکس، با اسکوپ از پیش تعیین شده استفاده نمایید. همچنین اگر گزارش آسیب پذیری از پیش مشخص شده دارید می‌توانید از تست جعبه سفید یا سورس کد ریو استفاده نمایید. اگر سازمان شما از زیر ساخت خاصی استفاده می‌کند میتوانید از تست زیر ساخت و شبکه استفاده نمایید. در صورتی که سازمان شما از محصولات اینترنت اشیا و دوربین‌های مداربسته استفاده دارد، استفاده از تست نفوذ اینترنت اشیا می‌تواند انتخاب مناسبی برای شما باشد و در صورتی که اطلاع از سطح آگاهی امنیت سایبری کارکنان برای شما مهم است پیشنهاد ما استفاده از سرویس مهندسی اجتماعی حادث است.

برای نتیجه گیری نهایی نسبت به انتخاب گزینه مورد نظرتان با کارشناسان متخصص امنیت سایبری حادث تماس بگیرید. تست نفوذ علاج واقعه قبل از وقوع است. اگر نیازمند مشاوره در این حوزه هستید اینجا کلیک کنید.

رایگان مشاوره بگیرید

برای مشاوره رایگان و تحلیل کسب و کارتان، لطفا فرم مقابل را پر کنید، تیم ما در اسرع وقت با شما تماس می‌گیرد.

عضو خبرنامه شوید!