اخبار داخلی آرمان داده پویان

مقالات

تست نفوذ جعبه سیاه، جعبه سفید و جعبه خاکستری

تست نفوذ جعبه سیاه، جعبه سفید و جعبه خاکستری

در تست نفوذ و ارزیابی امنیتی سامانه مورد نظر از دید یک مهاجم دیده می‌شود و رفتار مهاجمین در شناسایی آسیب‌پذیری‌ها و بهره‌برداری از آنها، شبیه‌سازی می‌شود. در بسیاری از موارد سوالی که برای خیلی از سازمان‌ها پیش می‌آید این است که کدام نوع از تست نفوذ برای آن‌ها مناسب است. برای پاسخ در این مقاله آموزشی بر آن شدیم که یکی از انواع دسته بندی‌های تست نفوذ را معرفی نموده و با توضیح در ارتباط با مزایا و معایب آن‌ها به مقایسه پرداخته و برای مخاطبان خود امکان تصمیم گیری هر چه بهتری را فراهم نماییم.

pentest

تست نفوذ جعبه سیاه

در تست نفوذ جعبه سیاه، مهاجم اطلاعات چندانی از هدف نداشته و اطلاعات او به نام میزبان، آدرس IP عمومی و یا اطلاعاتی از این قبیل که برای مهاجم خارج از شبکه و بدون دسترسی قابل دست یافتن است، محدود می‌شود. این نوع از تست نفوذ از دیدگاه مهاجمی صورت می‌پذیرد که هیچ اطلاعاتی در ارتباط با سیاست‌های امنیتی، ساختار شبکه، سیستم عامل‌ها و نرم افزاها ندارد. با اطلاعاتی که گفتیم متخصص تست نفوذ در این نوع سنجش آسیب پذیری اقدام به نفوذ به شبکه و یافتن آسیب‌پذیری‌های موجود می‌نماید.

فاز شناسایی

در این فاز مهاجم از منابعی همانند وب سایت هدف یا اطلاعاتی که در پایگاه داده WHOIS می‌تواند به آن دست یابد از جمله نام‌های دامنه و یا هر اطلاعاتی که از طریق موتورهای جست و جو قابل دست یافتن باشد برای جمع آوری اطلاعات استفاده می‌نماید.

پویش

در این مرحله متخصص تست نفوذ سعی دارد تا اطلاعاتی را در ارتباط با سرویس‌ها و پورت‌های شنونده در شبکه به دست آورد و از روی این اطلاعات بتواند به نوع سیستم عامل‌های موجود در شبکه پی ببرد. در مرحله پویش از ابزاری مانند NMap و همچنین پویشگرهای آسیب پذیری برای کسب اطلاعات بیشتر مورد استفاده قرار می‌گیرد. تمامی اطلاعات جمع‌ آوری شده در این مرحله به مهاجم کمک می‌نماید تا اطلاعاتی در ارتباط با شبکه و همچنین آسیب‌پذیری‌های آن به دست آورد.

 گرفتن دسترسی

قسمت هیجان انگیز از اینجا آغاز می‌گردد، مهاجم اطلاعات کافی در مراحل قبلی به دست آورده و در این مرحله می‌تواند از آسیب‌پذیری‌ها و باگ‌هایی که در دو مرحله قبلی یافته استفاده کرده و اقدام به کرک کردن گذرواژه‌ها، سر ریز نمودن بافر و یا ایجاد حالت انکار سرویس در مقصد بپردازد.

افزایش سطح دسترسی و حفظ آن

برای افزایش سطح دسترسی با استفاده از آسیب پذیری‌های موجود و با روش‌های متعددی مهاجمین می‌توانند سطح دسترسی خود را افزایش دهند. برای نگهداری دسترسی هم یکی از روش‌های محبوبی که مورد استفاده قرار می‌گیرد ایجاد درب پشتی است هر زمان که کار متخصصین تست نفوذ تمام شود قطعا این درب‌های پشتی را از بین خواهند برد.

پاک  کردن ردپا

یک مهاجم پس از نفوذ به سیستم قربانی بایستی توانایی پاک کردن ردپای خود را داشته باشد تا شناسایی و ردیابی نگردد. در این مرحله مهاجم اقدام به پاک کردن و یا تغییر لاگ‌ها، فایل‌‌های رجیستری، temp، برنامه‌های کاربردی که در مراحل نفوذ استفاده کرده است و غیره می‌نماید.

مزایا و معایب

تست نفوذ جعبه سیاه با کمینه اطلاعات و مانند یک مهاجم خارج شبکه که دسترسی خاصی ندارد صورت می‌پذیرد که در خیلی از موارد شرایط واقعی یک مهاجم خارجی است. همچنین در این نوع از تست نفوذ عموما از ابزارهای متن باز استفاده می‌شود که در نتیجه آن هزینه‌ تست نفوذ کاهش می‌یابد البته استفاده از ابزارهای متن باز معایب خود را نیز داشته چون آن‌ها محدودیت عملکرد دارند. از دیگر معایب این نوع تست نفوذ این است که مهاجم نمی‌تواند کل زیر ساخت هدف را ببیند در نتیجه بسیاری از آسیب‌پذیری‌های اساسی و مهم شناسایی نخواهند شد.

تست نفوذ جعبه سفید

در تست نفوذ جعبه سفید متخصص تست نفوذ با آگاهی از ساختار شبکه و سرویس‌های موجود در آن اقدام به اجرای تست نفوذ می‌نماید. در حقیقت متخصص تست نفوذ با داشتن اطلاعات کاملی از ساختار داخلی، آدرس‌های IP، نام میزبان، پیکربندی سیستم‌ها و غیره اقدام به اجرای سنجش نفوذ پذیری می‌نماید.

مزایا و معایب

از مزیت این روش می‌توان گفت به دلیل داشتن اطلاعات کامل از شبکه و زیرساخت آن و سرویس‌های به کار گرفته شده در آن می‌توان بررسی جامعی بر روی تمامی موارد داشت اما ایراد اصلی این روش این است که در این نوع تست نفوذ در نظر گرفته شده که مهاجم به شبکه نفوذ کرده و دسترسی کاملی دارد در صورتی که در واقعیت اینطور نیست. در نتیجه این نقطه ضعف راه‌های نفوذ به شبکه و آسیب پذیری‌های موجود به درستی بررسی نمی‌گردند. همچنین برخی از سازمان‌ها علاقه ای به اشتراک گذاری اطلاعات جامعی از شبکه خود با شرکت‌های ارائه دهنده خدمات تست نفوذ ندارند.

سیاه در مقابل سفید

اگر بخواهیم این دو روش تست نفوذ را با یکدیگر مقایسه کنیم بایستی بگوییم در روش تست نفوذ جعبه سیاه پس از پایان تست یک گزارش تحویل کارفرما می‌گردد که در آن علاوه بر فهرست آسیب‌پذیری‌های یافت شده راهکارها نیز ارائه می‌گردد اما اجرا نمی‌گردد همچنین در گزارش ارائه شده چندان به جزئیات پرداخته نمی‌شود. اما در تست نفوذ جعبه سفید شرکت ارائه دهنده تست نفوذ علاوه بر ارائه گزارشی با جزئیات کامل و اطلاع رسانی آسیب‌پذیری‌های یافت شده موظف است علاوه بر ارائه راهکار آن‌ها را نیز اجرا نماید. در نتیجه در این روش اگر این شرکت راهکاری ارائه داده است مسوولیت پیاده سازی و اطمینان از اثر بخش بودن آن را نیز بر عهده دارد.

تست نفوذ جعبه خاکستری

تست نفوذ جعبه خاکستری را می‌توان مابین تست نفوذ جعبه سفید و جعبه سیاه در نظر گرفت. در نتیجه نه مانند تست نفوذ جعبه سفید بسیاری از اطلاعات با متخصصین تست نفوذ به اشتراک گذاشته می‌شود و نه مانند تست نفوذ جعبه سیاه هیچ اطلاعات داخلی‌ای به اشتراک گذاشته نمی‌شود. در روش جعبه خاکستری اطلاعاتی مانند بررسی اجمالی از ساختار شبکه و یا اطلاعات login کاربران به اشتراک گذاشته می‌شود. همچنین در صورتی که تست نفوذ برنامه کاربردی باشد متخصص تست نفوذ اقدام به امتحان کردن راه‌های مختلف نفوذ می‌نماید. برخی از آن‌ها به صورت رایگان در دسترس هستند برخی از آن‌ها نیز بایستی توسط شرکت مقصد فراهم گردند. در نتیه در آزمون تست نفوذ برنامه کاربردی به روش جعبه خاکستری ممکن است شرکت مقصد با دادن حساب کاربری corporate برای حرکت  عمیق تر در شبکه موافقت نمایند.

معایب و مزایا

در تست نفوذ جعبه خاکستری مشتری تمامی اطلاعات را در اختیار متخصصین تست نفوذ قرار نمی‌دهد. در نتیجه این محدودیت ممکن است برخی از آسیب‌پذیری‌های موجود توسط متخصصین امنیت کشف نگردد. در این روش شرکت مقصد بایستی مشخص نماید که تمایل دارد بر روی چه نواحی‌ای از شبکه  تست نفوذ انجام دهد و این نواحی بایستی توسط مجری تست نفوذ در دسترس قرار گیرد.

سیاه سفید یا خاکستری

می‌توان یک جمع بندی کلی داشت و این سه روش را اینگونه دسته بندی نمود:

  • تست نفوذ جعبه سیاه: تست نفوذ از دیدگاه یک مهاجم خارجی
  • تست نفوذ جعبه سفید: تست نفوذ از دیدگاه مهاجم داخلی با دسترسی
  • تست نفوذ جعبه خاکستری: تست نفوذ از دیدگاه یک مهاجم خارجی با المان‌های یک مهاجم داخلی

حال سوال این است که کدام یک از این روش‌های تست نفوذ برای شرکت‌ها و سازمان‌ها مناسب‌تر است؟ در هنگام انتخاب به چندین سوال پاسخ دهید. چه نوع از اطلاعاتی را می‌خواهید در اختیار مجریان تست نفوذ قرار دهید. کدام یک از سه دیدگاه بالا را می‌خواهید در نظر بگیرید. تست نفوذ جعبه سیاه زمانی که می‌خواهید شرایط واقعی را متصور شده و از نگاه یک مهاجم خارجی اوضاع را ببینید. تست نفوذ جعبه سفید، زمانی که می‌خواهید با دارا بودن اطلاعات از پیکربندی مناسب اجزا شبکه وعدم وجود آسیب‌پذیری در آن‌ها مطلع شوید. جعبه خاکستری هم زمانی که نیاز به یک تست نفوذ جعبه سیاه همراه با یک دید عمیق تر دارید.

آرمان داده پویان ارائه دهنده انواع خدمات تست نفوذ

برای اطلاعات بیشتر با کارشناسان ما تماس بگیرید

تعداد بازدید: 95


تازه ترین ها