تست یا آزمون نفوذپذیری - Penetration Test چیست؟

تست نفوذ یا Penetration Test یک پروسه مجاز، برنامه‌ریزی شده و سیستماتیک برای به کارگیری آسیب‌پذیری‌ها جهت نفوذ به سرور، شبکه و یا منابع برنامه‌های کاربردی است. در واقع تست نفوذ روشی برای ارزیابی امنیتی یک سیستم یا شبکه کامپیوتری است که از طریق شبیه‌سازی حمله یک هکر یا نفوذگر خرابکار جهت شناسایی آسیب‌ها صورت می‌گیرد. به بیان دیگر تست نفوذپذیری رویه‌ای است که درآن میزان امنیت اطلاعات سازمان مورد ارزیابی قرار می‌گیرد. یک تیم مشخص با استفاده از تکنیک‌های هک یک حمله واقعی را شبیه‌سازی می‌کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می‌کند که ضعف‌های شبکه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آن‌ها برآید.
یک عملیات تست نفوذسنجی چگونگی پاسخگویی یا بهتر بگوییم عکس‌العمل سیستم هدف را در مقابل حمله انجام‌شده فارق از این‌که حمله به‌صورت موفقیت‌آمیز یا ناموفق انجام شود و یا چه میزان اطلاعات از سیستم به دست می‌آید را بررسی و تشخیص می‌دهد. در این میان قدرت سیستم‌های تدافعی سیستم‌های اطلاعاتی که در این حمله دخیل هستند نیز ارزیابی می‌شود.
یک اقدام هماهنگ‌نشده برای دسترسی بدون اجازه به منابع را نمی‌توان یک تست نفوذ دانست بلکه تست نفوذ باید به صورت برنامه‌ریزی‌شده و هماهنگ با صاحبان سیستم انجام شود. کمترین تأثیر تست نفوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص نفوذ یا IDS (در صورت وجود) است. به علاوه برخی تست‌ها منجر به از کار افتادن تجهیزات شبکه یا سیستم می‌شوند و به همین علت آگاهی مدیران و کارمندان از انجام تست نفوذ یک ضرورت به حساب می‌آید.

ارزیابی‌های امنیتی به سه گروه کلی طبقه‌بندی می‌شوند: 

• تست نفوذسنجی جعبه سفید (White Box Penetration Test): در این نوع تست نفوذ که تست جعبه پاک هم نامیده می‌شود، آزمایش‌گر اطلاعات و دسترسی کاملی در مورد سیستم اطلاعاتی مورد حمله در اختیار دارد.
• تست نفوذسنجی جعبه سیاه (Blackbox Penetration Test): در این نوع تست هیچ‌گونه اطلاعاتی در خصوص سیستم هدف در اختیار تیم تست نفوذسنجی قرار نمی‌گیرد به عبارت‌ دیگر، در این نوع تست نفوذ، هیچ‌گونه اطلاعاتی نه درباره عملیات درونی برنامه کاربردی و نه در مورد کد منبع یا ساختار نرم‌افزار به شخص آزمایش‌کننده داده نمی‌شود.
• تست نفوذسنجی جعبه خاکستری (Graybox Penetration Test): همان‌طور که از نام آن پیداست، این نوع آزمایش ترکیبی از تست جعبه سیاه و جعبه سفید است.در این حالت دسترسی به منابع و اطلاعات محدود می‌باشد و تیم نفوذ سنجی اطلاعات یک قسمت خاص از شبکه را دارا هستند که بایستی حمله به آن قسمت انجام شود.

اهمیت تست نفوذ

در تست نفوذپذیری تیم‌های نفوذ سنجی به ما هشدار می‌دهند که چه قسمت‌هایی از شبکه ما ایمن نیست و چه نقاطی هستند که نقاط ضعف شبکه ما به حساب می‌آیند و هم‌چنین مواردی را به ما اعلام می‌کنند که نرم‌افزارهای امنیتی قادر به ارائه آن‌ها نیستند.
باید دقت داشت که ارزیابی امنیتی تنها یک تصویر لحظه ای از سیستم‌ها و شبکه‌ها در یک زمان مشخص است. ارزیابی امنیتی تنها بر روی سیستم‌هایی که در زمان اجرای تست در دسترس هستند و آسیب‌پذیری‌ها و نقص‌های امنیتی که توسط ابزارها و بسته‌های مختلف قابل شناسایی هستند، انجام می‌شود. به عبارت دیگر پروسه امنیت شبکه و سیستم، یک پروسه پیوسته و دائمی است زیرا به محض تمام‌شدن تست، ممکن است یک سیستم و یا برنامه کاربردی دیگر به مجموعه اضافه شده و در صورت اجرای دوباره تست نفوذ، نتایج متفاوتی حاصل گردد بنابراین تست‌های نفوذ باید مرتبا و در یک برنامه منظم زمان‌بندی‌شده انجام شوند تا مدیران شبکه را از ریسک‌هایی که در هر بخش وجود دارد آگاه کند.

 اهداف تست نفوذپذیری

• ارتقاء امنیت سیستم‌های تکنیکی
• اطمينان از صحت پيكربندي امنيتي سيستم‌ها
• بهبود امنیت زیرساخت سازمانی و پرسنلی
• يافتن نقاط ضعف، پيش از سوءاستفاده مهاجمان از آن‌ها
• سنجش امنیت فیزیکی
• ارائه یک روش برای مدیریت مؤثر تمامی حفره‌های امنیتی شناخته‌شده

بدون شک روش‌های بسیاری وجود دارد که یک شرکت برای افزایش ایمنی خود می‌تواند از آن‌ها استفاده کند، اما تنها یک آزمون نفوذپذیری گسترده می‌تواند تمامی خلاءهای پیش‌بینی‌نشده و حفره‌های زیرساخت‌های فناوری اطلاعات را آشکار نمایید.

گردآورنده: محمد رئوفی