این سوال که تست نفوذ چیست، شاید برای بیشتر شما علاقهمندان به سرور، شبکه و یا حتی دارندگان یک و یا چند سایت، که امنیت سرور برایشان اهمیت دارد، پیش آمده باشد، در این مطلب، به بررسی این موضوع و همچنین معرفی انواع تست نفوذ خواهیم پرداخت.
تست نفوذ چیست؟
در توضیح این که تست نفوذ چیست، تست نفوذ، که به عنوان تست قلم نیز شناخته میشود، یک حمله سایبری شبیه سازی شده علیه سیستم کامپیوتری شما برای بررسی آسیب پذیریهای قابل بهره برداری است. در زمینه امنیت برنامههای کاربردی وب، تست نفوذ، معمولا برای تقویت دیوار آتش برنامه وب (WAF) استفاده میشود.
تست قلم، میتواند شامل تلاش برای نقض هر تعداد از سیستمهای کاربردی، (به عنوان مثال، رابطهای پروتکل برنامه (API)، سرورهای frontend/backend) برای کشف آسیبپذیریها، مانند ورودیهای ضدعفونیشده که مستعد حملات تزریق کد هستند، باشد.
بینشهای ارائه شده توسط تست نفوذ را میتوان برای تنظیم دقیق خط مشیهای امنیتی WAF و اصلاح آسیب پذیریهای شناسایی شده استفاده کرد.
تست نفوذ باید به عنوان روشی برای کسب اطمینان در ارزیابی آسیبپذیری و فرآیندهای مدیریت سازمان شما در نظر گرفته شود، نه به عنوان روش اولیه برای شناسایی آسیب پذیریها.
تست نفوذ توسط چه کسی باید انجام شود؟
بهتر است یک تست نفوذ توسط شخصی انجام شود، که اطلاعات کمی در مورد نحوه ایمن سازی سیستم دارد، زیرا ممکن است بتواند نقاط کوری را که توسط توسعه دهندگان سازنده سیستم از دست دادهاند، آشکار کند.
به همین دلیل معمولاً پیمانکاران خارجی برای انجام آزمایشات وارد میشوند. این پیمانکاران اغلب به عنوان “هکرهای اخلاقی” شناخته میشوند، زیرا آنها برای هک کردن یک سیستم با مجوز و به منظور افزایش امنیت استخدام میشوند.
در آخر باید بدانید، فرد و یا تیمی که تست نفوذ را برای شما انجام میدهد، باید فردی قابل اعتماد باشد، ما در زاگریو توسط تیم حرفهای که داریم، این خدمت را با پشتیبانی ۲۴ ساعته برای شما عزیزان انجام خواهیم داد.
انواع تست نفوذ چیست؟
تست نفوذ وب اپلیکیشن ( Web Application penetration testing)
تست نفوذ اپلیکیشنهای وب، مربوط به امنیت کلی و خطرات احتمالی اپلیکیشنهای کاربردی وب، از جمله خطاها میباشد و آنها را مورد بررسی قرار میدهد.
تست نفوذ شبکه (Network penetration testing)
تست نفوذ شبکه، با هدف جلوگیری از کارهای مخرب، به وسیلهی پیدا کردن نقاط ضعف شبکه، قبل از حمله است.
تست نفوذ جعبه سفید (White box penetration testing)
تست نفوذ جعبه سفید، با اسمهای white box، crystal و oblique نیز، شناخته میشود، نوعی از تست نفوذ است، که تمام دادههای شبکه و سیستم با آزمون گیرنده به اشتراک گذاشته میشود.
تست نفوذ جعبه سیاه (Black box penetration testing)
در تست نفوذ جعبه سیاه، آزمونگیرنده هیچ اطلاعاتی ندارد، تستر، در این روش، رویکرد یک مهاجم غیرمجاز را دنبال مینماید، از گرفتن دسترسی اولیه تا بهرهبرداری از آسیب پذیریها.
تست نفوذ جعبه خاکستری (Grey box penetration testing)
تست نفوذ جعبه خاکستری، با نامهای Gray box و translucent box هم شناخته میشود، در این روش، اطلاعاتی محدود به آزمون گیرنده داده میشود و این دادهها به صورت یک اعتبارنامه برای ورود به سیستم است.
تست نفوذ اینترنت IoT (IoT Security Tests)
تست نفوذ اینترنت، با توجه به شیوه لایهای، که در آن هر لایه به صورت مجزا مورد بررسی قرار میگیرد اقدام به تجزیه و تحلیل هر جزء و نحوه تعامل بین اجزا مینماید. با استفاده از این روش، نقاط ضعیفی که ممکن است مورد توجه قرار نگیرد، شناسایی میشود.
تست نفوذ ابری (Cloud penetration testing)
در توضیحی ساده، همکاری تیمهای تست نفوذ با ارائه دهندگان کلاد و فروشندگان شخص ثالث را که به منظور طراحی و امن سازی سیستمهای ابری یا برنامههای مبتنی بر ابر انجام میگیرد، تست نفوذ ابری گویند.
تست نفوذ کلاد تاییدکننده، امنیت سیستمهای مبتنی بر ابر میباشد و خطرات احتمالی را شناسایی میکند تا رفع آنها محیط ابری امنتر را داشته باشیم.
روشهای تست نفوذ
تست خارجی
تستهای نفوذ خارجی، داراییهای یک شرکت را هدف قرار میدهند که در اینترنت قابل مشاهده هستند، به عنوان مثال، خود برنامه وب، وبسایت شرکت و سرورهای ایمیل و نام دامنه (DNS)، هدف دستیابی به دادههای ارزشمند و استخراج آن است.
تست داخلی
در یک تست داخلی، یک آزمایشکننده با دسترسی به برنامهای در پشت فایروال خود، حمله یک خودی مخرب را شبیهسازی میکند.
تست کور
در یک تست کور، یک آزمایشکننده فقط نام شرکتی را که هدف قرار میگیرد، داده میشود. این به پرسنل امنیتی امکان میدهد در زمان واقعی، نگاهی به نحوه انجام حمله واقعی به برنامه داشته باشند.
تست هدفمند
در این سناریو، هم تستر و هم پرسنل امنیتی با هم کار میکنند و یکدیگر را از حرکاتشان ارزیابی میکنند. این یک تمرین آموزشی ارزشمند است که به تیم امنیتی بازخورد بلادرنگ از دیدگاه هکرها را ارائه میدهد.
تست نفوذ سمت مشتری (Client Side Penetration Testing)
از تست نفوذ سمت کلاینت برای کشف آسیبپذیریها یا ضعفهای امنیتی در برنامههای سمت کلاینت استفاده میشود. اینها میتوانند یک برنامه یا برنامههایی مانند Putty، کلاینتهای ایمیل، مرورگرهای وب (مانند کروم، فایرفاکس، سافاری و غیره)، Macromedia Flash و غیره باشند. برنامههایی مانند Adobe Photoshop و Microsoft Office Suite نیز در معرض آزمایش هستند.
تست نفوذ بی سیم (Wireless Penetration Testing)
تست نفوذ بیسیم، شامل شناسایی و بررسی اتصالات بین تمام دستگاههای متصل به وایفای کسبوکار است. این دستگاهها شامل لپتاپ، تبلت، گوشیهای هوشمند و سایر دستگاههای اینترنت اشیا (IoT) هستند.
آزمایشهای نفوذ بیسیم معمولاً در محل انجام میشوند، زیرا تست نفوذ برای دسترسی به آن باید در محدوده سیگنال بیسیم قرار داشته باشد. روش دیگر، NUC و WiFi Pineapple را میتوان در محل مستقر کرد، تا آزمایش را از راه دور انجام دهد.
تست نفوذ فیزیکی (Physical Penetration Testing)
آزمایش نفوذ فیزیکی یک تهدید در دنیای واقعی را شبیهسازی میکند که به موجب آن یک تستر نفوذ تلاش میکند، موانع فیزیکی را برای دسترسی به زیرساختها، ساختمان، سیستمها یا کارکنان کسبوکار به خطر بیاندازد.
بدون دیدگاه