انواع تست نفوذ
در انواع تست نفوذ، سامانه مورد نظر از دید یک مهاجم دیده میشود و شناسایی آسیبپذیریها و بهرهبرداری از آنها، شبیهسازی میشود. سوالی که ممکن است برایتان پیش آمده باشد این است که کدام نوع تست نفوذ برایتان مناسب است. برای پاسخ این سوال بر آن شدیم تا انواع تست نفوذ را معرفی کنیم. همچنین با توضیح مزایا و معایب هر روش به شما در انتخاب مناسبترین روش با توجه به نیازمندیهایتان کمک نماییم.
تست نفوذ جعبه سیاه
در این نوع آزمونگر تقریبا هیچ اطلاعاتی از زیرساخت شبکهتان ندارد و یا اطلاعات اندکی از قبیل آدرس آیپی و … را در اختیارش گذاشتهاید. از تست نفوذ جعبه سیاه به عنوان تست خارجی هم یاد میشود. مهمترین مزیت این روش، شبیهسازی حمله یک مهاجم واقعی است. این روش، طولانیترین است و بسته به تعداد و دامنه اهداف ممکن است حتی چند هفته هم به طول بینجامد.
فاز شناسایی
در این فاز مهاجم از منابعی همانند وب سایت هدف یا اطلاعات موجود در پایگاه داده WHOIS استفاده میکند. این اطلاعات شامل نامهای دامنه و یا هر اطلاعاتی است که از طریق موتورهای جست و جو قابل دست یافتن میباشد.
پویش
در این مرحله متخصص تست نفوذ سعی دارد تا اطلاعاتی را در ارتباط با سرویسها و پورتهای شنونده در شبکه به دست آورد. تا از روی این اطلاعات بتواند به نوع سیستم عاملهای موجود در شبکه پی ببرد. در مرحله پویش از ابزاری مانند NMap و همچنین پویشگرهای آسیب پذیری برای کسب اطلاعات بیشتر استفاده میشود. تمامی اطلاعات جمع آوری شده در این مرحله به مهاجم کمک مینماید تا از وضعیت شبکه و همچنین آسیبپذیریهای آن مطلع شود.
گرفتن دسترسی
قسمت هیجان انگیز از اینجا آغاز میگردد. مهاجم اطلاعات کافی در مراحل قبلی را به دست آورده و در این مرحله میتواند از آسیبپذیریها و باگهایی که در دو مرحله قبلی یافته استفاده کند. سپس اقدام به کرک کردن گذرواژهها، سر ریز نمودن بافر و یا ایجاد حالت انکار سرویس در مقصد بنماید.
افزایش سطح دسترسی و حفظ آن
برای افزایش سطح دسترسی با استفاده از آسیب پذیریهای موجود و با روشهای متعددی مهاجمین میتوانند سطح دسترسی خود را افزایش دهند. برای نگهداری دسترسی هم یکی از روشهای محبوبی که مورد استفاده قرار میگیرد ایجاد backdoor است. هر زمان که کار متخصصان تست نفوذ تمام شود قطعا این backdoorها را از بین خواهند برد.
پاک کردن ردپا
یک مهاجم پس از نفوذ به سیستم قربانی بایستی توانایی پاک کردن ردپای خود را داشته باشد. در این مرحله مهاجم اقدام به پاک کردن و یا تغییر لاگها، فایلهای رجیستری، temp و برنامههای کاربردی مورد استفادهاش مینماید.
مزایا و معایب
تست نفوذ جعبه سیاه با کمینه اطلاعات و مانند یک مهاجم خارج شبکه که دسترسی خاصی ندارد صورت میپذیرد که در خیلی از موارد شرایط واقعی یک مهاجم خارجی است. همچنین در این نوع از تست نفوذ عموما از ابزارهای متن باز استفاده میشود که در نتیجه آن هزینه تست نفوذ کاهش مییابد البته استفاده از ابزارهای متن باز معایب خود را نیز داشته چون آنها محدودیت عملکرد دارند. از دیگر معایب این نوع تست نفوذ این است که مهاجم نمیتواند کل زیر ساخت هدف را ببیند در نتیجه بسیاری از آسیبپذیریهای اساسی و مهم شناسایی نخواهند شد.
تست نفوذ جعبه سفید
در تست نفوذ جعبه سفید که به تست نفوذ داخلی هم معروف است، آزمونگر نفوذ تمام اطلاعات لازم در مورد زیرساخت شبکهتان از جمله پیکربندی تجهیزات و حتی کد منبع نرمافزارها را هم در اختیار دارد. هدف از روش جعبه سفید، انجام یک ممیزی امنیتی عمیق از زیرساختهای فناوری اطلاعات و شناسایی هرچه بیشتر نقاط ضعف سیستمتان است. نتایج در این آزمون دقیقتر هستند. اما بدلیل وسعت اطلاعات موجود، ممکن است تمرکز بر روی اهداف بسیار سختتر باشد. معمولا سازمانها تمایل کمتری به اشتراک گذاری این سطح از جزئیات دارند.
مزایا و معایب
از مزیت این روش میتوان گفت به دلیل داشتن اطلاعات کامل از شبکه و زیرساخت آن و سرویسهای به کار گرفته شده در آن میتوان بررسی جامعی بر روی تمامی موارد داشت اما ایراد اصلی این روش این است که در این نوع تست نفوذ در نظر گرفته شده که مهاجم به شبکه نفوذ کرده و دسترسی کاملی دارد در صورتی که در واقعیت اینطور نیست. در نتیجه این نقطه ضعف راههای نفوذ به شبکه و آسیب پذیریهای موجود به درستی بررسی نمیگردند. همچنین برخی از سازمانها علاقه ای به اشتراک گذاری اطلاعات جامعی از شبکه خود با شرکتهای ارائه دهنده خدمات تست نفوذ ندارند.
سیاه در مقابل سفید
اگر بخواهیم این دو روش تست نفوذ را با یکدیگر مقایسه کنیم بایستی بگوییم در روش تست نفوذ جعبه سیاه پس از پایان تست یک گزارش تحویل کارفرما میگردد که در آن علاوه بر فهرست آسیبپذیریهای یافت شده راهکارها نیز ارائه میگردد اما اجرا نمیگردد همچنین در گزارش ارائه شده چندان به جزئیات پرداخته نمیشود. اما در تست نفوذ جعبه سفید شرکت ارائه دهنده تست نفوذ علاوه بر ارائه گزارشی با جزئیات کامل و اطلاع رسانی آسیبپذیریهای یافت شده موظف است علاوه بر ارائه راهکار آنها را نیز اجرا نماید. در نتیجه در این روش اگر این شرکت راهکاری ارائه داده است مسوولیت پیاده سازی و اطمینان از اثر بخش بودن آن را نیز بر عهده دارد.
تست نفوذ جعبه خاکستری
تست نفوذ جعبه خاکستری مابین دو روش قبل است. در این روش، آزمونگر نفوذ اطلاعات جزئی در مورد شبکه داخلی و یا برنامههای کاربردی سازمانتان دارد. در این روش ممکن است از آزمونگر نفوذ بخواهید که از سطح دسترسی یک کاربر عادی شروع کند و دسترسی را تا کاربر ادمین افزایش دهد. یا ممکن است از او بخواهید که به کد نرمافزار دسترسی پیدا کند. یکی از مزیتهای این روش این است که جزئیات زیادی از زیرساخت فناوری سازمانتان ندارد. اما مزیت این روش این است که آزمونگر زمان خود را برای تست روشهای مختلف صرف نمیکند و تنها بر روی اهداف مورد نظرش متمرکز میشود.
مزایا و معایب
در تست نفوذ جعبه خاکستری مشتری تمامی اطلاعات را در اختیار متخصصان تست نفوذ قرار نمیدهد. در نتیجه این محدودیت ممکن است برخی از آسیبپذیریهای موجود توسط متخصصین امنیت کشف نگردد. در این روش شرکت مقصد بایستی مشخص نماید که تمایل دارد بر روی چه نواحیای از شبکه تست نفوذ انجام دهد و این نواحی بایستی توسط مجری تست نفوذ در دسترس قرار گیرد.
مقایسه انواع تست نفوذ
میتوان یک جمع بندی کلی داشت و انواع تست نفوذ را اینگونه دسته بندی نمود:
- تست نفوذ جعبه سیاه: تست نفوذ از دیدگاه یک مهاجم خارجی
- تست نفوذ جعبه سفید: تست نفوذ از دیدگاه مهاجم داخلی با دسترسی
- تست نفوذ جعبه خاکستری: تست نفوذ از دیدگاه یک مهاجم خارجی با المانهای یک مهاجم داخلی
حال سوال این است که کدام یک از این روشهای تست نفوذ برای شرکتها و سازمانها مناسبتر است؟ در هنگام انتخاب به چندین سوال پاسخ دهید.
- چه نوع از اطلاعاتی را میخواهید در اختیار مجریان تست نفوذ قرار دهید؟
- کدام یک از سه دیدگاه بالا را میخواهید در نظر بگیرید؟
همچنین باید بدانید:
- در تست نفوذ جعبه سیاه شرایط واقعی در نظر گرفته میشود و از نگاه یک مهاجم خارجی اوضاع دیده خواهد شد.
- در تست نفوذ جعبه سفید، با دارا بودن اطلاعات از پیکربندی مناسب اجزا شبکه وعدم وجود آسیبپذیری در آنها کار انجام میشود.
- و جعبه خاکستری هیک تست نفوذ جعبه سیاه اما با دید عمیقتری میباشد.
کدام رویکرد برای سازمان شما مناسب است؟
هر سه روش معرفی شده با توجه به زمان و نتایج مورد نظر میتوانند برایتان اثربخش باشند. تست نفوذ جعبه سیاه، واقع بینانه ترین روش است. اما نیازمند صرف زمان بیشتری است و احتمال نادیده گرفته شدن برخی از آسیبپذیریهای داخلی وجود دارد. تست نفوذ جعبه سفید، روش جامعی است. اما باید جزئیات زیادی از زیرساختهای سازمان در اختیار آزمونگر قرار بگیرد که ممکن است تمایلی به اینکار نداشته باشید. تست نفوذ جعبه خاکستری موثرترین روش است که به آزمونگر اجازه میدهد با در اختیار داشتن اطلاعات ضروری، تنها بر روی هدف متمرکز شود و بدین طریق در زمان نیز صرفهجویی کند. برای اتخاذ بهترین روش، متناسب با کسب و کار خود میتوانید با متخصصان ما مشورت کنید.