متداولترین روشهای ارزیابی و تامین امنیت، تست نفوذ و ارزیابی امنیتی هستند که با توجه به اشتراکات و شباهت های فراوان در ساختار و نحوه اجرا، غالبا درک تفاوت های آنها برای مدیران و تصمیم گیرانی که خصوصا آشنایی دقیقی با روشهای تامین امنیت ندارند را مشکل مینماید. در این مقاله سعی خواهیم کرد به صورت اجمالی با تست نفوذ و ارزیابی امنیتی آشنا شده و به بعضی از شباهت ها و تفاوتهای آنها به صورت مختصر اشاره نماییم.
تست نفوذ (Penetration Testing) متداولترین روش سنجش امنیت شبکه ها و سامانه های مختلف به منظور کشف آسیب پذیری ها در لایه های و بخش های مختلف منطبق بر جزییات و محدوده (Scope) تعیین شده در قرارداد تدوین شده و ارائه دقیق آنها به مشتریان است.
برخورداری از دانش و آگاهی های امنیتی و آشنایی کامل با ساختارهای دفاعی (Defensive) و تسلط بر روشهای نفوذ و عبور از مکانیزمهای دفاعی(Offensive and Defense Evasion) توسط متخصصین در آزمون تست نفوذ از اهمیت حیاتی برخوردار است.
در این روش متخصصین تست نفوذ با شبیه سازی جدیدترین روش های نفوذی که توسط هکرها و نفوذ گران غیرقانونی استفاده میشود سامانه های مختلف را تحت آزمایش های امنیتی مختلف قرار داده و رخنه ها و آسیب پذیری های امنیتی کشف شده را غالبا با ارائه راهکارهای جلوگیری از نفوذ و رفع این آسیب پذیری ها (Mitigation and Prevention Methods) به مشتریان ارائه مینمایند.
به صورت کلی خدمات تست نفوذ با توجه به قرارداد منعقد شده و درخواست مشتریان به سه روش جعبه سفید (White Box)، جعبه خاکستری (Grey Box) و جعبه سایه (Black Box) ارائه میشود.
در روشهای ارائه شده روش جعبه سفید معمولا نفوذ از داخل توسط یکی از عوامل سازمان که به اطلاعات حیاتی همچون سخت افزارها و نرم افزارهای بکار رفته، سورس کدها، زیرساختهای شبکه سازمان، آدرس های آی پی و دیگر اطلاعات دسترسی دارد را شبیه سازی میکند.
در روش جعبه خاکستری در مقایسه با روش جعبه سفید بخشی از اطلاعات در اختیار متخصص نفوذ قرار میگیرد که معمولا نفوذ از خارج سازمان توسط هکر ی که به بخشی از اطلاعات حیاتی دسترسی پیدا کرده شبیه سازی میشود.
در روش جعبه سیاه که معمولا نفوذ از خارج سازمان را شبیه سازی میکند، بر خلاف روش جعبه سفید هیچ گونه اطلاعاتی در اختیار متخصص نفوذ قرار نمیگیرد و متخصص نفوذ تمام اطلاعات مورد نیاز برای انجام آزمونهای امنیتی را با استفاده از روشهای مختلف خود تامین خواهد کرد.
هر کدام از این روشها دارای مزایا خاصی است که متقاضیان با توجه به نیازها و سیاستهای امنیتی سازمان متبوع خود میتوانند به انتخاب آن و انعقاد قرارداد اقدام نمایند. تست نفوذ بخش های مختلفی را شامل میشود که شاخص ترین آنها را بیان خواهیم کرد.
- تست نفوذ شبکه
خدمات تست نفوذ شبکه با انجام آزمونهایی از قبیل عبور از دیواره آتش (Firewalls Bypass)، عبور از سیستم های نرم افزاری و سخت افزاری، کشف و جلوگیری از نفوذ (IDS/IPS Bypass)، تست امنیت و نفوذ به روتر (Router Testing)، شناسایی دی ان اس (DNS Foot printing)، شناسایی پورت ها و سرویسهای فعال برروی آنها (Port Scanning and Installed Services)، آسیب پذیری ها در ساختار و تنظیمات شبکه (Network Configuration Vulnerabilities) و ده ها آزمون دیگر در شبکه های با سیم (Wired Networks) و شبکه های بی سیم (Wireless Networks) و ارائه راهکارهای مناسب فنی برای رفع آسیب پذیری های کشف شده ارائه میشوند.
- تست نفوذ وبگاه های اینترنتی
به طور کلی سرویس های تست نفوذ وبگاه های اینترنتی با بهره گیری از سه متد بین المللی شناخته شده نسخه چهارم پروژه منبع باز امنیت سامانه های وب (OWASP Testing Guide v4)، OSTMM از شرکت ISECOM و یا متد PTES و با توجه به نوع و ابعاد سامانه های تحت آزمون قرار گرفته، ارائه میگردند.
با توجه به نوع تست نفوذ سمت کلاینت یا سمت سرور، آزمون هایی همچون تزریق (Injection)، احراز هویت ناقص ( Broken Authentication)، تزریق اسکریپت (XSS)، کنترل دسترسی معیوب (Broken Access Control)، عدم تنظیمات صحیح امنیتی (Security Misconfiguration) و ده ها آزمون دیگر بر روی سامانه های تحت آزمون انجام میگردد.
- تست نفوذ نرم افزار موبایل
در این بخش با بهره گیری از جدیدترین متدهای بین المللی تست نفوذ از جمله پروژه منبع باز موبایل (OWASP Mobile Top 10) در محیطی شبیه سازی شده، متخصصین اقدام به انجام تست نفوذ بر روی ضعف ها و آسیب پذیری های امنیتی از قبیل ذخیره سازی ناامن اطلاعات (Insecure Data Storage)، ارتباطات ناامن (Insecure Communication)، احراز هویت ناامن (Insecure Authentication)، رمز نگاری ناکافی (Insufficient Cryptography)، مجوز های ناامن (Insecure Authorization) و غیره برروی نرم افزارهای مختلف بهرهمند از سیستم عامل های اندروید و آی او اس برای مشتریان خواهد نمود.
- تست نفوذ سامانه های صنعتی
تامین امنیت و امن سازی انواع سامانه ها و کنترلر های صنعتی (Industrial Control System) همچون SCADA، DCS و PLC با توجه به استفاده گسترده در بخش های مختلف اعم از انرژی، درمان و خدمات عمومی از اهمیت فوق العاده بالا و حیاتی برای کشورمان برخوردار است. در کنار مشکلات امنیتی که مستقیما این سامانه ها را تهدید میکند، اتصال این سامانه ها به شبکه های ارتباطی سازمانها گرچه دسترسی و تعامل با این سامانه ها را راحتر میکند ولی به همان نسبت سطح تهدیدات امنیتی را گسترش میدهد.
سیاستهای امنیتی سازمان (Security Policies)، امنیت کنترلر ها و تنظیمات امنیتی(ICS Secure Configuration) ، امنیت شبکه های ارتباطی ، امنیت پروتکل های ارتباطی بکار گرفته شده، بخش بندی و جداسازی فیزیکی و مجازی شبکه (Network Segmentation) از جمله موارد مهمی هستند که برای بخش تست امنیت سامانه های صنعتی مورد تست قرار میگیرند.
- تست نفوذ با روشهای مهندسی اجتماعی
مهندسی اجتماعی (Social Engineering) یا به تعریف برخی از روانشناسان هنر فریب(Art of Deception) گرچه نسبت به دیگر تست های نفوذ نیازمند بهره گیری کمتری از مسایل فنی است ولی بدون شک یکی از موثرترین روشهای نفوذ و گردآوری اطلاعات حساس سازمان ها و شرکتهای مختلف با بهره گیری از تکنیک ها و ترفند های روانشناختی است.
در تست نفوذ با بهره گیری از روشهای مهندسی اجتماعی متخصص نفوذ تلاش خواهد کرد با استفاده از ترفند های مختلف و متقاعد کردن کارکنان سازمان یا موسسه تحت تست قرار گرفته به اطلاعات حساس از جمله رمزهای عبور، اطلاعات شخصی کارکنان، اطلاعات مدیران و دیگر اطلاعات مهم دسترسی پیدا کند.
برخلاف تصور عمومی این روش کارکرد و شانس موفقیت فوق العاده بالایی دارد و خصوصا در سازمانهایی که کارکنان آموزشهای لازم را ندیده باشند احتمال موفقیت این روش از دیگر روشهای تست نفوذ به مراتب بیشتر بوده و یکی از سریعترین روشها برای جمع آوری اطلاعات است. در مقالات بعدی با مهندسی اجتماعی و اهمیت آموزش کارکنان با این روش بیشتر آشنا خواهیم شد.
ارزیابی امنیتی (Vulnerability Assessments)، که از جهات مختلف شباهت هایی به تست نفوذ دارد و همچون سرویس ها تست نفوذ بخشهای امنیت شبکه، امنیت سامانه ها و وبگاه ها، نرم افزارهای موبایل و سامانه های صنعتی را در بر میگیرد، یکی دیگر از روشهای موثر ایمن سازی از طریق سنجش امنیتی بخش های مختلف سیستم ها و سامانه هایی که نیازمند برخورداری از پایداری و امنیت بالایی هستند است.
متخصصین امنیت فراوانی بر این باورند که ارزیابی امنیتی پیش نیاز تست نفوذ بوده و باید بعد از استقرار سیستم امنیتی سازمان و بهینه سازی های امنیتی و انجام ارزیابی های امنیتی اقدام به تست نفوذ به عنوان آخرین مرحله سنجش و ارزشیابی امنیت کرد.
در این میان یکی از شاخص ترین تفاوتهای بین تست نفوذ و ارزیابی امنیتی، عدم تلاش برای نفوذ (Penetration)و بهره گیری از آسیب پذیری های کشف شده (Exploitation) در ارزیابی امنیتی برخلاف تست نفوذ است. در ارزیابی امنیتی معمولا با توجه به قرارداد منعقد شده ساختار آی تی سازمان با ابزارهای تخصصی دستی و اتوماتیک اسکن شده و نتایج حاصله به صورت مکتوب و مدون برای بهینه سازی های امنیتی در اختیار متقاضی قرار میگیرد.
از دیگر تفاوتها بین تست نفوذ و ارزیابی امنیتی، برخلاف تست نفوذ که با توجه به نوع و حساسیتهای سیستم ها معمولا به صورت دوره ای و هر شش ماه یا یک سال یک بار انجام میگردد، ارزیابی امنیتی باید به صورت مداوم و برنامه ریزی شده خصوصا در زمان هایی همچون تغییرات ساختاری در سیستم های نرم افزاری یا سخت افزاری نصب شده، تغییرات در تنظیمات شبکه یا سامانه های وب صورت میگیرد و یا هنگامی که آسیب پذیری های جدید کشف و منتشر میشوند برای اطمینان از عدم تحت تاثیر گرفتن ساختار شبکه و آی تی سازمان انجام گردد.
اصولی ترین روش بهره گیری از مزایای ارزیابی امنیتی برای سازمانها و شرکتها ادغام دائمی آن با برنامه آی تی سازمان و انجام مداوم آن با فاصله های زمانی کوتاه است.
