خانه / مقالات آموزشی / تست نفوذ یا penetration testing
پیش‌نویس خودکار

تست نفوذ یا penetration testing

تست نفوذ (penetration testing) عبارت است از شبیه‌سازی حملات واقعی جهت ارزیابی مخاطرات مربوط به نقض امنیتی بالقوه. در تست نفوذ، تسترها نه تنها آسیب‌پذیری‌هایی را که می‌تواند توسط مهاجمان مورد استفاده قرار گیرد، کشف می‌کنند، بلکه در صورت امکان، آسیب‌پذیری‌ها را به منظور ارزیابی آنچه که ممکن است مهاجمان بعد از بهره‌برداری موفق به دست بیاورند، مورد استفاده قرار می‌دهند. در ادامه یادداشت penetration testing با وب تازان همراه باشید.

پیش‌نویس خودکار   تست نفوذ

در مواقعی یک خبرنامه در مورد آسیب یک شرکت بزرگ توسط یک حمله سایبری منتشر می‌شود. اغلب مهاجمان از آخرین و بزرگترین zero-day ها (آسیب پذیریهای وصله نشده توسط ناشران نرم افزاری) استفاده نمی‌کنند.

بررسی حملات SQL در تست نفوذ

شرکت‌های بزرگ با بودجه‌های قابل ملاحظه امنیتی، قربانی آسیب‌پذیری‌های تزریق SQL تست نفوذ:در وب سایت‌هایشان، حملات مبتنی بر مهندسی اجتماعی علیه کارکنان، کلمات عبور ضعیف در سرویس‌های اینترنتی و غیره هستند. به عبارت دیگر، شرکت‌ها در حال از دست دادن داده‌های خصوصی و افشای اطلاعات شخصی مشتریان خود از طریق حفره‌های امنیتی قابل اصلاح می‌باشند. در تست نفوذ، این مسائل را قبل از اینکه یک حمله انجام شود، پیدا کرده و توصیه می‌شود چگونه آنها را تعمیر و از آسیب‌پذیری‌های آینده جلوگیری نمود.

پیش‌نویس خودکار

دامنه تست نفوذ شما از مشتری به مشتری متفاوت خواهد بود. بعضی از مشتریان وضعیت امنیتی عالی دارند، در حالی که برخی دیگر آسیب‌پذیری‌هایی دارند که به مهاجمین اجازه می‌دهد در محیطشان رخنه کرده و دسترسی به سیستم های داخلی را به دست آورند. شما همچنین می‌توانید ارزیابی یک یا چند برنامه کاربردی وب سفارشی را انجام دهید. شما ممکن است حملات مبتنی بر مهندسی اجتماعی و سمت مشتری را برای دسترسی به شبکه داخلی مشتری اجرا کنید. بعضی از تست نفوذ نیازمند آن هستند که مانند کارمند داخلی عمل کنید – یک کارمند مخرب یا مهاجم که قبلا در محیط رخنه کرده است – همانطور که یک تست نفوذ داخلی انجام می‌دهید. برخی از مشتریان، یک تست نفوذ خارجی را درخواست می‌کنند که در آن یک حمله از طریق اینترنت شبیه‌سازی گردد. برخی دیگر ممکن است ارزیابی امنیت شبکه‌های بی‌سیم در دفتر کاری خود را تقاضا نمایند. در بعضی موارد ممکن است حتی کنترل‌های امنیتی فیزیکی مشتری را بررسی کنید.

تست نفوذ با مرحله پیشبرد مشارکت (pre-engagement) آغاز می‌شود که شامل گفتگو با مشتری در مورد اهداف تست نفوذ، نگاشت دامنه (وسعت و پارامترهای تست) و غیره است. وقتی تستر نفوذ و مشتری در مورد دامنه، فرمت گزارش و سایر موضوعات به توافق رسیدند، تست نفوذ واقعی آغاز می‌شود.

  پیش‌نویس خودکار   مراحل تست نفوذ

جمع آوری اطلاعات در تست نفوذ

در مرحله جمع‌آوری اطلاعات در تست نفوذ، تستر نفوذ اطلاعات موجود در مورد کلاینت را جستجو می‌کند و راه‌های بالقوه اتصال به سیستم‌های آن را شناسایی می‌کند. در مرحله مدل سازی تهدید (threat modeling) اگر یافته ها اجازه دهد مهاجم به سیستم وارد شود، تستر از این اطلاعات برای تعیین ارزش هر یافته و تأثیر آن بر مشتری استفاده می‌کند. در تست نفوذاین ارزیابی به تستر نفوذ اجازه می‌دهد تا برنامه عملیاتی و روش‌های حمله را توسعه دهد.

پیشبرد مشارکت قبل از تست نفوذ

قبل از آغاز تست نفوذ، تسترهای نفوذ تراکنش‌های پیشبرد مشارکت با مشتری را انجام می‌دهند تا اطمینان حاصل شود که همه در صفحه یکسان از تست نفوذ هستند. عدم ارتباط بین تستر نفوذ و مشتری که منتظر اسکن آسیب‌پذیری ساده است، می‌تواند منجر به یک وضعیت دشوار شود زیرا تست نفوذ مزاحمت بیشتری ایجاد می‌کنند.
مرحله پیشبرد مشارکت در تست نفوذ، زمانی است که شما باید وقت خود را برای درک اهداف کسب و کار مشتری برای تست نفوذ در نظر بگیرید. اگر این اولین تست نفوذ آنهاست، چه چیزی موجب شده است تا تستر نفوذ را پیدا کنند؟ در مورد افشای چه مواردی، بیشتر نگران می‌شوند؟ آیا آنها دستگاه‌های شکننده‌ای دارند که هنگام تست باید مراقب باشید؟ سوالاتی مربوط به کسب و کار مشتری بپرسید. چه موضوعاتی برای آنها مهم‌تر است؟ به عنوان مثال، برای یک فروشنده اینترنتی آنلاین، ساعت‌های خرابی، به معنی از دست رفتن هزاران دلار درآمد می‌باشد.

  پیش‌نویس خودکار   تست نفوذ

یک بانک محلی، داشتن سایت‌های بانکی آنلاین که برای ساعات کمی خراب می‌شوند ممکن است تعداد اندکی از مشتریان را آزار دهد، اما این خرابی تقریبا به اندازه‌ی مصالحه از یک پایگاه داده کارت اعتباری مخرب نیست. برای یک کارشناس امنیت اطلاعات، داشتن صفحه اصلی حاوی پیام‌های نامتعارف از طرف مهاجمین می‌تواند به اعتبار سازمان خدشه وارد کرده و منجر به از بین رفتن بخش اعظم درآمد سازمان خواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *