اخبار داخلی آرمان داده پویان

آموزش

خانه آموزش مقاله های آموزشیتست نفوذ جعبه سیاه، جعبه سفید و جعبه خاکستری
تعداد بازدید: 1951

انواع تست نفوذ

در انواع تست نفوذ، سامانه مورد نظر از دید یک مهاجم دیده می‌شود و شناسایی آسیب‌پذیری‌ها و بهره‌برداری از آنها، شبیه‌سازی می‌شود. سوالی که ممکن است برایتان پیش آمده باشد این است که کدام نوع تست نفوذ برایتان مناسب است. برای پاسخ این سوال بر آن شدیم تا انواع تست نفوذ را معرفی کنیم. همچنین با توضیح مزایا و معایب هر روش به شما در انتخاب مناسب‌ترین روش با توجه به نیازمندی‌هایتان کمک نماییم.

تست نفوذ

تست نفوذ جعبه سیاه

در این نوع  آزمونگر تقریبا هیچ اطلاعاتی از زیرساخت شبکه‌تان ندارد و یا اطلاعات اندکی از قبیل آدرس آی‌پی و … را در اختیارش گذاشته‌اید. از تست نفوذ جعبه سیاه به عنوان تست خارجی هم یاد می‌شود. مهم‌ترین مزیت این روش، شبیه‌سازی حمله یک مهاجم واقعی است. این روش، طولانی‌ترین  است و بسته به تعداد و دامنه اهداف ممکن است حتی چند هفته هم به طول بینجامد.

فاز شناسایی

در این فاز مهاجم از منابعی همانند وب سایت هدف یا اطلاعات موجود در پایگاه داده WHOIS استفاده می‌کند. این اطلاعات شامل نام‌های دامنه و یا هر اطلاعاتی است که از طریق موتورهای جست و جو قابل دست یافتن می‌باشد.

پویش

در این مرحله متخصص تست نفوذ سعی دارد تا اطلاعاتی را در ارتباط با سرویس‌ها و پورت‌های شنونده در شبکه به دست آورد. تا از روی این اطلاعات بتواند به نوع سیستم عامل‌های موجود در شبکه پی ببرد. در مرحله پویش از ابزاری مانند NMap و همچنین پویشگرهای آسیب پذیری برای کسب اطلاعات بیشتر استفاده می‌شود. تمامی اطلاعات جمع‌ آوری شده در این مرحله به مهاجم کمک می‌نماید تا از وضعیت شبکه و همچنین آسیب‌پذیری‌های آن مطلع شود.

 گرفتن دسترسی

قسمت هیجان انگیز از اینجا آغاز می‌گردد. مهاجم اطلاعات کافی در مراحل قبلی را به دست آورده و در این مرحله می‌تواند از آسیب‌پذیری‌ها و باگ‌هایی که در دو مرحله قبلی یافته استفاده کند. سپس اقدام به کرک کردن گذرواژه‌ها، سر ریز نمودن بافر و یا ایجاد حالت انکار سرویس در مقصد بنماید.

افزایش سطح دسترسی و حفظ آن

برای افزایش سطح دسترسی با استفاده از آسیب پذیری‌های موجود و با روش‌های متعددی مهاجمین می‌توانند سطح دسترسی خود را افزایش دهند. برای نگهداری دسترسی هم یکی از روش‌های محبوبی که مورد استفاده قرار می‌گیرد ایجاد backdoor است. هر زمان که کار متخصصان تست نفوذ تمام شود قطعا این backdoorها را از بین خواهند برد.

پاک  کردن ردپا

یک مهاجم پس از نفوذ به سیستم قربانی بایستی توانایی پاک کردن ردپای خود را داشته باشد. در این مرحله مهاجم اقدام به پاک کردن و یا تغییر لاگ‌ها، فایل‌‌های رجیستری، temp و برنامه‌های کاربردی مورد استفاده‌اش می‌نماید.

مزایا و معایب

تست نفوذ جعبه سیاه با کمینه اطلاعات و مانند یک مهاجم خارج شبکه که دسترسی خاصی ندارد صورت می‌پذیرد که در خیلی از موارد شرایط واقعی یک مهاجم خارجی است. همچنین در این نوع از تست نفوذ عموما از ابزارهای متن باز استفاده می‌شود که در نتیجه آن هزینه‌ تست نفوذ کاهش می‌یابد البته استفاده از ابزارهای متن باز معایب خود را نیز داشته چون آن‌ها محدودیت عملکرد دارند. از دیگر معایب این نوع تست نفوذ این است که مهاجم نمی‌تواند کل زیر ساخت هدف را ببیند در نتیجه بسیاری از آسیب‌پذیری‌های اساسی و مهم شناسایی نخواهند شد.

تست نفوذ جعبه سفید

در تست نفوذ جعبه سفید که به تست نفوذ داخلی هم معروف است، آزمونگر نفوذ تمام اطلاعات لازم در مورد زیرساخت شبکه‌تان از جمله پیکربندی تجهیزات و حتی کد منبع نرم‌افزارها را هم در اختیار دارد. هدف از روش جعبه سفید، انجام یک ممیزی امنیتی عمیق از زیرساخت‌های فناوری اطلاعات و شناسایی هرچه بیشتر نقاط ضعف سیستمتان است. نتایج در این آزمون دقیق‌تر هستند. اما بدلیل وسعت اطلاعات موجود، ممکن است تمرکز بر روی اهداف بسیار سخت‌تر باشد. معمولا سازمان‌ها تمایل کمتری به اشتراک گذاری این سطح از جزئیات دارند.

مزایا و معایب

از مزیت این روش می‌توان گفت به دلیل داشتن اطلاعات کامل از شبکه و زیرساخت آن و سرویس‌های به کار گرفته شده در آن می‌توان بررسی جامعی بر روی تمامی موارد داشت اما ایراد اصلی این روش این است که در این نوع تست نفوذ در نظر گرفته شده که مهاجم به شبکه نفوذ کرده و دسترسی کاملی دارد در صورتی که در واقعیت اینطور نیست. در نتیجه این نقطه ضعف راه‌های نفوذ به شبکه و آسیب پذیری‌های موجود به درستی بررسی نمی‌گردند. همچنین برخی از سازمان‌ها علاقه ای به اشتراک گذاری اطلاعات جامعی از شبکه خود با شرکت‌های ارائه دهنده خدمات تست نفوذ ندارند.

سیاه در مقابل سفید

اگر بخواهیم این دو روش تست نفوذ را با یکدیگر مقایسه کنیم بایستی بگوییم در روش تست نفوذ جعبه سیاه پس از پایان تست یک گزارش تحویل کارفرما می‌گردد که در آن علاوه بر فهرست آسیب‌پذیری‌های یافت شده راهکارها نیز ارائه می‌گردد اما اجرا نمی‌گردد همچنین در گزارش ارائه شده چندان به جزئیات پرداخته نمی‌شود. اما در تست نفوذ جعبه سفید شرکت ارائه دهنده تست نفوذ علاوه بر ارائه گزارشی با جزئیات کامل و اطلاع رسانی آسیب‌پذیری‌های یافت شده موظف است علاوه بر ارائه راهکار آن‌ها را نیز اجرا نماید. در نتیجه در این روش اگر این شرکت راهکاری ارائه داده است مسوولیت پیاده سازی و اطمینان از اثر بخش بودن آن را نیز بر عهده دارد.

تست نفوذ جعبه خاکستری

تست نفوذ جعبه خاکستری مابین دو روش قبل است. در این روش، آزمونگر نفوذ اطلاعات جزئی در مورد شبکه داخلی و یا برنامه‌های کاربردی سازمانتان دارد. در این روش ممکن است از آزمونگر نفوذ بخواهید که از سطح دسترسی یک کاربر عادی شروع کند و دسترسی را تا کاربر ادمین افزایش دهد. یا ممکن است از او بخواهید که به کد نرم‌افزار دسترسی پیدا کند. یکی از مزیت‌های این روش این است که جزئیات زیادی از زیرساخت فناوری سازمانتان ندارد. اما مزیت این روش این است که آزمونگر زمان خود را برای تست روش‌های مختلف صرف نمی‌کند و تنها بر روی اهداف مورد نظرش متمرکز می‌شود.

مزایا و معایب

در تست نفوذ جعبه خاکستری مشتری تمامی اطلاعات را در اختیار متخصصان تست نفوذ قرار نمی‌دهد. در نتیجه این محدودیت ممکن است برخی از آسیب‌پذیری‌های موجود توسط متخصصین امنیت کشف نگردد. در این روش شرکت مقصد بایستی مشخص نماید که تمایل دارد بر روی چه نواحی‌ای از شبکه  تست نفوذ انجام دهد و این نواحی بایستی توسط مجری تست نفوذ در دسترس قرار گیرد.

مقایسه انواع تست نفوذ

می‌توان یک جمع بندی کلی داشت و  انواع تست نفوذ را اینگونه دسته بندی نمود:

  • تست نفوذ جعبه سیاه: تست نفوذ از دیدگاه یک مهاجم خارجی
  • تست نفوذ جعبه سفید: تست نفوذ از دیدگاه مهاجم داخلی با دسترسی
  • تست نفوذ جعبه خاکستری: تست نفوذ از دیدگاه یک مهاجم خارجی با المان‌های یک مهاجم داخلی

حال سوال این است که کدام یک از این روش‌های تست نفوذ برای شرکت‌ها و سازمان‌ها مناسب‌تر است؟ در هنگام انتخاب به چندین سوال پاسخ دهید.

  • چه نوع از اطلاعاتی را می‌خواهید در اختیار مجریان تست نفوذ قرار دهید؟
  • کدام یک از سه دیدگاه بالا را می‌خواهید در نظر بگیرید؟

همچنین باید بدانید:

  • در تست نفوذ جعبه سیاه شرایط واقعی در نظر گرفته می‌شود و از نگاه یک مهاجم خارجی اوضاع دیده خواهد شد.
  • در تست نفوذ جعبه سفید، با دارا بودن اطلاعات از پیکربندی مناسب اجزا شبکه وعدم وجود آسیب‌پذیری در آن‌ها کار انجام می‌شود.
  • و جعبه خاکستری هیک تست نفوذ جعبه سیاه اما با دید عمیق‌تری می‌باشد.

کدام رویکرد برای سازمان شما مناسب است؟

هر سه روش معرفی شده با توجه به زمان و نتایج مورد نظر می‌توانند برایتان اثربخش باشند. تست نفوذ جعبه سیاه، واقع بینانه ترین روش  است. اما نیازمند صرف زمان بیشتری است و احتمال نادیده گرفته شدن برخی از آسیب‌پذیری‌های داخلی وجود دارد. تست نفوذ جعبه سفید، روش جامعی است. اما باید جزئیات زیادی از زیرساخت‌های سازمان در اختیار آزمونگر قرار بگیرد که ممکن است تمایلی به اینکار نداشته باشید. تست نفوذ جعبه خاکستری موثرترین روش است که به آزمونگر اجازه می‌دهد با در اختیار داشتن اطلاعات ضروری، تنها بر روی هدف متمرکز شود و بدین طریق در زمان نیز صرفه‌جویی کند. برای اتخاذ بهترین روش، متناسب با کسب و کار خود می‌توانید با متخصصان ما مشورت کنید.


تازه ترین ها