امنیت

هکرهای اخلاقی سعی می کنند به یک شبکه یا وب سایت نفوذ کرده و از آسیب‌پذیری‌ها بهره‌برداری کنند. با انجام این کار، شرکت‌ها می‌توانند از این حفره‌های امنیتی بالقوه آگاه شده و راه‌‌های نفوذ را قبل از دسترسی هکرها به آن، از بین ببرند.

پروژه های ارزیابی در این حوزه معمولا شامل دو دسته پروژه ها می باشند:

1. 1. ارزیابی آسیب پذیری (Vulnerability Assessment)

   2. تست نفوذ (Pentest)

ارزیابی آسیب‌پذیری فرآیند استفاده از ابزارهای خاص برای شناسایی، طبقه‌بندی و امتیازدهی آسیب‌پذیری‌های موجود در یک سیستم یا وب سایت می باشد در حالی که تست نفوذ به بهره برداری فعال از آسیب پذیری ها برای تعیین شدت، واقعی بودن، احتمال ایجاد آسیب و سایر موضوعات اشاره دارد. در واقع هر دوی آن ها به منظور شناسایی آسیب پذیری ها انجام می شود ولی تست نفوذ، عمیق تر بوده و شامل مراحل بیشتری از جمله بهره برداری از آسیب‌پذیری‌ها به منظور اطمینان از وجود/صحت آسیب پذیری های یافت شده، بوده و شبیه سازی حمله در پروژه تست نفوذ انجام می گردد.

خاطر نشان می شود که تیم امنیت سکو آمادگی اجرای هر دو  نوع پروژه “ارزیابی آسیب پذیری” و “تست نفوذ” را دارد.

به منظور انجام تست نفوذ، متدولوژی ها و استانداردهای مختلفی نظیر PTES, OWASP, ISSAF, OSSTMM وجود دارد. هر یک از این متدولوژی ها دارای مراحل، ویژگی ها و چهارچوب خاصی می باشد. فرایند طراحی شده توسط تیم امنیت سکو، مبتنی بر استاندارد PTES که در مراحل آن از متدولوژی OWASP استفاده شده است.

استاندارد PTES شامل 7 فاز اصلی می باشد:

• فاز تعاملات قبل از انجام تست (Pre-Engagement)
• جمع آوری اطلاعات (Information Gathering)
• مدل سازی تهدیدات (Threat Modelling)
• آنالیز آسیب پذیری ها (Vulnerability Analysis)
• فاز بکارگیری (Exploitation)
• فاز پس از بکارگیری (Post-Exploitation)

• فاز گزارش دهی (Reporting)

همچنین از متدولوژی  OWASP نیز به منظور جمع آوری اطلاعات و شناسایی آسیب‌پذیری‌ها در سامانه های تحت وب استفاده می گردد.

انواع استراتژی ها/روش‌های تست نفوذ

برای انجام تست نفوذ، روش های مختلفی می توان به کار برد که انتخاب آن ها به اهداف شرکت/سازمان بستگی دارد. برخی از روش های تست نفوذ به شرح ذیل می‌باشند:

• Double blind testing:

این نوع تست که به black testing نیز مشهور است، اشاره به زمانی دارد که کارشناسان تست نفوذ هیچ اطلاعاتی را درباره سیستم/سامانه هدف جز نام آن دریافت نکرده اند و تقریبا هیچ کس در سازمان مورد هدف نیز اطلاعی از این حمله کنترل شده ندارد. این نوع تست کمک می‌کند تا فرایندهای مانیتورینگ امنیت و شناسایی رویدادها و نیز رویه های تشدید بحران و واکنش سازمان/شرکت نیز ارزیابی شوند.

• Blind testing:

این نوع تست اشاره به زمانی دارد که کارشناسان تست نفوذ هیچ اطلاعاتی را درباره سیستم/سامانه هدف جز نام آن دریافت نکرده اند و در واقع اعمال یک هکر واقعی شبیه سازی خواهد شد. همچنین سازمان هدف برای انجام تست نفوذ آماده بوده و از تمام جزییات تست آگاهی دارد.

• Gray testing:

در این نوع تست، کارشناسان تست نفوذ، اطلاعات و دسترسی محدودی به سامانه ها داشته و سازمان هدف برای انجام تست نفوذ آماده بوده و از تمام جزییات تست آگاهی دارد.

• White testing:

در این نوع تست، کارشناسان تست نفوذ، اطلاعات و دسترسی کاملی به سامانه ها داشته و سازمان هدف برای انجام تست نفوذ آماده بوده و از تمام جزییات تست آگاهی دارد.

• Crystal testing:

در این نوع تست، کارشناسان تست نفوذ و سازمان هدف برای انجام تست آمادگی کامل داشته و هر دو از قبل از همه جزییات اطلاعات دارند. با این حال کارشناسان تست نفوذ می توانند آمادگی سازمان هدف را در قبل انجام تست هایی با متغیرهایی که سازمان از آن ها مطلع نیست، آزمایش نمایند.