رد کردن لینک ها

تست نفوذ و امنیت

در جوامع امروزی، تلاش برای بهبود وضعيت كنونی (در هر زمان و مكان و هر موقعيتی) به يك اصل تبديل شده است. در واقع يكی از اصول مهم در تمامی سطوح و گرايشهای كليه استانداردها، در پيش گرفتن فرآيندهايی است كه بهبود وضعيت را در پی داشته باشد. بخصوص اين امر در تكنولوژی اطلاعات يكی از اصول  تخطی ناپذير و غير قابل اجتناب است. حال اگر وارد حيطه شبكه های كامپيوتر و نيز نرم افزارهای گوناگون شويم، بايد برای اين فرآيند، راه های متناسب با آن را اتخاذ كنيم. يكی از عمومی ترين و مهمترين راه حلها در اين بخش استفاده از فرآيند تست نفوذ است. نفوذ كردن به شبكه های كامپيوتری و دسترسی به منابع يك شبكه، در حالت معمول، امری غير قانونی تلقی می شود. اما يك متخصص امنيت، با بستن قراردادی با صاحبان و مديران شبكه و يا يك نرم افزار ، علاوه بر قانونی كردن آن، نتايج آن را به نفع شما باز می گرداند. او از ديد يك هكر به برنامه يا شبكه شما نگريسته و تلاش مي كند تا كليه مشكلات و شكاف های امنيتی آن را شناسايی و به شما ارائه دهد. بدين وسيله، شما با رفع اين معايب،علاوه بر بالابردن ميزان امنيت سرويسهای خود و جلب رضايت بيشتر مشتريان، راه را بر نفوذگران مخرب سد می كنيد.

تیم امنیتی جهان پردازان پیشگام هشتم به منظور ارائه راه کار‌های یکپارچه حرفه‌ای در زمینه شبکه و امنیت اطلاعات و پاسخ به نیاز های روز افزون دستگاه های اجرایی و بخش خصوصی در سطح استان و کشور، آماده ارائه خدمات می باشد. امید است با توجه به تخصصی شدن کلیه کارها در کشور، ما نیز بتوانیم از توانمندی های خود در راستای ارتقای سطح کیفی در اجرای امنیت شبکه های کامپیوتری در صنعت فناوری اطلاعات کشور گامی مهم و محکم برداریم.

ارزیابی های امنیتی

هر شرکت و سازمانی برای رتبه بندی سطح امنیتی خود بر روی منابع شبکه اش، از روش های مختلفی برای ارزیابی امنیتی استفاده میکند. صاحبان مشاغل باید روش ارزیابی خود را بر اساسی انتخاب کنند که به موقعیت و پیش نیاز های شبکه شان متناسب در بیاید. به عبارتی هرکسی نمیتواند بنا به دلخواه خود از هر روشی استفاده نماید و باید ببیند که ایا آن روش نسبت به موقعیت شبکه، انتظارات را برآورده خواهد نمود یا خیر. افرادی که از روش های مختلف برای ارزیابی امنیتی استفاده میکنند باید مهارت های مختلفی را دارا باشند. بنابراین انجام دهنده تست نفوذ، چه یکی از افراد شرکت باشد و چه یک شرکت واسط، باید تجربه کافی در بحث تست نفوذ را داشته باشند. دسته بندی ارزیابی امنیتی شامل بازرسی مورد به مورد امنیت، ارزیابی آسیب پذیری و تست نفوذ یا هک قانونی میباشد.

استفاده از شبکه‌های کامپيوتری علاوه بر امکانات و تسهيلاتی که در اختيار سازمان ها قرار می دهد آنان را در معرض مشکلات و خطراتی نيز قرار می دهد . اين خطرات و مشکلات هنگامی شبکه‌ها را در معرض خطر قرار می دهد که شبکه‌ها از طراحی و مديريت صحيح و امنی برخوردار نباشند. بدين ترتيب اين شبکه‌ها راه هایی را ندانسته برای هکرها و ويروسها باز می گذارند. و با هک شدن شبکه‌ها يا با آلوده شدن آنها به ويروس‌های مختلف ضررهای جبران ناپذيری به شبکه وارد می شود. بنابراين ايجاد امنيت از طريق طراحی صحيح و مديريت مناسب يک شبکه اولين اولويت برای هر شبکه می­باشد.

در راستای ارزيابی و يافتن نقاط ضعف امنيتی موجود، از روش های مختلف تست نفوذ پذيری استفاده می گردد. در اين تست‌ها با استفاده از تكنيك های هك، يك حمله واقعی را شبيه سازی می كنند تا به اين وسيله سطح امنيت يك شبكه يا سيستم را مشخص كنند. اين امر به يك سازمان كمك می كند تا در زمينه تشخيص، توانایی پاسخ و تصميم مناسب در زمان خود، بر روی امنيت شبكه خود يك ارزيابی واقعی داشته باشد. نتيجه اين تست يك گزارش می باشد كه برای اجرایی شدن و بازرسی های تكنيكی مورد استفاده قرار می گيرد.  شرکت امنیتی جهان پردازان پیشگام هشتم با تکیه بر کارشناسان کارآزموده و متخصص در زمینه‌های سنجش آسیب‌پذیری ( تست نفوذ) و ارزیابی امنیتی و برنامه ‌نویسی و همچنین با پیروی از متدولوژی‌ها و استانداردهای مطرح این زمینه، می‌تواند خدمات ارزشمندی را به سازمان ها ارائه دهد.

طبقه بندی ارزیابی امنیتی

ارزیابی امنیتی بطور گسترده به سه شاخه تقسیم میشوند:

ممیزی امنیت (Security Audit)

ممیزی امنیت نوعا با تمرکز بر روی افراد و فرآیندها، امنیت را در سطح شبکه طراحی، پیاده سازی و مدیریت میکند. این موضوع خط مبنایی میشود برای درگیر کردن دو مقوله قوانین و فرآیندها در یک شرکت. در یک ممیزی امنیت، ارزیاب، قوانین امنیتی سازمان و روش ها همگی از یک خط مبنا استفاده میکنند. مدیریت IT معمولا از ممیزی امنیت شروع میشود. موسسه بین المللی استاندارد و تکنولوژی (NIST)، نحوه و نوع اجرای ممیزی امنیت را در قالب کتابچه ای تدوین کرده و مجموعه ابزارهای مرتبط را با نام ASSET  در اختیار گذارده است.

  • یک ارزیابی امنیتی، سنجشی نظام‌مند از انطباق معیارهای امنیتی یک سازمان با مجموعه ای از شاخص های امنیتی استاندارد است.
  • ارزیابی امنیتی شامل بازرسی از پیکربندی نرم افزار و سخت افزار سیستم ها، تدابیر امنیتی فیزیکی، فرآیند مدیریت دیتا و آمادگی کاربران در شناخت لیستی از قوانین استاندارد و روش اجرای آن ها.
  • یک ممیزی امنیتی این اطمینان را میدهد که یک سازمان مجموعه ای از قوانین امنیتی استاندارد را داشته و اجرا میکند.
  • ممیزی امنیت عموما در دستیابی و بیان تطابق با مجموعه ای از پیش نیازهای نظارتی و قانونی مثل HIPPA ، SOX ، PCI-DSS  و … بکار میرود.

 بازرسی آسیب پذیری (Vulnerability Assessments)

روش اسکن شبکه، کمک میکند. با کمک ابزار اسکن آسیب پذیری، شما میتوانید بخش های مختلف شبکه را برای یافتن دیوایس های دارای IP فعال و شمارش سیستم ها، سیستم های عامل و اپلیکیشن ها جستجو کنید. اسکنرهای آسیب پذیری این قدرت را دارند تا پیکربندی دیوایس ها که شامل نسخه سیستم عامل، پروتکل های IP، پورت های TCP/UDP  که در حال شنود هستند و اپلیکیشن های نصب شده بر روی سیستم ها میباشد را نیز شناسایی کنند. با استفاده از اسکنرهای آسیب پذیری، علاوه بر موارد گفته شده، خواهید توانست اشتباهات رایج امنیتی مانند اکانت هایی با پسورد ضعیف، فایل و فولدرهایی با Permission ضعیف، سرویس ها و اپلیکیشن های پیش فرضی که باید پاک شوند و اشتباه در پیکربندی امنیتی، اپلیکیشن های رایج را شناسایی نمایید. این ابزار میتوانند کامپیوترهایی را که در معرض آسیب پذیری های معروف و شناخته شده گزارش شده هستند را شناسایی کنند. نرم افزارهایی که اسکن آسیب پذیری را انجام میدهند، سیستم را در مقابل آسیب پذیری های مرسوم و تهدید کننده ها ( CVE) و همچنین نقاط امنیتی ای که شرکت های سازنده نرم افزار مشخص کرده است، اسکن نمایند.

CV  لیستی بی طرف و خنثی از طرف شرکت سازنده است که شامل آسیب پذیری های امنیتی گزارش شده در سیستم عامل های مهم و اپلیکیشن هاست.

تست نفوذ  (Penetration Testing)

تست نفوذ در دسته بندی بازرسی امنیت، در مرحله بعدی نسبت به اسکن آسیب پذیری قرار میگیرد. با اسکن آسیب پذیری، توانستید فقط امنیت فردی سیستم ها، دیوایس های شبکه یا اپلیکیشن ها را تخمین بزنید اما تست نفوذ بشما این اجازه را میدهد تا به مدل امنیتی شبکه، بطور کامل دسترسی پیدا کنید. تست نفوذ بشما کمک میکند تا از عمق اثرات حمله احتمالی به شبکه آگاه شوید. همچنین تست نفوذ نقاط ضعف امنیتی را که معمولا در اسکن های آسیب پذیری نشان داده نشده اند را برجسته میسازد.

هدف تست نفوذ فقط نشان دادن نقاط آسیب پذیر نیست بلکه دراین تست چگونگی سوء استفاده (Exploit) از ضعف های شبکه و و همچنین نحوه استفاده هکر از چندین آسیب پذیری جزئی برای تهدید کردن شبکه، مستند سازی میشوند. تست نفوذ باید به عنوان فعالیتی که حفره های امنیتی را در مدل کلی شبکه نشان میدهد، در نظر گرفت. چنین تستی به سازمان ها کمک میکند تا بین قدرت فنی و عملکرد تجاری خود از لحاظ نقض احتمالی امنیت، تعادل برقرار کند.

شما باید بین یک انجام دهنده تست نفوذ با یک هکر تفاوت قائل شوید؛ چرا که قصد هکر تخریب سرویس ها و منابع و یا دزدی از اطلاعات شبکه است؛ در حالی که هدف از انجام تست نفوذ برجسته شدن مشکلات و ضعف های موجود در شبکه به منظور برطرف سازی آن ها است. بنابراین باید کارمندان و یا افراد خارج از سازمان نظر به انجام تست نفوذ بدون احراز هویت و مجوز، هشدار داده شود.

استانداردهای تست نفوذ

کارشناسان امنیتی برای انجام تست نفوذ از استاندارد های زیر استفاده مینمایند :

  • ISO/IEC 27001
  • ISO/IEC 27002
  • OSSTMM   ( Open Source Security Testing Methodology Manual )
  • OWASP 2017  (Open Web Application Security Project )
  • LPT   Licensed Penetration Tester methodology from EC-Council )
  • CVSS   Common Vulnerability Scoring System SIG )

روش های تست نفوذ

  • White Box 

در این حالت تیم تست نفوذ اطلاعات کامل در باره موضوع مورد تست دارد و همچنین دسترس به منابع داخلی شبکه نیز دارد. معمولا از این نوع تست برای ارزیابی آسیب پذیری های داخل شبکه استفاده می شود .

  • Gray Box  

در این حالت دسترسی به منابع داخلی محدود می باشد و اطلاعات کاملی در اختیار تیم قرار نمی گیرد.

  • Black Box

در این حالت هیچ گونه دسترسی و اطلاعاتی به تیم تست نفوذ داده نمی شود .معمولا این نوع تست نفوذ برای وب سرور ها و برنامه های کاربردی تحت وب انجام می شود .

شرکت امنیتی جهان پردازان پیشگام هشتم  جهت انجام تست نفوذ پذيري میتواند از هر ۳ روش بالا استفاده نماید اما معمولا روش White Box  پیشنهاد میگردد، بدين ترتيب که کارفرما با در اختيار گذاشتن دو نود از شبکه خود و ارائه دسترسي‌هاي عمومي به کارشناسان تست نفوذ امکان اين تست‌ها را فراهم مي‌نمايد. سپس تست‌های زیر توسط متخصصان تست نفوذ صورت می‌گیرد:

  • پيمايش و بازديد از شبكه
  • مروركردن وضعيت پورت ها
  • مشخصات نرم افزاري سيستم ها
  • پويش در زمينه سرويس ها
  • تست شبكه در مقابل آسيب پذيري ها
  • استفاده از اكسپلويت هاي موجود و مقاومت سيستم ها
  • تست برنامه ­هاي کاربردي
  • تست هاي نفوذ در به دست آوردن پسورد ها
  • تست حملات تكذيب سرويس
  • ارزيابي امنيتي شبكه هاي بيسيم
  • بررسي دسترسي هاي از راه دور
  • تست نفوذپذيري روترها و تجهيزات برقرارکننده ارتباطات
  • تست نفوذپذيري تجهيزات و نرم­افزارهاي امنيتي شامل : Firewall ، IDS, IPS و ….
  • تست نفوذپذيري بانک اطلاعاتي

در پايان با توجه به اطلاعات جمع آوري شده از مراحل تست، گزارشات تست تهيه و تدوين مي‌گردد و وضعيت شبکه با توجه به آيتم‌هاي عنوان شده تعيين مي‌گردد. بدين ترتيب که وضعيت ريسک هر آيتم ارزيابي و مشخص مي‌گردد و در نهايت با توجه ارزيابي‌هاي صورت گرفته وضعيت کلي شبکه مشخص مي‌گردد.

ارائه نتایج تست نفوذ

نتایج تست باید حاوی راه حل هایی برای کاهش و یا حذف آسیب پذیری ها باشد. تفاوت اصلی ممیزی امنیتی و تست نفوذ در نکته مذکور است. باید یک برنامه زمانی برای رفع آسیب پذیری های کشف شده نیز ارائه گردد و بعد از آن دوباره سیستم را برای اطمینان از رفع آسیب پذیری های مذکور بررسی کرد. راه حل های ارائه شده بستگی به نوع آسیب پذیری ها دارد و در آنها باید هزینه هایی که بر شرکت در صورت سوءاستفاده از آسیب پذیری تحمیل می شود و همچنین هزینه راه حل آورده شود. برای مثال ممکن است در یک راه حل خواسته شود سیستم های جدیدی که برای وب سرور مورد استفاده قرار می گیرند قبل از نصب تست شوند و در یک راه حل دیگر خواسته شود تا ایمیل های ارسالی درون سیستم، ابتدا به یک میل سرور مرکزی ارجاع و سپس برای گیرنده ارسال شوند.