مژگان شبانزاده کارشناس امنیت اطلاعات سازمان فاوا شهرداری اصفهان در گفتگو با ایمنا در خصوص امنیت سیستمهای نرمافزاری گفت: یکی از روشهای یافتن مشکلات امنیتی نرمافزارها در فاز نگهداری از چرخه حیات نرمافزار، اجرای تست نفوذ است.
وی افزود: در اصل تست نفوذ به شبيهسازي آنچه مهاجمان واقعي انجام ميدهند، ميپردازد، اما با هماهنگی و مجوز از صاحبان سیستم بدون اینکه تخریبی صورت گیرد.
شبانزاده بیان داشت: با تست نفوذ میتوان حفرههاي امنيتي سيستمهاي مورد استفاده را مشخص کرد و با برطرف کردن آنها از سوءاستفاده هکرها از این حفرهها پیشگیری کرد.
وی با اشاره به اینکه اگر مهاجمان به سیستم نفوذ کنند ممکن است سیستم با مشکل تخریب و یا عدم دسترسپذیری مواجه شود، عنوان کرد: در این صورت هزینه رفع مشکل بوجود آمده و برطرفسازی حفره نفوذ بیش از اجرای تست نفوذ و برطرف کردن زود هنگام حفرههاست.
کارشناس امنیت اطلاعات سازمان فاوا مزیت تست نفوذ را کاهش هزینههای اصلاح نرمافزار عنوان کرد و گفت: در این راستا سازمان فاوا شهرداری اصفهان اقدام به عقد قراردادهای تست نفوذ بر روی نرمافزارهای خود کرده است که نتیجه آن شناسایی آسیبپذیریها و حفرههای امنیتی نرمافزارها و برطرفسازی آنها و در نتیجه ارتقای امنیت نرمافزارها بوده است.
وی با تاکید بر اینکه بايد دقت داشت كه تست نفوذ تنها يك تصوير لحظهاي از نرمافزار در يك زمان مشخص است، یادآور شد: از سوی دیگر نرمافزارها در طول حیات خود به طور مرتب تغییر میکنند و به روز رسانی میشوند، بنابراین لازم است تست نفوذ نرمافزارها به صورت دورهای و مرتب انجام شود.
مفهوم تست نفوذ
برای آشنایی بیشتر شما با این مباحث توضیحاتی برای شما ارائه شده است که در بخش های زیر می آید:
۱) تست نفوذپذیری چیست ؟
۲) چرا شما به آن نیاز دارید ؟
۳) یک سرویس را انتخاب کنید.
۴) ره آوردهای مختلف تست نفوذپذیری
۵) در ازای پولتان چه چیزی به دست می آورید ؟
● تعریف : تست نفوذپذیری چیست ؟
تست نفوذپذیری رویه ای است که درآن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد. یک تیم مشخص با استفاده از تکنیک های هک یک حمله واقعی را شبیه سازی می کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می کند که ضعف های شبکه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یک سازمان کمک می کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امینیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد.
نتیجه این تست یک گزارش می باشد که برای اجرایی شدن و بازرسی های تکنیکی مورد استفاده قرار می گیرد.
● چرا تست نفوذپذیری؟ چرا شما به آن نیاز دارید؟
دلایل مختلفی وجود دارد که یک سازمان تست نفوذپذری را انتخاب می کند. این دلایل می تواند از مسایل تکنیکی تا مسایل تجاری طبقه بندی گردند. اما برخی از عمومی ترین مسایل آن به صورت زیر می باشد :
- مشخص کردن خطرات و ریسک هایی که سرمایه های اطلاعاتی سازمان شما با آنها مواجهه می شوند. در اصل شما می توانید با ریسک های اطلاعاتی خود آشنا شوید و سپس برای آنها به مقدار مورد نیاز هزینه کنید.
- کاهش هزینه های امنیتی سازمان شما : با مشخص کردن نقاط ضعف و آسیب پذیری های سیستم های اطلاعاتی خود به مقدار قابل توجهی از هزینه های صرف شده برای امنیت، می کاهید ، زیرا که ممکن است آسیب پذیری ها و ضعف هایی در زیرساخت های تکنولوژیکی و یا ضعف های طراحی و پیاده سازی وجود داشته باشد که در تست نفوذپذیری مشخص می شوند.
- ضمانت و آسودگی خاطر را برای سازمان شما به ارمغان می آورد – یک ارزیابی دقیق و کامل از امنیت سازمان شما ، کل سیاستها (Policy ) ، روالها، طراحی و پیاده سازی آن را پوشش می دهد.
- دستیابی و نگهداری گواهینامه ها (BS۷۷۹۹ ، HIPAA و ... )
- بهترین رویه برای تست آیین نامه های صنایع و قوانین حاکم بر آن
● یک سرویس را انتخاب کنید: چه تفاوتی بین انواع تست های مختلف وجود دارد؟
الف) تست نفوذپذیری بیرونی( External Penetration Testing ) :
یکی از عمومی ترین ره آوردهای تست نفوذپذیری می باشد. این تست روی سرور ها، زیر ساخت های شبکه و زیر ساختهای نرم افزارهای سازمان انجام می گیرد. این تست ممکن است بدون دریافت هیچگونه اطلاعاتی از سازمان مورد نظر صورت گیرد ( جعبه سیاه – Black Box ) یا با دریافت کلیه اطلاعات توپولوژیکی و محیطی صورت گیرد ( جعبه شفاف – Crystal Box ). این تست ابتدا با استفاده از منبع اطلاعات عمومی و در دسترس از سازمان مورد نظر شروع می شود و سپس با شناسایی میزبانها و سرور های شبکه هدف و تجزیه و تحلیل آن ادامه پیدا می کند. در ادامه رفتارهای ابزارهای امنیتی مانند مسیریابها و دیواره های آتش تجزیه و تحلیل می گردند. آسیب پذیری های موجود برای هر میزبان شبکه مشخص و بازبینی می گردند و دلایل آن نیز مشخص می شود.
ب) ارزیابی امنیتی داخلی (Internal Security Assessment ) :
روالی مانند تست بیرونی دارد اما یک دید کامل تری نسبت به مسایل امنیتی سازمان ارائه می دهد. این تست عموما از شبکه های Access Point و بازدید و مرور دوباره قسمتهای فیزیکی و منطقی شبکه انجام می گیرد. برای نمونه ممکن است لایه های شبکه، DMZ درون شبکه و شبکه های شرکاء که با شبکه شما مرتبط می باشند نیز مورد بررسی و تست قرار گیرد.
پ) ارزیابی امنیتی برنامه های کابردی (Application Security Assessment )
این تست روی تمامی برنامه های کاربردی اختصاصی و غیر اختصاصی سازمان هدف انجام می گیرد و در طی آن تمامی خطرات این برنامه ها مشخص می شود. برای مثال نباید این برنامه ها، پتانسیل این را داشته باشند که اطلاعات حساس سازمان را در معرض عموم قرار دهند. این ارزیابی مهم و حیاتی می باشد و در طی آن باید بدانیم که اولا؛ این برنامه های کاربردی ، نرم*افزارها و سرور های شبکه را در معرض خطر قرار نمی دهند. دوم اینکه یک کاربر خرابکار نمی*تواند به داده های حیاتی دسترسی داشته باشد و آنها را تغییر دهد یا خراب کند.
حتی در شبکه هایی که دارای زیر ساختهای قوی و قدرتمندی می باشند، یک برنامه کاربردی ناقص و آسیب پذیر می تواند کل شبکه را در معرض خطر قرار دهد.
ت) ارزیابی امنیتی شبکه های بیسیم و دسترسی های از راه دور (Remote Access )
در اصل ارزیابی خطرهایی می باشد که سیستم های سیار را در بر دارد. کار در خانه، با پهنای باند بالا از طریق اینترنت، استفاده از شبکه های بیسیم ۸۰۲.۱۱ و تکنولوژی های دسترسی از راه دور را به صورت گسترده ای افزایش داده است. طراحی و معماری امن اینگونه شبکه ها بسیار مهم و حیاتی می باشد و باید از ریسک ها و خطرهای آنها به صورت کاملی آگاه شویم.
ث) مهندسی اجتماعی (Social Engineering )
اشاره دارد به نفوذ هایی که از راه*های غیر تکنیکی انجام می شود. این بخش به طور کلی روی ارتباطات افراد و کارکنان سازمان تکیه دارد و مشخص می کند چگونه مسایل انسانی سازمان می توانند مسایل امنیتی آن را در معرض خطر قرار دهند و باعث شکسته شدن برخی روال های امنیتی گردند.
مهندسی اجتماع با استفاده از ایجاد روابط قابل اعتماد و دوستانه با اشخاص سازمان و با نمایش قصد کمک به طرف مقابل، اطلاعات حساس امنیتی از جمله کلمات رمز و نام کاربری او را دریافت می کند. موارد دیگر نیز به «آشغال گردی» موسوم است که در آن با جستجو در آشغالهای سازمان مورد نظر، به دنبال اطلاعات حساس و مهم می گردند. همچنین مسایل روان شناختی افراد برای حدس زدن کلمات رمز و ... نیز جزو این بخش از کار می باشد.
● انواع ره آوردهای مختلف : تست جعبه سیاه (Black Box) و تست جعبه سفید (White Box)
تست نفوذپذیری به دو صورت مختلف می تواند انجام گیرد: «جعبه سیاه» ( بدون دریافت هیچگونه دانش اولیه برای تست) و «جعبه سفید »(دریافت کلیه اطلاعات زیر ساختی برای تست)
معمولا شرکت*هایی که کار تست نفوذپذیری را انجام می دهند از شما می*خواهند که یکی از موارد فوق را انتخاب کنید. اما تست جعبه سیاه به نظر بهترین انتخاب می*باشد ، زیرا که یک شبیه سازی حقیقی از حمله یک هکر را پیاده*سازی می*کند. این یک ایده بسیار جالبی می*باشد اما به طور دقیقی درست نیست. اولا اینگونه فرض کردیم که هکر هیچگونه اطلاعاتی از سیستم*های شما ندارد ، که همیشه اینگونه نیست! اگر به طور واقعی یک هکر ، سازمان شما را هدف قرار دهد اینگونه نیست که در اینجا هیچگونه اطلاعاتی از سیستم ها و شبکه داخلی سازمان نداشته باشد ( فرض کنید هکر یکی از کارکنان سازمان شما باشد). البته در هر کدام از این موارد باید خطاهایی را نیز به صورت پیش فرض قبول کنیم. در اصل باید اینگونه فرض کرد که هکر اطلاعات کاملی از سیستم های شما را دارد زیرا که اگر امنیت شما بر اساس پنهان کردن طراحی شبکه باشد بنابراین از لحاظ امنیتی شبکه شما هیچ وقت نباید قابل لمس باشد که این غیر ممکن است! دوم اینکه بر خلاف یک تست*کننده شبکه، یک هکر از لحاظ زمانی محدود نیست و محدودیت هایی که برای یک تست*کننده وجود دارد برای یک هکر وجود ندارد. به عنوان مثال یک مهاجم ممکن است زمان زیادی (بعضی مواقع بیش از یک سال) را صرف کند تا یک آسیب پذیری را در سیستمی پیدا کند و توسط آن به شبکه نفوذ کند.
سوالی که در اینجا مطرح می شود این است که این تست چه مقدار هزینه در بردارد؟ در تست جعبه سیاه مهم آن است که تیم تست کننده باید به مقدار قابل توجهی زمان صرف شناسایی شبکه هدف کند. این زمان ممکن است حتی بیش از زمانی باشد که صرف تست آسیب پذیری ها می*گردد.
اینگونه نیست که بگوییم تست جعبه سیاه هیچ هزینه ای در برندارد ، حتما هزینه هایی را در بر دارد. این مساله خیلی مهم است که تست کننده اطلاعاتی را درباره سیستم هایی که ممکن است توسط افراد دیگر مورد سوءاستفاده قرار گیرد را به دست آورد. پس حتما در تست جعبه سیاه باید زمان بیشتری برای انجام تست در نظر گرفت.
● در ازای پولتان چه چیزی به دست می آورید ؟
تست نفوذپذیری در اصل یک تجزیه و تحلیل اصولی برای تعین میزان امنیت سازمان شما می باشد. یک پروژه کامل ممکن است کلیه موارد مشخص شده در زیر را در ظر گیرد:
▪ Network Security
ـ Network Surveying
ـ Port Scanning
ـ System Identification
ـ Services Identification
ـ Vulnerability Research & Verification
ـ Application Testing & Code Review
ـ Router Testing
ـ Firewall Testing
ـ Intrusion Detection System Testing
ـ Trusted Systems Testing
ـ Password Cracking
ـ Denial of Service Testing
ـ Containment Measures Testing
▪ Information Security
ـ Document Grinding
ـ Competitive Intelligence Scouting
ـ Privacy Review
▪ Social Engineering
ـ Request Testing
ـ Guided Suggestion Testing
ـ Trust Testing
▪ Wireless Security
ـ Wireless Networks Testing
ـ Cordless Communications Testing
ـ Privacy Review
ـ Infrared Systems Testing
ـ Communications Security
ـ PBX Testing
ـ Voicemail Testing
▪ [color=#۵۹۵f۵c]· FAX review
ـ Modem Testing
▪ Physical Security
ـ Access Controls Testing
ـ Perimeter Review
ـ Monitoring Review
ـ Alarm Response Testing
ـ Location Review
ـ Environment Review
بنابراین برای انجام کامل تست نیاز به صرف وقت کافی می باشد. گوهر و ارزش تست نفوذپذیری به گزارشی می باشد که در انتها دریافت می کنید. این گزارش باید در بخش های مختلفی آماده شود حتی این گزارش باید برای مدیران قابل فهم باشد و از طرفی باید گزارش برای کسانی که در بخش امنیتی سازمان شما و یا در بخش های تکنیکی و گواهینامه های امنیتی فعالیت دارند نیز کاربرد داشته باشد.
هیئت مدیره سازمان نیاز دارد که از خطرات موجود و راه حل*های ممکن آن به دور از مسایل تکنیکی آگاه شود. مدیران تکنیکی نیاز دارند که دید بازتری نسبت به وضعیت موجود داشته باشند که البته این دسته از افراد نیز ، نیازی به کلیه جزییات ندارند. ولی مدیران سیستم ها و مدیران شبکه باید از آسیب پذیری*های هر سیستم به صورت جزیی و دقیق اطلاعات کاملی داشته باشند.
البته این گزارش ها برای سازمانهای مختلف می تواند متفاوت باشد. در بعضی مواقع از چند صفحه تا چند صد صفحه گزارش می تواند تغییر داشته باشد.