آزمون نفوذ (تست نفوذ)

آزمون نفوذ که PenTest هم نامیده می‌شود عمل آزمون بر روی یک سیستم کامپیوتری، شبکه، یا یک اپلیکیشن تحت وب برای پیدا کردن آسیب پذیری‌های امنیتی است که یک مهاجم می‌توانداز آنها سواستفاده کند. آزمون نفوذ هم می‌تواند بصورت خودکار توسط ابزار انجام شود و هم می‌تواند بصورت دستی صورت گیرد. فرایند شامل جمع آوری اطلاعات در مورد هدف پیش از شروع آزمون، شناسایی نقاط شروع، تلاش برای نفوذ و درنهایت گزارش دهی از وضعیت آسیب‌پذیری‌ها است.
هدف اصلی از آزمون نفوذ شناسایی ضعف‌های امنیتی است. آزمون نفوذ نیز می تواند مورد استفاده برای تست سیاست امنیتی سازمان، پیروی از الزامات انطباق، آگاهی امنیتی کارکنان و توانایی سازمان برای شناسایی و پاسخ به حوادث امنیتی باشد. معمولا اطلاعاتی که در مورد ضعف‌های امنیتی از طریق آزمون نفوذ، شناسایی و مورد سواستفاده قرار گرفته‌اند، جمع‌آوری شده و به مدیران سازمانی و سیستم‌های اطلاعاتی می‌رسد و آنها را قادر می‌سازد تصمیم‌های استراتژیک و اولویت‌بندی برای بستن راه‌های نفوذ را تعیین کنند. آزمون نفوذ بعضی اوقات حملات کلاه سفید نامیده می‌شود زیرا مهاجمینی در یک آزمون نفوذ قصد شکستن امنیت را  دارند، افراد خرابکاری نیستند.

اهداف آزمون نفوذ 
هدف اصلی یک آزمون نفوذ شناسایی نقاط ضعف در امنیت یک سازمان است. یک آزمون نفوذ همچنین می‌تواند ضعف‌های سیاست‌های امنیتی یک سازمان را مشخص کند. برای نمونه، اگرچه یک سیاست امنیتی بر روی پیشگیری و شناسایی یک حمله روی یک سیستم تجاری تمرکز می کند، اما ممکن است این سیاست فرایندی برای بیرون انداختن هکرها نداشته باشد.
گزارش‌های تولید شده توسط یک آزمون نفوذ بازخوردهای لازم برای اولویت بندی سرمایه‌گذاری هایی که درنظر برای امنیت انجام دهند ارایه میدهد. این گزارش همچنین می تواند به توسعه دهندگان نرم افزار کمک کند برنامه ها را با امنیتی بیشتری ایجاد کنند. اگر توسعه دهندگان درک کنند که چگونه هکرها وارد اپلیکیشن‌ها شده اند آنگاه هکرها به توسعه کمک کرده اند. قصد این است که توسعه دهندگان را ترغیب به ارتقاء آموزش خود در مسائل امنیتی کنند تا در آینده یک اشتباه مشابهی ایجاد نکنند.

هرچند وقت آزمون نفوذ باید انجام شود؟
سازمان‌ها آزمون نفوذ را باید به طور منظم انجام دهند (ایده آل، یک بار در سال) که از پایداری امنیت شبکه و مدیریت اطلاعات اطمینان حاصل گنند. علاوه بر آزمون های دوره ای که یک سازمان دارد، آزمون نفوذ می‌تواند در زمان‌های زیر برای یک  سازمان انجام شود:
  • زیرساخت شبکه یا اپلیکیشن اضافه شود.
  • برروز رسانی و تغییرات عمده ای در زیرساخت یا اپلیکیشن‌های فعلی صورت گیرد.
  •  اداره‌ها را در نقاط جدیدی راه اندازی کنند.
  •  وصله‌ها امنیتی استفاده شود.
  •  سیاستهای کاربر نهایی تغییر کند.

به هر حال، چون آزمون نفوذ برای همه به یک شکل انجام نمی‌شود، زمانی که یک شرکت قصد انجام آن را دارد باید چندین عامل درنظر گرفته شود:
  •  اندازه یک شرکت. شرکت‌هایی که حضور آنلاین بیشتری دارند اهداف جذاب تری برای هکرها هستند.
  •  آزمون نفوذ می تواند هزینه بر باشد. بنابراین یک شرکت با بودجه کوچکتر ممکن است قادر به انجام  سالانه آن نباشد. سازمان با بودجه كوچك ممكن است تنها در هر دو سال تنها بتواند آزمايش نفوذ را انجام دهد در حالي كه يك شركت با بودجه بزرگتر مي‌تواند يك بار در سال از تست نفوذ انجام دهد.
  •  بر اساس قانون و مقررات، سازمان‌هایی که در صنایع خاصی فعالیت می‌کنند باید وظایف امنیتی خاصی از جمله آزمون نفوذ، مورد نیاز است.
  •  شرکتی که زیرساخت آن در یک خدمات ابری باشد ممکن است مجاز به آزمون زیرساخت ارائه دهنده ابر نباشد. با این حال، ارائه دهنده ممکن است خودش آزمون نفوذ را انجام دهد.

تلاش‌های آزمون نفوذ باید متناسب با سازمان فردی و نیز صنعتی باشد که در آن عمل می‌کند و باید شامل وظایف پی‌گیری و ارزیابی باشد تا آسیب‌پذیری‌های موجود در آزمون‌ها، در آخرین آزمون نفوذ گزارش شوند.

ابزارهای آزمون نفوذ
آزمونگران نفوذ اغلب از ابزارهای آماده برای کشف آسیب پذیری‌های استاندارد اپلیکیشن‌ها استفاده می‌کنند. ابزارهای آزمون نفوذ کد برنامه‌ها را به منظور شناسایی کدی مخرب اسکن می‌کنند که می‌تواند منجر به نقص امنیت شود. ابزارهای آزمون نفوذ تکنیک‌های رمزنگاری داده‌ها را بررسی کرده و می‌توانند مقادیر بسیار کدگذاری شده مانند نام کاربری و گذرواژه را شناسایی کنند تا وجود آسیب‌پذیری‌های امنیتی در سیستم را تایید کنند.ابزارهای آزمون نفوذ باید:
  •  پیکربندی، استقرار و استفاده آن ساده باشد.
  •  اسکن سیستم را به سادگی انجام دهد.
  •  آسیب پذیری‌ها را بر اساس درجه اهمیت، مرتب کنند.
  •  قادر به خودکارسازی صحت آسیب پذیری‌ها
  •  بازتایید اکسپلویت‌های قبلی و تولید گزارش‌ها و لاگ‌های با جزئیات آسیب پذیری‌ها
بیش‌تر ابزارهای آزمون رایگان و منبع باز هستند. این ویژگی باعث می‌شود که آزمونگران بتوانند برحسب نیازهایی که دارند ابزار را تغییر دهند. بعضی از ابزارهایی که بیشترین استفاده را دارند به شرح زیر می‌باشند:
پروژه متااسپلویت یک پروژه متن باز و متعلق به شرکت امنیتی Rapid7 است که مجوز کامل نسخه‌های نرم افزار متااسپلویت می‌دهد. در این پروژه ابزارهای آزمون مشهوری قرار دارد که می توانند بر روی سرورها، اپلیکیشن‌ها و شبکه‌های آنلاین مورد استفاده قرار گیرند. متااسپلویت می‌تواند برای کشف مشکلات امنیتی، تایید میزان آسیب‌پذیری و مدیریت فرایندهای امنیتی مورد استفاده قرار گیرد.
Nmap، مخفف "نگارنده شبکه"، یک اسکنر درگاه است که سیستم‌ها و شبکه‌ها را برای آسیب پذیری‌های مربوط به درگاه‌های باز اسکن می‌کند. به علاوه،Nmap می‌تواند برای نظارت بر میزبان‌ها و زمان بالابودن سرویس‌ها و نگاشت سطوح حملات شبکه مورد استفاده قرار گیرد.
Wireshark ابزاری برای تحلیل ترافیک شبکه است. Wireshark به سازمان‌ها امکان می‌دهد تا جزئیات کوچک‌تر فعالیت‌‌ها را در شبکه‌های خود را ببینند. این ابزار نفوذ یک تحلیل‌گر شبکه، شنودکننده شبکه، تحلیل‌گر پروتکل‌های شبکه است که آسیب‌پذیری‌ها را در ترافیک شبکه به صورت بلادرنگ مورد ارزیابی قرار می‌دهد. Wireshark اغلب برای بررسی جزئیات ترافیک شبکه در سطوح مختلف مورد استفاده قرار می‌گیرد.
John the Ripper کراکرهای رمزعبور متفاوتی را در یک بسته قرار می‌دهد و به طور خودکار انواع مختلف هش‌های رمز عبور را شناسایی می کند و یک کراکر قابل تنظیم را تعیین می‌کند. آزمونگران نفوذ به طور معمول از این ابزار برای پیدا کردن رمزعبورهای ضعیف در سیستم‌ها و پایگاه داده‌ها استفاده می کنند.بسیاری از ابزارهایی که استفاده می‌کنند، هکرهای کلاه سیاه نیز استفاده می‌کنند. به دلیل اینکه این ابزارها به خوبی مستند شده و به طور گسترده ای در دسترس هستند. همچنین به آزمون‌گران نفوذ کمک می‌کند تا درک بهتری از چگونگی استفاده از این ابزار برای حمله روی سازمان های خود استفاده کرد.

استراتژی‌های آزمون نفوذ
یکی از مهم‌ترین جنبه‌های هر برنامه آزمون نفوذ، تعریف دامنه‌ای است که آزمونگران باید روی آن عمل کنند. به طور معمول، حوزه‌ سیستم‌ها، مکان‌ها، تکنیک‌ها و ابزارهایی را تعریف می‌کند که در یک آزمایش نفوذ مورد استفاده قرار دارند. محدود کردن دامنه آزمون نفوذ کمک می‌کند به تمرکز اعضای تیم روی سیستم‌هایی که سازمان کنترل آنها را برعهده دارد. به عنوان مثال، اگر آزمونگران نفوذ دسترسی به یک سیستم را به دست آورند، زیرا یک کارمند یک کلمه عبور را در دید عموم قرار داده است، این امر اقدامات امنیتی بدی را از سوی کارمند نشان می دهد. و به این معنی نخواهد بود که امنیت نرم افزار مشکل داشته است. در اینجا چند مورد از استراتژی‌های اصلی تست خودکار مورد استفاده متخصصان امنیتی آورده شده‌است:
  • آزمون هدفمند (Targeted testing) توسط تیم فناوری اطلاعات سازمان و تیم آزمون نفوذ انجام می‌شود. گاهی اوقات به عنوان "چراغ روشن" یاد می‌شود زیرا همه می‌توانند این آزمون را ببینند.
  • آزمون خارجی (External testing) یک سرور قابل‌ مشاهده خارجی یا سرورهای نام دامنه، سرورهای پست الکترونیکی، سرورهای وب یا فایروال شرکت را هدف قرار می‌دهد. هدف این است که بفهمیم که آیا یک مهاجم خارجی می‌تواند وارد شود و تا چه زمانی پس از ورود می‌تواند به آن‌ها دسترسی پیدا کرده‌اند.
  • آزمون داخلی (Internal testing)‌ شبیه یک حمله داخلی پشت فایروال توسط یک کاربر احراز هویت شده با دسترسی استاندارد است. این نوع آزمون برای تخمین میزان آسیب یک کارمند ناراضی می‌تواند مفید باشد.
  • آزمون کور (Blind testing) اقدامات و رویه‌های یک مهاجم واقعی را با محدود کردن اطلاعاتی که به فرد یا تیم پیش از آزمایش داده ‌می‌شود، شبیه‌سازی می‌کند. به طور معمول، به آزمون‌گران نفوذ ممکن است فقط نام شرکت داده شود. از آنجا که این نوع آزمون می‌تواند زمان قابل توجهی برای شناسایی نیاز داشته باشد، می‌تواند گران باشد.
  • آزمون دو سو کور (Double-blind testing) آزمون کور را انجام می‌دهد و یک قدم جلوتر می‌رود. در این نوع آزمون نفوذ، فقط یک یا دو نفر درون سازمان ممکن است از انجام یک آزمایش آگاه باشند. آزمون دو سو کور می‌تواند برای آزمایش نظارت امنیتی و شناسایی حوادث یک سازمان و رویه‌های پاسخ آن مفید باشد.
  • آزمون جعبه سیاه (Black box testing) اساسا همان آزمون کور است، اما آزمونگر قبل از انجام آزمایش هیچ اطلاعاتی دریافت نمی‌کند. در عوض، آزمونگران نفوذ باید مسیر حمله خود را در سیستم پیدا کنند.
  •  آزمون جعبه سفید (White box testing) اطلاعاتی در مورد شبکه هدف قبل از شروع کار خود برای آزمونگران نفوذ فراهم می‌کند. این اطلاعات می‌تواند شامل مواردی مانند آدرس‌های IP، زیرساخت شبکه و پروتکل‌های استفاده شده به همراه کد منبع باشد.

 با استفاده از استراتژی های مختلف آزمون نفوذ، به تیم آزمون کمک می‌شود تا تمرکز بیشتری بر سیستم‌های مورد نظر داشته باشند و به دید بهتری نسبت به انواع حملات مورد تهدید بدست آورند.
منبع

مجموعه امن‌بان با بهره‌گیری از پرسنل با تجربه و فارغ التحصیلان دانشگاه صنعتی شریف و امیرکبیر، قادر به انجام تمامی آزمون‌های یادشده در سطوح مختلف امنیتی و ارایه گزارش مربوط به آنها می‌باشد.