ارزیابی عملکرد و تست نفوذ

تست نفوذ یا Penetration Test یک عملیات یا حمله شبیه سازی شده است که به صورت آزمایشی روی سیستمهای نرم افزاری و سخت افزای برای بررسی، تشخیص و رفع نقاط آسیب پذیری احتمالی اجرا می‌شود.

نقاط ضعف احتمالی می‌تواند در سطح سخت افزار، سیستم عامل، انواع سرویسها، برنامه های کاربردی، رفتارشناسی کاربران نهایی، استراتژیهای تهیه نسخه پشتیبان و انواع بروزرسانی‌ها وجود داشته باشد.

فرآیند اجرایی تست نفوذ با استفاده از سیستمهای خودکار و همینطور دستورالعملهای دستی انجام می شود و حسب درخواست مشتریان می تواند موارد زیر را شامل شود:

سرورها به لحاظ سخت افزار، سیستم عامل، برنامه های کاربردی و سرویسها
ایستگاههای کاربری به لحاظ سخت افزار، سیستم عامل، برنامه های کاربردی و سرویسها و همینطور دانش کاربر در خصوص حفظ نکات امنیتی
سوئیچهای شبکه و وایرلس در سطوح مختلف شبکه
دستگاههای موبایل

حین انجام فرآیند تست نفوذ یا Penetration Test در صورت پیدا شدن آسیب پذیری احتمالی، تیم تست تمام تلاش خود برای دسترسی به تمامی منابع داخلی خواهد نمود تا عمق آسیب پذیری را به صورت کامل نشان دهد.

نهایتا گزارش تست به همراه پیشنهادات فنی در اختیار تیم فناوری اطلاعات کارفرما قرار خواهد گرفت.

آنچه بر اساس گزارشات نفوذ می توان استخراج نمود به شرح زیر هستند:

شناسایی و اولویت بندی خطرات و آسیب پذیریهای امنیتی
پیشگیری قبل از بروز حملات امنیتی
مدیریت هوشمندانه خطرات امنیتی

نهایتا گزارش تست به همراه پیشنهادات فنی در اختیار تیم فناوری اطلاعات کارفرما قرار خواهد گرفت.

آنچه بر اساس گزارشات نفوذ می توان استخراج نمود به شرح زیر هستند:

شناسایی و اولویت بندی خطرات و آسیب پذیریهای امنیتی
پیشگیری قبل از بروز حملات امنیتی
مدیریت هوشمندانه خطرات امنیتی

blog-What-is-Network-Penetration-Testing_

انواع تست نفوذ

همانطور که قبلا اشاره شد تست نفوذ در سطوح مختلف و با شرایط مختلف قابل انجام است، در ادامه به روال های استاندارد اجرا تست نفوذ اشاره شده است:

تست نفوذ وب:

این فرآیند به بررسی برنامه های کاربردی در بستر وب می پردازد و مواردی همچون خطاهای کدنویسی، احراز هویت، انواع مجوزها و آسیب پذیری های اینجکشن مورد بررسی قرار می گیرند.

تست نفوذ شبکه:

این فرآیند به بررسی تجهیزات و منابع شبکه به خصوص روترها، سوئیچها و هاستها تمرکز دارد.

تست نفوذ کلاد:

این فرآیند ویژه سرویسهای ابری طراحی و اجرا می گردد.

تست نفوذ اینترنت اشیا:

سامانه های مبتنی بر اینترنت اشیا به دلیل چند سطحی بود سرویسها و خدمات باید مورد بررسی دقیق در لایه های سخت افزاری، نرم افزاری و شبکه قرارگیرند. که این فرآیند متمرکز بر همین موضوع است.

تست نفوذ جعبه سیاه:

در این فرآیند هیچ گونه دسترسی به تیم تست داده نمی شود و تیم تست همچون یک مهاجم غیر مجاز شروع نفوذ به سیستم و استخراج اطلاعات می نماید. در واقع این شیوه معتبرترین شیوه تست نفوذ است.

تست نفوذ جعبه سفید:

این فرآیند از طریق ارائه دسترسی کامل سامانه ها به تیم تست انجام می گیرد تا به صورت شفاف تمام نقاط آسیب پذیری سامانه مورد نظر بررسی شوند.

تست نفوذ جعبه خاکستری:

طی این فرآیند اطلاعات محدودی در خصوص سامانه مورد تست در اختیار تیم تست قرار می گیرد تا امنیت سامانه مورد بررسی قرار گیرد.

حملات تیمی و تست نفوذ:

شیوه‌ای جدید که برای بررسی نفوذ پذیری سیستم مورد توجه قرار گرفته است که دو تیم در مقابل هم و در واقع در قالب یک کار گروهی بزرگ در دوجهه دفاع و حمله قرار می گیرند تا بررسی دقیقتری از میزان مقاومت و نفوذ پذیری سیستم داشته باشند.

ساختار تیمی

رد تیم یا تیم قرمز:

این تیم وظیفه تهاجم به سامانه از هر طریق ممکن را دارد.

بلو تیم یا تیم آبی:

این تیم وظیفه دفاع و انجام اقدامات امنیتی و حفاظتی عهده دارد.

پریل تیم:

این تیم بر فرآیند انجام وظیفه دو تیم آبی و قرمز نظارت دارد و جمع بندی نهایی توسط این تیم انجام خواهد شد.

penetration-testing-step-by-step-process

مراحل تست نفوذ:

برنامه ریزی
کشف نقاط ضعف احتمالی
تلاش برای نفوذ و بهره برداری
تحلیل و ارائه گزارش
پاکسازی و اصلاح
تست دوباره

ابزارهای تست نفوذ:

6321a0f076706854ff591093_All about BurpSuite

تست نفوذ یک فرآیند امنیتی است که می بایست به صورت دوره ای و به خصوص اعمال هر گونه تغییرات انجام پذیرید، تیم دیجیکار به صورت تخصصی آمادگی ارائه خدمات تست نفوذ را دارد. در صورت تمایل به اطلاعات بیشتر با ما تماس بگیرید.

ارزیابی عملکرد و تست نفوذ