تست نفوذ یا Penetration Test یک پروسه مجاز، برنامهریزی شده و سیستماتیک برای به کارگیری آسیبپذیریها جهت نفوذ به سرور، شبکه و یا منابع برنامههای کاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یک سیستم یا شبکه کامپیوتری است که از طریق شبیهسازی حمله یک هکر یا نفوذگر خرابکار جهت شناسایی آسیبها صورت میگیرد. به بیان دیگر تست نفوذپذیری رویهای است که درآن میزان امنیت اطلاعات سازمان مورد ارزیابی قرار میگیرد. یک تیم مشخص با استفاده از تکنیکهای هک یک حمله واقعی را شبیهسازی میکنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک میکند که ضعفهای شبکه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آنها برآید.
یک عملیات تست نفوذسنجی چگونگی پاسخگویی یا بهتر بگوییم عکسالعمل سیستم هدف را در مقابل حمله انجامشده فارق از اینکه حمله بهصورت موفقیتآمیز یا ناموفق انجام شود و یا چه میزان اطلاعات از سیستم به دست میآید را بررسی و تشخیص میدهد. در این میان قدرت سیستمهای تدافعی سیستمهای اطلاعاتی که در این حمله دخیل هستند نیز ارزیابی میشود.
یک اقدام هماهنگنشده برای دسترسی بدون اجازه به منابع را نمیتوان یک تست نفوذ دانست بلکه تست نفوذ باید به صورت برنامهریزیشده و هماهنگ با صاحبان سیستم انجام شود. کمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تستها منجر به از کار افتادن تجهیزات شبکه یا سیستم میشوند و به همین علت آگاهی مدیران و کارمندان از انجام تست نفوذ یک ضرورت به حساب میآید.
ارزیابیهای امنیتی به سه گروه کلی طبقهبندی میشوند:
تست نفوذسنجی جعبه سفید (White Box Penetration Test): در این نوع تست نفوذ که تست جعبه پاک هم نامیده میشود، آزمایشگر اطلاعات و دسترسی کاملی در مورد سیستم اطلاعاتی مورد حمله در اختیار دارد.
تست نفوذسنجی جعبه سیاه (Blackbox Penetration Test): در این نوع تست هیچگونه اطلاعاتی در خصوص سیستم هدف در اختیار تیم تست نفوذسنجی قرار نمیگیرد به عبارت دیگر، در این نوع تست نفوذ، هیچگونه اطلاعاتی نه درباره عملیات درونی برنامه کاربردی و نه در مورد کد منبع یا ساختار نرمافزار به شخص آزمایشکننده داده نمیشود.
تست نفوذسنجی جعبه خاکستری (Graybox Penetration Test): همانطور که از نام آن پیداست، این نوع آزمایش ترکیبی از تست جعبه سیاه و جعبه سفید است.در این حالت دسترسی به منابع و اطلاعات محدود میباشد و تیم نفوذ سنجی اطلاعات یک قسمت خاص از شبکه را دارا هستند که بایستی حمله به آن قسمت انجام شود.
اهمیت تست نفوذ
در تست نفوذپذیری تیمهای نفوذ سنجی به ما هشدار میدهند که چه قسمتهایی از شبکه ما ایمن نیست و چه نقاطی هستند که نقاط ضعف شبکه ما به حساب میآیند و همچنین مواردی را به ما اعلام میکنند که نرمافزارهای امنیتی قادر به ارائه آنها نیستند.
باید دقت داشت که ارزیابی امنیتی تنها یک تصویر لحظه ای از سیستمها و شبکهها در یک زمان مشخص است. ارزیابی امنیتی تنها بر روی سیستمهایی که در زمان اجرای تست در دسترس هستند و آسیبپذیریها و نقصهای امنیتی که توسط ابزارها و بستههای مختلف قابل شناسایی هستند، انجام میشود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمامشدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد بنابراین تستهای نفوذ باید مرتبا و در یک برنامه منظم زمانبندیشده انجام شوند تا مدیران شبکه را از ریسکهایی که در هر بخش وجود دارد آگاه کند.
اهداف تست نفوذپذیری
ارتقاء امنیت سیستمهای تکنیکی
اطمينان از صحت پيكربندي امنيتي سيستمها
بهبود امنیت زیرساخت سازمانی و پرسنلی
يافتن نقاط ضعف، پيش از سوءاستفاده مهاجمان از آنها
سنجش امنیت فیزیکی
ارائه یک روش برای مدیریت مؤثر تمامی حفرههای امنیتی شناختهشده
بدون شک روشهای بسیاری وجود دارد که یک شرکت برای افزایش ایمنی خود میتواند از آنها استفاده کند، اما تنها یک آزمون نفوذپذیری گسترده میتواند تمامی خلاءهای پیشبینینشده و حفرههای زیرساختهای فناوری اطلاعات را آشکار نمایید.
گردآورنده: محمد رئوفی