آزمایش نفوذ چیست؟

در دنیای دیجیتالی مدرن ، اطلاعات یکی از گرانترین کالاها است. امروزه بیشتر داده ها در سرورهای خصوصی و در امکانات ابری عمومی ذخیره می شوند. اگر یک شبکه شرکتی به اینترنت متصل باشد ، که در تجارت مدرن همه جا وجود دارد ، دیر یا زود کسی سعی می کند آن را نقض کند - از علاقه کامل و یا به دنبال داده های ارزشمند. علیرغم تلاش های قابل توجهی ، بسیاری از شرکت ها و فروشندگان ابری برای اطمینان از ایمنی داده های ذخیره شده و کار بر روی آنها ، آنچه که یک انسان ساخته است ، دیگری می تواند شکسته شود. آن را با مواردی که اطلاعات حساس به لطف فاکتور انسانی فاش می شود ، مانند یکی از بزرگترین موارد اخیر - اولین نقض شرکت آمریکایی - که بیش از 850 میلیون سوابق مشتری را در معرض دید قرار داده است ، آشکار می شود و می توانید تصویری دریافت کنید.

هرگونه فعالیت پر سود ، توجه افرادی را که به دنبال کسب درآمد آسان هستند ، جلب می کند. هکرهای کلاه سیاه اطلاعات تجاری و شخصی را برای تقاضای باج ، باج خواهی یا فروش به بالاترین پیشنهاد دهنده سرقت می کنند. بنابراین ، همه ما داستانهایی در مورد نقض داده های موفق و خسارت های شهرت و مالی وحشتناک که این امر به وجود می آورد ، شنیدیم. چنین تصادفاتی که اخیراً اتفاق می افتد ، اتفاق می افتد ، حتی در بنگاه های تراشه آبی نیز خراب می شود تا چیزی از سرخ کردن کوچکتر بگوید

ضررهای مالی ناشی از نقض امنیت داده ها به تعداد شش رقمی سالانه با وجود اقدامات امنیتی انجام شده توسط شرکت ها ، الگوی رشد پایدار را نشان می دهد. قرار گرفتن در معرض داده های مشتریان 53 میلیون دلار Desjardins Group ، Norsk Hydro تا 75 میلیون دلار برای تأمین خسارات وارده به حمله سایبری هزینه کرد ، British Airways در کل صورتحساب 100 میلیون دلار که ناشی از نقض GDRP بود ، پرداخت. به طور طبیعی ، این موارد مهم است ، با این حال ، طبق گزارش IBM 2019 ، میانگین مبلغی که شرکت ها باید برای جبران خسارت داده ها ، ویرانگرها را به تقریباً 4 میلیون دلار افزایش دهند - رشد 12 ٪ حیرت انگیز فقط در پنج سال!

با توجه به اینکه دامنه فاجعه بسیار وحشتناک تر می شود ، مشاغل سعی می کنند با استراتژی های مؤثر محافظت از داده ها روبرو شوند. ما به عنوان یک کارشناسان حفاظت از داده ها ، ما آزمایش نفوذ را به عنوان سنگ بنای هر استراتژی محافظت موفق در نظر می گیریم.

آزمایش نفوذ: این چیست؟

این عمل خودکار یا دستی که تحت یک نام کوتاه تر از آزمایش قلم و یک حسن تعبیر "هک شدن اخلاقی" شناخته شده است ، شامل دستکاری با رایانه ، شبکه یا برنامه است. چرا کسی موافقت می کند که سخت افزار و نرم افزار خود را به دام بیندازد (حتی اگر این فقط باور باشد)؟پاسخ ساده است: هکرهای کلاه سفید قابل اعتماد و رسمی که از این نفوذ استفاده می کنند می توانند آسیب پذیری های سیستم را که هکرهای واقعی ممکن است از آنها سوءاستفاده کنند ، شناسایی کنند.

در کنار این هدف اصلی ، آزمایش نفوذ ممکن است برخی از اهداف وثیقه از جمله ارزیابی سیاست امنیت شرکت ها به عنوان یک کل ، نظارت بر رعایت یک سازمان با الزامات قانون ، سنجش آگاهی از پرسنل و صدور توانایی یک شرکت در تشخیص و واکنش به مسائل امنیتی داشته باشد. تنوع اهداف آزمایش نفوذ را می توان با طیف گسترده ای از سیستمهایی که برای آن اعمال می شود توضیح داد.

نتایج یک آزمون در گزارشی منعکس شده است که به عنوان یک راهنما برای سازمان برای اصلاح طرح های سرمایه گذاری امنیتی خود برای پیش بینی تلاش های احتمالی هک کردن ارائه می شود. اگر مشروط بر خلاف یک برنامه بود ، آسیب پذیری های امنیتی آن برای توسعه دهندگان آشکار می شود که به آنها اجازه می دهد اصلاحات لازم را ارائه دهند.

مزایای آزمایش نفوذ

آزمایش نفوذ از بسیاری جهات مفید است:

• این اجازه می دهد تا ضعف های امنیتی سیستم ها یا نرم افزار را نشان دهد. آنچه مهم است ، نه تنها ماشین آلات و عملکرد آنها می تواند به هدف بررسی تبدیل شود. مأمورین آزمایش اقدامات و عادتهای کاری کارمندان خود را بررسی می کنند که ممکن است خطر امنیتی را ایجاد کند.
• این از حملات سایبری در زندگی واقعی تقلید می کند. کارشناسان این حوزه می دانند که هکرها هنگام دستکاری در نرم افزار و شبکه های شما چه هدف دارند. بنابراین ، آنها نه تنها می توانند به زمینه های نگرانی اشاره کنند بلکه دلهره های شما را نسبت به سایر عناصر سیستم که ممکن است شما را ناامن تلقی کنید ، برطرف می کنند.
• این توانایی شما در واکنش به چالش ها را نشان می دهد. هر مسئله امنیتی باید سریع و به درستی از بین برود. در حالت ایده آل ، سازمان باید با رویه های سیستماتیک واکنش به نقض تهدیدها ، برنامه مفصلی داشته باشد. آزمایش به شما این امکان را می دهد تا ببینید که آیا چنین برنامه هایی به خوبی کار می کنند یا ضرورت داشتن آن را تأکید می کنند.
• این مراحل تجاری صاف را تضمین می کند. در نهایت ، آزمایش نفوذ برای ارائه عملکرد بی وقفه یک سازمان فراخوانی می شود. هرگونه نقض امنیتی منجر به عدم دسترسی به شبکه یا نرم افزار می شود ، که به خرابی ناخواسته تبدیل می شود که بر تجارت تأثیر می گذارد. بنابراین ، آزمایش نفوذ به عنوان نوعی حسابرسی مداوم در تجارت است.
• این یک نظر شخص ثالث را ارائه می دهد. همانطور که گفته قدیمی آن را دارد ، هیچ کس پیامبر در سرزمین خود نیست. بنابراین اگر کسی در یک سازمان مشکلی را تشخیص دهد ، این احتمال وجود دارد که مدیریت ممکن است هشدار را به طور جدی درمان نکند. اگر همین کار توسط افراد خارجی انجام شود (به ویژه مواردی که دارای صلاحیت کافی هستند) ، احتمال اینکه مدیران توجه کنند توصیه های آنها به صورت نمایی افزایش می یابد.
• این به شما امکان می دهد تا از هنجارهای قانونی پایدار باشید. به عنوان مثال ، در مقررات PCI و استاندارد ISO 27001 ، آزمایش های نفوذ سیستماتیک و بررسی های امنیتی متعاقب آن برای مشاغل عمومی مدرن که به دنبال فعالیت بین المللی هستند ، الزامی است.
• این اعتماد مشتری را تقویت می کند. این شرکت به دلیل سیاست امنیتی سخت و مداوم خود ، اعتماد به نفس را القا می کند ، که پایه و اساس محکمی برای وفاداری دیرینه است.

آزمایش نفوذ: سؤالات متداول

در اینجا پاسخ های مختصری به سؤالاتی که اغلب در مورد آزمایش نفوذ مطرح می شود آورده شده است:

چند بار باید آزمایش انجام شود؟

آزمایش معمول حداقل سالانه انجام می شود. با این حال ، آزمایش های اضافی ممکن است در صورت تغییر عمده در سازمان ، مانند اضافه کردن زیرساخت های جدید یا بازسازی قابل توجه در موجود ، باز کردن دفاتر جدید ، معرفی نرم افزار امنیتی جدید ، تجدید نظر در سیاست های کاربر نهایی و غیره توصیه شود.

چه کسی باید آزمایش را انجام دهد؟

شرایط انتخاب هکرهای اخلاقی ساده است: آنها نباید از اقدامات امنیتی فعلی شرکت اصلاح شده آگاه باشند و قابل اعتماد باشند. شرط اول روشن می کند که عوامل خارجی باید در آزمایش شرکت کنند تا حد ممکن شبیه حمله واقعی باشد. شرط دوم شما را ترغیب می کند تا با احتیاط به انتخاب آزمایش کنندگان قلم نزدیک شوید. شما باید متخصصان باتجربه را با پیشینه بی عیب و نقص و بررسی های عالی استخدام کنید. از این نظر ، UTOR تمام جعبه ها را تیک می زند و می تواند هرگونه انجام کارهای مربوط به امنیت را برای بهبود محافظت از سایبری شما انجام دهد.

آزمایش چگونه انجام می شود؟

به طور معمول ، آزمایش در طول پنج مرحله زیر.

1. ترتیبات مقدماتی

در این مرحله ، دامنه و هدف آزمایش و همچنین سیستم های آزمایش و روش های استفاده تعیین می شود. پس از اتمام ، تیم تست اطلاعاتی را در مورد شبکه ، نام دامنه ، سرورهای پستی و سایر عناصر زیرساخت های آزمایش شده تا کوچکترین آنها جمع می کند.

2. اسکن استاتیک و پویا

این تیم با اسکن اشیاء زیرساخت های آزمایش شده (هم در حالت جدا شده و هم در کل) ، می تواند درک کند که چگونه سیستم به تلاش های نفوذ واکنش نشان می دهد.

3. نقض

این مرحله اصلی آزمایش نفوذ است. تیم آزمایش با استفاده از تزریق SQL ، برنامه نویسی متقاطع ، پشتوانه و سایر روشهای هک کردن ، به دنبال آشکار کردن آسیب پذیری ها است. اشکهای کشف شده برای افزایش امتیازات ، رهگیری ترافیک ، سرقت داده ها و انجام کارهای مضر دیگر برای ایجاد خسارت احتمالی ، از آنها استفاده می شود.

4. نگهداری

تهدیدهای مداوم اشکالات و نقض هایی است که ماه ها در سیستم تحمل می شود و باعث می شود سرقت های مکرر داده ها را انجام دهد. تیم آزمایش سعی می کند ببیند که آیا هر یک از آسیب پذیری های شناسایی شده از چنین طبیعتی برخوردار است یا خیر.

5. گزارش تدوین

گزارش نهایی پس از اتمام آزمایش ترسیم شده است. این شامل جزئیات مربوط به آسیب پذیری های کشف شده ، داده های حساس که می توانستند یا می توانستند به آن وارد شوند ، شرایط نقض و زمانی که در طی آن آزمایش کنندگان موفق به عدم کشف در سیستم شدند.

چه نوع آزمایش قلم وجود دارد؟

چندین جهت آزمایش قلم وجود دارد:

1. آزمایش خارجی

در طی چنین آزمایشاتی ، وب سایت ها ، DNS (سرور نام دامنه) ، ایمیل و سایر منابع خارجی در دسترس قرار می گیرند. در آزمایش جعبه سفید ، که زیر مجموعه ای از آزمایش های خارجی است ، متجاوزان متقاضی در مورد اقدامات امنیتی که قبلاً توسط شرکت انجام می شود ، خلاصه می شوند.

2. آزمایش داخلی

این حمله توسط یک فرد متخلف از درون سازمان را شبیه سازی می کند.

3. آزمایش کور

همچنین به عنوان آزمایش جعبه سیاه شناخته می شود ، توسط کارشناسان امنیتی انجام می شود که فقط نام شرکت آزمایش شده را می دانند. همچنین به عنوان یک مته در زندگی واقعی برای کارکنان امنیتی عمل می کند.

4- آزمایش دو سو کور

این روش مشابه روش قبلی است اما به پرسنل شرکت از قبل از این تلاش هشدار داده نمی شود. این امر به ارزیابی آمادگی بخش امنیت داخلی و توانایی آن در تشخیص حملات غیر منتظره و کاهش نتایج آنها امکان می دهد.

5. آزمایش هدفمند

به نظر می رسد بیشتر از یک اقدام به هک کردن است ، زیرا در آزمایش هدفمند "قربانی" و "مجرم" در همکاری های نزدیک ارزیابی اقدامات یکدیگر انجام می شود. چنین رویکردی به کارکنان امنیتی اجازه می دهد تا نقاط برتری هکرها را در ارزیابی سیاست ها و اقدامات امنیتی شرکت خود اتخاذ کنند.

هر روشی که آزمایش کنندگان اعمال می کنند ، بدون ابزار آزمایش نمی توانند انجام دهند.

ابزارهای آزمایش نفوذ

امروزه ، مجموعه ای از ابزارهایی که می توانند برای آزمایش نفوذ مورد استفاده قرار گیرند وجود دارد ، بنابراین ممکن است تازه کار در این زمینه ضرر داشته باشد که یکی از آنها استفاده کند. تیم ما با داشتن تجربه قابل توجهی در این حوزه ، می تواند انتخاب شما را به کارآمدترین ابزارهای آزمایش قلم که بخشی از پشته تکنولوژیکی ما است ، محدود کند.

1. metasploit

این احتمالاً پرکاربردترین ابزار است. محبوبیت آن توسط دو ویژگی توضیح داده شده است: بسیار قدرتمند است (اجازه می دهد چندین آزمایش به طور همزمان انجام شود) و خودکار (برای استفاده از آن پس زمینه فنی اولیه لازم است). Metasploit دارای چندین ماژول است که هر یک برای اسکن یک سیستم خاص برای آسیب پذیری ها و بررسی اینکه آیا امکان سوء استفاده از آنها وجود دارد یا خیر. این کار بر اساس یک پایگاه داده گسترده بهره برداری که شامل اسکریپت های آسان برای بارگیری است ، کار می کند. در اصل ، بهره برداری کدی است که می تواند موانع امنیتی را با استفاده از آسیب پذیری شناخته شده یا چندین مورد ، دور بزند و یک بار بارگذاری را راه اندازی کند - یک کد دیگر ، که دسترسی به نرم افزار و سخت افزار هدفمند را فراهم می کند.

در حال حاضر ، Metasploit بیش از 1500 بهره برداری دارد ، از Rapid7 پشتیبانی تجاری دارد و با Linux ، Microsoft Windows و Apple MacOS سازگار است. از دیگر قلعه های آن در دسترس بودن رابط های کاربر خط فرمان و گرافیکی است. روند نزولی عمده هزینه استفاده بسیار بالایی است.

2. مجموعه Burp

یک مجموعه گران قیمت تست آزمایشی با هدف کارشناسان امنیتی. نسخه جامعه ارزان تر است ، اما از نظر عملکردی از نسخه سازمانی کم است ، که قیمت بالایی دوم را توضیح می دهد (از 4000 دلار در سال شروع می شود). علاوه بر گزینه های اسکن ، Burp Suite ضبط پروکسی ، تزریق فرمان و حتی یک ابزار آزمایش نفوذ (البته محدود) را ارائه می دهد.

علاوه بر این ، از همان سیستم عامل های Metasploit پشتیبانی می کند ، علاوه بر این ، امکان اتصال پسوندهای سفارشی ایجاد شده در زبانهای برنامه نویسی جاوا ، پایتون و روبی را فراهم می کند. Burp Suite با پوشش بیش از 100 آسیب پذیری ، می تواند تست های امنیتی برنامه تعاملی را نیز انجام دهد ، که همراه با مزایای قبلاً ذکر شده ، آن را به یک ابزار آزمایش بسیار محکم برای متخصصان تبدیل می کند.

3. ارزیابی آسیب پذیری نسوس

این ابزار تقریباً دو برابر ارزان است (کمی بیش از 2000 دلار در سال) اما نکات پایین تر از ماهیت محدودتر آن است. الگوهای 450+ آن برای تشخیص آسیب پذیری ها (از جمله رمزهای عبور پیش فرض ، تکه های منسوخ ، رله های ایمیل باز و تنظیمات خارج از انطباق) مورد توجه قرار می گیرد ، اما باید برای بهره برداری از آنها ابزارهای دیگری را اعمال کنید. با این حال ، در صلاحیت خود Nessus سلطنت می کند ، اسکن IP ، جستجوی داده های حساس ، تجزیه و تحلیل پورت های باز ، تشخیص بدافزار و سایر اقدامات شناسایی نقص نرم افزاری را فعال می کند.

دارایی های بی شماری از نسوس و سیاست تشویق بازخورد که بعداً در بهینه سازی این ابزار مورد استفاده قرار می گیرد ، با 2 میلیون بار بارگیری و 27000 شرکت از آن در سراسر جهان استفاده می کند. رابط کاربری آن مدتی طول می کشد تا تسلط داشته باشد ، اما شما می توانید اسکن های بسیار سریع را انجام دهید که ممکن است به عنوان یک مرحله اولیه برای حسابرسی PCI-DSS باشد.

4. apktool

Apktool در کاربرد آن بسیار خاص است. از آن برای معکوس مهندس باینری های اندرویدی استفاده می شود. با کمک APKTOOL ، یک کاربر می تواند یک برنامه را به شکل اصلی خود (از جمله منابع ، XML ها و مانیفست ها) رمزگشایی کند. این امکان را می دهد تا کارایی روشهای انسداد استفاده شده را بررسی کنید.

این ابزار همچنین دارای قابلیت اتوماسیون است. علی رغم اینکه یک ابزار باریک و باریک است ، Apktool یک مکان عالی برای طاقچه محدود خود است.

5. برش

برش یکی دیگر از ابزارهای مهندسی معکوس است. به طور دقیق تر ، این یک سکوی مبتنی بر Radare2 است. این امر جهانی تر از Apktool است زیرا به اجرایی مهندسی معکوس هر سه سیستم عامل اصلی دسک تاپ (لینوکس ، مکوس و ویندوز) و برخی از موارد جزئی از جمله BSD ، Solaris و Haiku اجازه می دهد. علاوه بر این ، از بایگانی Winrar ، باینری های خام ، به علاوه ده ها قالب پرونده دیگر و بیش از سی مجموعه دستورالعمل پشتیبانی می کند ، که مهمترین آنها Intel X86 و ARM است. یک لبه برش دیگر این است که این برنامه رایگان است - عاملی که می تواند در انتخاب این ابزار بسیار مهم باشد.

نتیجه

در دنیای معاصر ، امنیت سایبری یکی از نگرانی های اصلی هم برای افراد و هم برای سازمان ها است. آزمایش نفوذ برای ارزیابی روشهای دفاعی شرکتی ، آمادگی کارکنان ، کشف آسیب پذیری های پنهان ، اقدام به اقدامات ضد اقدامات به اقدامات احتمالی هک و محافظت از داده ها ، نرم افزار و زیرساخت ها طراحی شده است. تیم ما قادر به انجام آزمایشات با کیفیت بالا ، برجسته کردن مناطق مشکل ساز و ارائه دستورالعمل هایی برای بهبود سیاست امنیتی شرکت شما است. برای مشاوره حرفه ای با ما تماس بگیرید.