KAMBIZ TAYEBI © 2018  |  PRIVACY POLICY

(+98) 912 336 9519

تست نفوذ و امنیت شبکه

 

تست نفوذ با رویکردی بر ارزیابی امنیت سازمان‌ها و سیستم‌ها می‌تواند به‌عنوان یک بازرسی هدفمند و قانونی، سطح امنیت را مشخص نماید. در فرایند تست نفوذ، مختصصین با استفاده از فن‌ها و شگردها، شروع به شبیه‌سازی حمله به سازمان و سیستم‌ها را انجام می‌دهند و در انتها گزارش کاملی را به سازمان‌ها ارائه داده و نحوه اصلاح ضعف‌های امنیتی شبکه و ساختار سازمان را مورد تجزیه‌وتحلیل قرار می‌دهند. این سلسله‌مراتب باید برای سازمان‌ها و سیستم‌ها به‌صورت فرایندی چرخه‌ای همیشه و در بازه‌های زمانی مختلف انجام گیرد تا امنیت را در سازمان برقرار نماید.

باید به این نکته توجه داشته باشیم که تست نفوذ یک فرایند است و نباید آن را به‌عنوان یک فعالیت در نظر بگیریم که پس از پایان آن امنیت برقرارشده باشد و دیگر نیازی به تست نفوذ نباشد. بلکه این، یک تفکر اشتباه درباره تست نفوذ است که بخواهیم آن را به‌عنوان یک فعالیت بنامیم و بعد از اتمام کار دیگر آن را انجام ندهیم. تست نفوذ باید برای سازمان‌ها و سیستم‌های مختلف به‌صورت یک فرایند بازه‌ای انجام پذیرد تا امنیت اطمینان همیشه برقرار باشد.

 

دلایل انجام تست نفوذ

دلایل گوناگون و متفاوتی برای انجام تست نفوذ وجود دارد که بنا به مسائل فنی، تکنیکی و تجاری دسته‌بندی می‌گردند.

اولین دلیل انجام تست نفوذ می‌توان به خطرات و شکاف‌های امنیتی نام برد که باعث می‌گردد سرمایه‌های (چه ازلحاظ اطلاعاتی و مالی) سازمان‌ها به خطر انداخته شوند.

دومین دلیلی که باید از تست نفوذ استفاده کنیم، کاهش هزینه‌های اضافی امنیتی سازمان‌ها است. با مشخص کردن شکاف‌های امنیتی و نقاط ضعف، سازمان می‌تواند از هزینه‌های اضافی که برای امنیت در سازمان پرداخت می‌کند، جلوگیری به عمل آورد.

سومین دلیل اطمینان خاطری است که سازمان‌ها بعد از تست نفوذ به دست می‌آورند. تست نفوذ یک اطمینان خاطر از ارزیابی و بازرسی کامل و مفصل امنیت سازمان‌ها را در اختیار شما قرار می‌دهد.

چهارمین دلیل انجام تست نفوذ، دریافت گواهینامه‌ها و استانداردهای قابل‌اعتماد جهت حصول اطمینان از امنیت در سازمان است.

 

تست نفوذ و اهداف آن

در فرآیند نفوذ اهداف گوناگونی وجود دارد که می‌توان آن‌ها را در گروه‌های کاملاً متفاوتی دسته‌بندی نمود. در ادامه با این اهداف آشنا خواهیم شد.

 

الف) امنیت فیزیکی

در تست نفوذ اولین لایه‌ی امنیتی که باید در نظر گرفته شود، لایه فیزیکی است. غالباً در فرایندهای تست نفوذ این لایه نادیده گرفته‌شده یا با توجه کمتری موردبررسی قرار می‌گیرد. ایمن کردن مکان‌های امنیتی سازمان‌ها یا سیستم‌ها ازنظر فیزیکی باعث می‌گردد که افراد غیرمجاز از دسترسی و آسیب رساندن به اطلاعات حساس و حیاتی جلوگیری به عمل آورد؛ بنابراین در اولین لایه از تست نفوذ باید به امنیت فیزیکی توجه خاص و ویژه‌ای داشته باشیم.

 

ب) امنیت در شبکه

نفوذ به شبکه، یکی از متداول‌ترین و عمده‌ترین اهداف برای مشتریان تست نفوذ است. در این آزمایش هدف کشف شکاف‌ها و آسیب‌پذیری‌های امنیتی در زیرساخت‌های شبکه‌ای سازمان‌ها است. این‌گونه از آزمایش‌ها را هم می‌توان از راه دور و هم در داخل سازمان مربوطه انجام داد. در سازمان‌ها بنا به اولویت‌های امنیتی و نیازهای سازمانی می‌توان هر دو نوع تست نفوذ (از راه دور و در داخل سازمان) را انجام داد. در این‌گونه از تست نفوذ می‌توان به انواع آزمایش‌های زیر اشاره نمود.

• بررسی پیکربندی دیواره آتش و نحوه عملکرد آن

• فرار از چنگال سیستم‌های IDS&IPS

• بررسی‌های مربوط به سرویس DNS

• بررسی سرویس‌های مختلف ازجمله SSH و SQL

• بررسی پروتکل‌های لایه‌های Application، Transport و Network

 

چ) امنیت در شبکه‌های بیسیم

غالباً سازمان‌ها از شبکه‌های بیسیم برای ارتباطات داخل یا بین سازمانی به‌عنوان یک راه‌حل آسان و کم‌هزینه استفاده می‌نمایند. در این سازمان‌ها ممکن است اطلاعات و داده‌های حساس در بستر بیسیم منتقل گردند. ازآنجایی‌که شبکه‌های بیسیم دارای امنیت کمتری نسبت به شبکه‌های کابلی هستند، باید نسبت به این شبکه‌ها تست‌های نفوذی انجام پذیرد تا بتوانیم از صحت و درستی، امنیت پروتکل‌های ارتباطی و ارتباطات این شبکه‌ها، اطمینان حاصل نماییم.

 

د) مهندسی اجتماعی و تست نفوذپذیری

در این روش کاربران و مدیران و کلیه کسانی که در سازمان مربوطه فعالیت دارند باید مورد ارزیابی امنیتی قرار بگیرند. در این روش با استفاده از حقه‌ها و فریب‌های مختلف کاربران را مورد ارزیابی قرار داده تا میزان سطح آگاهی و دانش آن‌ها در مورد حملات مهندسی اجتماعی ارزیابی گردد. در صورت عدم آگاهی کاربران، این‌گونه از حملات می‌تواند یکی از خطرناک‌ترین حملات در سطح سازمان باشد.

 

و) تست نفوذ و ارزیابی برنامه‌های کاربردی وب

این نمونه از آزمایش‌ها را می‌توان یکی دیگر از حساس‌ترین بخش‌های امنیت و نفوذ دانست، زیرا در این نوع آزمایش باید دقیق‌تر و با جزئیات بیشتری مورد ارزیابی امنیتی قرار بگیرد. با این نوع از تست نفوذ می‌توانیم کلیه‌ی آسیب‌پذیری‌ها و شکاف‌های امنیتی مبتنی بر وب را کشف نماییم. ازآنجایی‌که این نوع از تست نفوذ دارای گستره و پیچیدگی فراوانی است باید به‌صورت کاملاً عمیق و صحیح مورد بررسی و ارزیابی قرار گیرد.

در وب‌سایت شکاف، ما شکافی ژرف و عمیق در دنیای امنیت برنامه‌های کاربردی وب خواهیم داشت و کار خود را با آموزش‌های ویدیویی از پایه‌ی مقدماتی شروع کرده و تا انتهای راه که متخصص شدن امنیت سایت است شما را همراهی خواهیم نمود. با سیر تکاملی آموزشی در وب‌سایت شکاف، شما می‌توانید از متخصصان برجسته امنیت برنامه‌های کاربردی وب شوید و در جایگاه والایی از امنیت سایت قرار داشته باشید.

 

ی)  کنترل و تست، سیستم‌های امنیتی

با توجه به افزایش حملات و تهدیدات، باید به‌صورت دوره‌ای تمامی سامانه‌ها و سیاست‌های امنیتی سازمان مورد بررسی و ارزیابی قرار گیرد. گاهی اوقات خود سیاست‌های امنیتی دچار مشکل می‌گردند و یا به‌مرورزمان منسوخ می‌گردند، بنابراین بازرسی، بازبینی، بررسی و ارزیابی این سیاست‌ها کمک شایانی در افزایش امنیت یک سازمان خواهد داشت.