تست نفوذ پذیری (penetration test ) چیست؟
این روزها تمام اطلاعات و اسناد شرکت ها و ارگان های مهم، سیستمی شده و روی شبکه قرار دارد. حال اگر حتی برای یک لحظه شبکه مورد نفوذ و حمله هکر ها قرار گیرد، تمامی اسناد و اعتبارات و موارد محرمانه، مورد نفوذ قرار گرفته و مشکل ساز می شود. بنابراین نیاز داریم تا هر از گاهی میزان نفوذ پذیری شبکه و هر آن چه مربوط به آن است، از قبیل تمام سیستم ، نرم افزارها و سرویس های نصب شده روی آن را برای یافتن مشکلات امنیتی بررسی کنیم تا غافلگیر نشویم.
تست نفوذ یک فرآیند سیستماتیک و برنامه ریزی شده است که آسیب پذیری ها و حفره های امنیتی سرور، شبکه و منابع و برنامه های متصل به آن را از طریق شبیه سازی یک حمله هکر، چک می کند. به صورتی که تست نفوذ می تواند با استفاده از منابع داخلی مثل سیستم امنیتی میزبان و یا منابع خارجی، کنترل و سازماندهی شود. بنابراین از این تست که حمله شبیه سازی شده است، برای یافتن مشکلات و سنجش میزان امنیت سرور و شبکه های متصل به آن استفاده می شود.
در هر سازمان، هر سیستمی که برای استفاده عموم آماده شده است، قبل از شروع به کار، باید روی آن تست نفوذ پذیری انجام شود تا بعدا دچار مشکل نشود. به عنوان مثال تمامی وب سایت ها، شبکه های بانکی، فایل سرور ها و خدمات دهندگان پست الکترونیک و در واقع همه سیستم هایی که به نوعی از طریق شبکه خدمات ارائه می دهند، باید تست نفوذ پذیری روی آن صورت گیرد.
آیا تست نفوذ خطراتی به همراه دارد؟
اگرچه تست نفوذ بسیار کارآمد است اما برخی مواقع خطراتی نیز به همراه دارد. چرا که دادن اطلاعات به گروهی غیر قابل اطمینان برای انجام تست، خود می تواند خطراتی به همراه داشته باشد. چرا که همان گروه تست کننده خود می تواند عامل نفوذ باشد. همچنین ایجاد فشار زیاد روی سیستم برای انجام تست نفوذ، می تواند باعث مشکلات و حتی کند شدن سرور شود. بنابراین برای کاهش این فشارها، می توان از تست جعبه سیاه یا تست جعبه خاکستری استفاده کرد.
انواع تست نفوذ
تست شفاف
تست جعبه سیاه
تست جعبه خاکستری
در تست جعبه سیاه، تست کننده هیچ گونه اطلاعات قبلی در مورد سیستم ندارد و به تست می پردازد. اما در تست شفاف، تست کننده مشخصات کامل و اطلاعات جامعی از سیستم دارد و بر اساس آن حمله شبیه سازی شده را انجام می دهد و در تست جعبه خاکستری تست کننده تنها به برخی اطلاعات دسترسی دارد و اطلاعات جامعی ندارد.
بر طبق حساسیت سیستم ها و مراتب امنیت آنها، باید تست صورت گیرد . در صورتی که امنیت بسیار بالایی را می خواهیم داشته باشیم، باید تست شفاف انجام دهیم و اگر سیستم و امنیت آن از اهمیت کمتری برخوردار است، تست جعبه خاکستری و جعبه سیاه کفایت می کند. در واقع تست نفوذ باید به صورت برنامه ریزی شده و با هماهنگی قبلی با صاحب آن سیستم انجام شود و نمی تواند یک اقدام هماهنگ نشده باشد چرا که ممکن است حین انجام تست، برخی تجهیزات یا سیستم شبکه از کار بیفتد. بنابراین کارمندان می بایست از قبل در جریان باشند.
لازم به ذکر است که استفاده از نرم افزار های تست نفوذ کار عاقلانه ای به نظر نمی رسد چرا که خود می تواند عامل نفوذ باشد، بلکه استفاده از یک گروه امنیتی مطمئن که اطلاعات جامعی از این تست دارند و همچنین مورد اطمینان هستند، توصیه می شود.
پاسخ با نقل قول
