تست نفوذ و سنجش آسیب‌پذیری

مشاهده مجوز افتا

تست نفوذ

( سنجش نفوذ پذیری)

تست نفوذ و ارزیابی امنیتی تحلیلی عمیق‌ و جامع‌ نسبت به سنجش آسیب‌پذیری می‌باشد که در آن سعی می‌شود تا چه به صورت مستقیم و چه غیر مستقیم روش‌هایی که امکان نفوذ به سامانه مورد نظر را فراهم می‌آورند بررسی شوند. در تست نفوذ و ارزیابی امنیتی سامانه مورد نظر از دید یک مهاجم دیده می‌شود و رفتار مهاجمین در شناسایی آسیب‌پذیری‌ها و بهره‌برداری از آنها، شبیه‌سازی می‌شود. بنابراین می‌توان برآوردی از میزان نفوذپذیری سامانه هدف به دست آورد. در واقع هدف ما از راه اندازی راهکارهای امنیتی بالا بردن امنیت است. اما بایستی از کار آمدی این راهکارها اطمینان حاصل نماییم و امنیت شبکه را از دید یک مهاجم بررسی کنیم؟ به طور مثال بایستی بررسی کرد که آیا پیکربندی مناسب بر روی دیواره آتش انجام شده؟ آیا این دیواره آتش راه نفوذ را مسدود کرده است؟ آیا غیر از این دیواره آتش راه دیگری برای نفوذ به شبکه وجود دارد؟ این سوالات را می‌توان با انجام تست نفوذ توسط متخصصان این حوزه پاسخ داد. در پایان تست نفوذ، گزارش نقاط ضعف و آسیب‌پذیری‌های سیستم و همچنین راهکارهای اصلاحی، جمع‌آوری شده و به مدیران سازمان ارائه می‌شود تا در تصمیم‌گیری‌های استراتژیک لحاظ گردد.

همچنین بررسی وضعیت امنیت اطلاعات و شبکه به دلایل متفاوتی می‌تواند انجام شود. دلایلی از جمله: یافتن آسیب‌پذیری‌ها به منظور بهینه سازی امنیت سامانه‌ها، بررسی وضعیت امنیت و تطابق با آن استانداردهای مطرح در این زمینه مانند ISO27001 PCI-DSS و غیره، بررسی وصله‌های نصب شده و یافتن نقاط آسیب پذیری که در اثر سهل انگاری در نصب وصله‌ها وجود دارد، سنجش میزان موثر بودن راهکارهای امنیتی پیاده سازی شده وغیره.

تفاوت تست نفوذ و سنجش آسیب‌پذیری

خیلی از افراد سنجش آسیب‌پذیری را با تست نفوذ اشتباه می‌گیرند. سنجش آسیب‌پذیری در واقع فرآیندی است که طی آن آسیب‌پذیری‌های سیستم از طریق ابزارهای خودکار و با حداقل دخالت عامل انسانی کشف می‌شوند. این ابزارها معمولا، آسیب‌پذیری‌های سیستم را بر اساس شناسه‌های CVE لیست می‌کنند و در پایان گزارشی را به کاربر نمایش می‌دهند. درست است که ابزارهای سنجش آسیب‌پذیری، تصویری از نقاط ضعف سیستم را ارائه می‌دهند اما درک درستی از این آسیب‌پذیری‌ها را در اختیار شما قرار نخواهند داد. آزمایشات نفوذ با این رویکرد که آیا می‌توان از آسیب‌پذیری‌های سیستم برای دسترسی به سازمان استفاده کرد، انجام می‌شوند و اطلاعات ارزشمندی را در اختیار شما قرار خواهند داد.

چرا به تست نفوذ نیاز داریم؟

تست نفوذ به شما نشان می‌دهد که یک مهاجم، کجا و چگونه ممکن است به شبکه سازمان شما نفوذ کند. آگاهی از این موضوع به شما این امکان را می‌دهد که قبل از وقوع یک حمله واقعی، نقاط ضعف سیستم را شناسایی و برطرف کنید. طبق تحقیقات اخیر شرکت Positive Technologies، تقریبا تمام سازمان‌های دنیا دارای نقاط ضعفی هستند که مهاجمان قادرند از آن‌ها سواستفاده کنند. بر اساس این تحقیقات، در ۹۳ درصد موارد، تیم‌های تست نفوذ توانسته‌اند از نقاط ضعف سیستم بهره‌برداری کرده و به شبکه سازمان نفوذ کنند. میانگین زمان لازم برای نفوذ، چهار روز تخمین زده شده است. همچنین در ۷۱ درصد سازمان‌ها، یک هکر غیر ماهر هم می‌توانست به شبکه داخلی سازمان نفوذ کند. قطعا سازمان شما هم از این آمار مستثنی نخواهد بود.

یک تست نفوذ موفق به شما این امکان را می‌دهد تا:

  • ریسک‌های امنیتی سازمان را شناسایی و اولویت‌بندی کنید.
  • آسیب‌پذیری‌های سیستم را هوشمندانه مدیریت کنید.
  • از یک رویکرد امنیتی فعالانه بهره‌مند شوید.
  • راهکارهای امنیتی مورد استفاده در سازمان را محک بزنید و از صحت کارکرد آن‌ها اطمینان حاصل کنید.
  • نسبت به استراتژی امنیتی سازمان خود اطمینان لازم را کسب کنید.
  • استانداردها و الزامات امنیتی مورد انتظار مراجع امنیتی را پیاده‌سازی کنید.

تست نفوذ در چه زمان‌هایی باید انجام شود؟

تست نفوذ باید به صورت منظم انجام شود تا از یکپارچه بودن امنیت زیرساخت‌های فناوری اطلاعات اطمینان حاصل گردد. انجام منظم تست نفوذ در بازه‌های زمانی مشخص به شما نشان می‌دهد که دارایی‌های سازمان چگونه ممکن است در برابر تهدیدات سایبری جدید، مورد حمله قرار بگیرند. علاوه بر این، به طور کلی توصیه می‌گردد در این موارد، برنامه تست نفوذ را در سازمان خود اجرا کنید:

  • هنگام افزودن سرویس یا برنامه کاربردی جدید به سازمان
  • هنگام ایجاد تغییر در زیرساخت شبکه یا سیاست‌های امنیتی سازمان
  • هنگام تغییر مکان سازمان یا شعبات زیرمجموعه

انواع تست نفوذ

آزمون‌های نفوذ هم از نظر رویکرد و هم از نظر نقاط ضعفی که مورد بهره‌برداری قرار می‌گیرند متفاوت هستند. سطح اطلاعاتی که در اختیار متخصصان نفوذ قرار می‌گیرد، دامنه پروژه را تعیین می‌کند. برای مثال، آیا تیم تست نفوذ از معماری شبکه سازمان شما آگاهی دارند یا خودشان باید این اطلاعات را کشف کنند؟ سه رویکرد کلی برای انجام تست نفوذ وجود دارد:

تست نفوذ جعبه سیاه (Black Box)

در این نوع تست، آزمونگر نفوذ تقریبا هیچ اطلاعاتی از زیرساخت هدف ندارد و یا اطلاعات اندکی از قبیل آدرس آی‌پی و … در اختیار اوست. از تست نفوذ جعبه سیاه به عنوان تست خارجی هم یاد می‌شود. مهم‌ترین مزیت این روش، شبیه‌سازی حمله یک مهاجم واقعی است. این روش، طولانی‌ترین روش تست نفوذ است و بسته به تعداد و دامنه اهداف ممکن است حتی چند هفته هم به طول بینجامد. یکی از معایب تست نفوذ جعبه سیاه این است که آزمونگر با روش سعی و خطا پیش می‌رود و به ناچار زمان زیادی را باید صرف اینکار کند. همچنین ابزارهای دفاعی بسیاری از قبیل Firewall، WAF و … در شبکه‌ها وجود دارند که مانع از افشای آسیب‌پذیری‌های داخلی و یا دسترسی نفوذگر به آن‌ها می‌شوند. در نتیجه برخی از آسیب‌پذیری‌های داخلی ممکن است شناسایی نشوند. اما این به معنای عدم وجود آسیب‌پذیری نیست. بلکه ممکن است باعث ایجاد حس امنیت کاذب گردد که بسیار خطرناک است.

تست نفوذ جعبه سفید (White Box)

در تست نفوذ جعبه سفید که به تست نفوذ داخلی هم معروف است، آزمونگر نفوذ تمام اطلاعات لازم در مورد زیرساخت هدف از جمله پیکربندی تجهیزات و حتی کد منبع نرم‌افزارها را هم در اختیار دارد. هدف از تست نفوذ جعبه سفید، انجام یک ممیزی امنیتی عمیق از زیرساخت‌های فناوری اطلاعات و شناسایی هرچه بیشتر نقاط ضعف سیستم است. نتایج در این آزمون دقیق‌تر هستند. اما بدلیل وسعت اطلاعات موجود، ممکن است تمرکز بر روی اهداف بسیار سخت‌تر باشد. معمولا سازمان‌ها هم تمایل کمتری به اشتراک گذاری این سطح از جزئیات دارند.

تست نفوذ جعبه خاکستری (Gray Box)

تست نفوذ جعبه خاکستری مابین دو روش قبل است. در این روش، آزمونگر نفوذ اطلاعات جزئی در مورد شبکه داخلی و یا برنامه‌های کاربردی سازمان هدف دارد. در این روش ممکن است از آزمونگر نفوذ خواسته شود که از سطح دسترسی یک کاربر عادی شروع کند و دسترسی را تا کاربر ادمین افزایش دهد. یا ممکن است از وی خواسته شود که به کد نرم‌افزار دسترسی پیدا کند. یکی از مزیت‌های این روش این است که جزئیات زیادی از زیرساخت فناوری سازمان در اختیار آزمونگر نفوذ قرار نمی‌گیرد. از طرفی، آزمونگر هم زمان خود را برای تست روش‌های مختلف صرف نمی‌کند و تنها بر روی اهداف مورد نظر متمرکز می‌شود.

کدام رویکرد تست نفوذ برای سازمان شما مناسب است؟

هدف نهایی از انجام تست نفوذ این است که سیستم یا برنامه شما ایمن‌تر شود. هر سه روش معرفی شده با توجه به زمان و نتایج مورد نظر می‌توانند اثربخش باشند. تست نفوذ جعبه سیاه، واقع بینانه ترین روش تست نفوذ است. اما نیازمند صرف زمان بیشتری است و احتمال نادیده گرفته شدن برخی از آسیب‌پذیری‌های داخلی وجود دارد. تست نفوذ جعبه سفید، روش جامعی است. اما باید جزئیات زیادی از زیرساخت‌های سازمان در اختیار آزمونگر قرار بگیرد که ممکن است برخی از سازمان‌ها تمایلی به اینکار نداشته باشند. تست نفوذ جعبه خاکستری موثرترین روش تست نفوذ است که به آزمونگر اجازه می‌دهد با در اختیار داشتن اطلاعات ضروری، تنها بر روی هدف متمرکز شود و بدین طریق در زمان نیز صرفه‌جویی کند. شرکت آرمان داده پویان توصیه می‌کند برای اتخاذ بهترین روش تست نفوذ، متناسب با کسب و کار خود با متخصصان این شرکت مشورت نمایید.

خدمات تست نفوذ آرمان داده پویان

در ارتباط با اجرای تست نفوذ و ارزیابی‌های امنیتی بایستی در نظر داشته باشید که تنها تسلط تیم آزمونگر بر روی ابزارهای مرتبط با تست نفوذ کافی نیست. در حقیقت تخصص، خلاقیت و تجربه شرکت ارائه دهنده خدمات تست نفوذ در کنار بکارگیری ابزارهای مناسب می‌تواند بهترین و دقیق‌ترین نتایج را در پی داشته باشد. شرکت آرمان داده پویان با بیش از یک دهه تجربه و با تکیه بر کارشناسان کارآزموده و متخصص تست نفوذ، امنیت شبکه و برنامه‌نویسی با بهره‌گیری از آخرین متدولوژی‌های روز، خدمات زیر را به شما ارائه می‌دهد:

تست نفوذ برنامه‌های کاربردی وب‌بنیان

آمارها نشان می‌دهد بسیاری از سازمان‌هایی که قربانی حملات سایبری شده‌اند، از وب‌اپلیکیشن‌هایی استفاده می‌کردند که دارای آسیب‌پذیری بوده‌اند. امروزه کسب و کارها بیشتر از گذشته به برنامه‌های وب وابسته شده‌اند و رشد تجارت بسیاری از شرکت‌ها به آن‌ها بستگی دارد. از طرفی برنامه‌های کاربردی وب‌بنیان بدلیل ماهیتی که دارند باید در هر زمان و مکان در دسترس باشند. به همین دلیل بیشتر از سایر اجزای داخلی شبکه، در معرض حملات سایبری قرار می‌گیرند. بسیاری از سازمان‌ها گمان می‌کنند که اسکن آسیب‌پذیری برای یافتن مشکلات امنیتی در یک وب‌اپلیکیشن کافی است. هرچند اسکن آسیب‌پذیری می‌تواند نقاط ضعف یک برنامه را آشکار کند اما این تست نفوذ است که نشان می‌دهد برنامه شما چقدر در برابر حملات در دنیای واقعی می‌تواند مقاومت کند.

زمان ایده‌آل برای انجام تست نفوذ برنامه‌های کاربردی وب‌بنیان، قبل از انتشار نهایی برنامه است. اما معمولا بدلیل کمبود زمان و فشارهای کاری، از انجام این کار صرف نظر می‌گردد. تست نفوذ برنامه‌های کاربردی وب‌بنیان با هدف شناسایی نقاط ضعف موجود در این برنامه‌ها انجام می‌شود. دامنه این تست، شامل تمام برنامه‌های کاربردی تحت وب، پلاگین‌های آن‌ها، اپلت‌ها و … می‌شود.

در زمینه تست نفوذ برنامه‌های کاربردی وب‌بنیان، شرکت آرمان داده پویان با بهره‌گیری از دانش متخصصان تست نفوذ و با استفاده از ابزارهای خودکار و دستی، تمامی اجزای مرتبط با این برنامه‌ها اعم از کد منبع، پایگاه داده و … را بررسی نموده و آسیب‌پذیری‌های موجود در آن‌ها شناسایی و گزارش می‌کند. بر همین اساس، تست نفوذ برنامه‌های کاربردی وب‌بنیان منطبق با یکی از متدولوژی‌های معروف دنیا یعنی OWASP Top 10 انجام می‌گردد. در این متدولوژی، مباحث زیر پوشش داده می‌شود.

ممیزی و بررسی دستی، مدل‌سازی تهدید، مرور کدهای منبع و انجام تست نفوذ

علاوه بر OWASP Top 10 از متدولوژی‌های دیگری از قبیل Web Application Security Consortium هم بنا به نیاز می‌توان استفاده کرد که آرمان داده پویان شما را در انتخاب این مسیر یاری می‌کند.

تست نفوذ شبکه

شبکه‌ها اجزای مهمی از هر سازمان هستند که دارایی‌ها را به یکدیگر متصل می‌کنند. حمله به یک شبکه می‌تواند تاثیرات مخربی بر جای بگذارد. چرا که عامل تهدید می‌تواند در سطح شبکه منتشر شود و به سرعت از رایانه‌ای به رایانه دیگر سرایت کند. تست نفوذ شبکه با هدف یافتن نقاط ضعف شبکه قبل از اینکه مهاجمان بتوانند از آن‌ها سواستفاده کنند انجام می‌شود. متخصصان تست نفوذ برای کشف آسیب‌پذیری‌های شبکه، انواع مختلفی از تجهیزات اعم از سوئیچ، روتر، سرور، پیکربندی‌های آن‌ها و … را مورد آزمایش قرار می‌دهند.

بر همین اساس شرکت آرمان داده پویان با استفاده از رویکرد تست نفوذ، از آسیب‌پذیری‌هایی که ممکن است در شبکه سازمان شما وجود داشته باشد رونمایی کرده و سناریوهای حمله در دنیای واقعی را به صورت کنترل شده ایجاد می‌کند. تمام مراحل از جمع‌آوری اطلاعات تا مرحله اکسپلویت، بر اساس مسیر حمله یک مهاجم واقعی انتخاب می‌شود. پس از اتمام کار، گزارشی از آسیب‌پذیری‌های شناسایی شده و همچنین راهکارهای اصلاحی به شما ارائه خواهد شد. این گزارش درک عمیقی از وضعیت موجود به شما می‌دهد که بر اساس آن قادر خواهید بود اصلاحات را اولویت بندی کنید.

تست نفوذ برنامه‌های کاربردی همراه

اپلیکیشن‌های موبایل و برنامه‌های کاربردی همراه بدلیل سهولت استفاده و رشد صنعت موبایل و تبلت‌، یکی از پرکاربردترین برنامه‌ها برای استفاده‌های سازمانی و تجاری هستند و روز به روز بر تعداد و تنوع آن‎‌ها افزوده می‌شود. این برنامه‌ها معمولا به عنوان نقاط ضعف سیستم‌های اطلاعاتی شناخته می‌شوند چرا که توسعه‌دهندگان آن‌ها معمولا دانش زیادی در زمینه امنیت ندارند. برنامه‌های کاربردی همراه معمولا حاوی اطلاعات حساسی هستند و می‌توانند داده‌های شخصی را از طریق API ها دستکاری کنند. از این رو به عنوان دروازه ورود به سرورها شناخته می‌شوند.

تست نفوذ برنامه‌های کاربردی همراه شامل تست خود برنامه، APIهای مورد استفاده در برنامه و همچنین سرور میزبان برنامه می‌شود. آسیب‌پذیری‌های رایج در برنامه‌های کاربردی همراه شامل موارد زیر می‌شوند:

ذخیره داده‌ها به صورت ناامن

ارتباطات شبکه ناامن

تعاملات ناامن برنامه با سیستم‌عامل

پیکربندی‌های ناامن (signature، debug و …)

شرکت آرمان داده پویان با بهره‌گیری از تیمی متخصص و کارآزموده، آماده ارائه تست نفوذپذیری برنامه‌های کاربردی همراه و ارزیابی امنیتی مطابق با استانداردهای روز دنیا می‌باشد.

چرا آرمان داده پویان؟

در خصوص تست نفوذ شبکه، کاربران، تجهیزات شبکه، موارد امنیتی سیستم عامل و سرویس‌های فعال بر روی آن‌ها توسط متخصصان آرمان داده پویان به دقت بررسی خواهند شد و با توجه به نوع فناوری مورد استفاده در خصوص هر سرویس موارد امنیتی آن بر اساس استانداردهای معتبر سنجیده خواهد شد و در انتها گزارشی کامل شامل آسیب پذیری‌های یافت شده و نحوه ایمن سازی در برابر آن‌ها ارائه خواهد شد.

سنجش آسیب‌پذیری برنامه‌های کاربردی در چند فاز صورت می‌گیرد. فاز شناخت، ارزیابی سمت کاربر، ارزیابی ارتباط شبکه وسمت سرور. شرکت آرمان داده پویان با بهره‌گیری از تیمی متخصص و کارآزموده آماده ارائه سنجش‌آسیب‌پذیری و ارزیابی‌های امنیتی مطابق استانداردها ومتدولوژی‌های روز می‌باشد.

در زمینه بررسی امنیت برنامه‌های وب بنیان گروه مربوطه در آرمان داده پویان متشکل از کارآزمودگان بررسی نفوذ پذیری و برنامه نویسی می‌باشد و بررسی سامانه‌های وب بنیان و سامانه‌های مرتبط با آن‌ها با در نظر گرفتن تمامی زوایای موجود، هم به صورت خودکار توسط برنامه‌های مطرح و به صورت دستی انجام می‌شود. برای اطلاع از هزینه تست نفوذ و آزمون ارزیابی امنیتی با شرکت آرمان داده پویان تماس بگیرید.

از ما درباره خدمات ما و از مشتریانمان درباره ما بپرسید