تست نفوذ

امروزه اخبار حملات سایبری کم و بیش در تیتر خبری‌‌ها به چشم می‌­خورد و متاسفانه هر روز به تعداد آن‌ها اضافه می­‌شود. وجود همچنین شرایطی کسب و کارها، شرکت‌‌ها و سازمان‌‌ها را مجاب می­‌کند تا در سایت‌‌ها، سرویس‌‌ها و شبکه‌‌های خودشان را از نظر امنیت با تست نفوذ محک بزنند تا از میزان امنیت آن‌ها با خبر باشند. در واقع تست نفوذ یک نوع شبیه سازی هک اخلاقی می‌باشد تا نقاط ضعف و آسیب پذیر احتمالی را پیدا کند. در ادامه به بررسی تست نفوذ می‌پردازیم.

تست نفوذ چیست ؟

تست نفوز یک نوع هک است که به صورت قانونی صورت می‌گیرد. در این فرآیند زیر ساخت‌‌های یک سازمان یا شرکت کسب و کار در برابر خطرات، ریسک‌‌ها و تهدیدات مختلف ارزیابی می‌شود. با استفاده از این روش می‌­توان از آسیب پذیری‌‌های متنوع که ممکن است برای یک سیستم رخ بدهد جلوگیری نمود. حال بهتر است به دلایل وجود یک آسیب پذیری اشاره کنیم، دلایل مختلفی از طراحی و کد نویسی ضعیف و یا تنظیمات نادرست می‌­تواند باعث بروز آسیب پذیری در سیستم کسب و کار‌‌ها بشود. به کسانی که این فرآیند را اجرایی می­‌کنند Penetration tester گفته می‌شود. فرآیند تست نفوذ به دو قسمت تست نفوذ دستی و تست نفوذ خودکار تقسیم بندی می‌­شود.

تست نفوذ دستی : در این روش زمان و تلاش بیشتری جهت دستیابی به نتایج بهتر صرف می‌شود. در این روش علی رغم عدم نیاز به آپدیت های روش های خودکار می­توان روش های جدیدی که هنوز در برنامه ها به صورت خودکار پیاده سازی نشده است را بر روی سیستم ها پیاده سازی کرد و در نهایت یکی از مزایای استفاده از تست نفوذ دستی تعداد کم نتایج کاذب نسبت به روش خودکار است.

تست نفوذ خودکار: در این روش ابزار هایی وجود دارد که بدون دخالت نیروی انسانی می­تواند سیستم ها را بررسی و تست بکند. سرعت انجام کار در این روش نسبت به روش دستی بیشتر است و زمان کمتری جهت انجام عملیات صرف می‌شود. همچنین در کنار ایده آل بودن این روش در انجام تست ها با آمار بالا این روش تعداد نتایج کاذب بیشتری را در بر می‌گیرد.

انواع تست نفوذ

• فیزیکی : هدف از تست بررسی عملکرد و میزان امنیت دوربین های امنیتی و سنسور ها است .
• وب : در این تست نقاط ضعف احتمالی وبسایت ها مورد بررسی قرار می­گیرد و همچنین برای مسائل امنیتی استفاده می‌شود.
• شبکه : در این تست در ابتدا ساختار فیزیکی یک شبکه و نحوه پیکر بندی اجزای شبکه به منظور شناسایی خطرات و ریسک های احتمالی مورد بررسی قرار می‌گیرد. در این تست تک تک اجزای شبکه مانند رایانه ها، سوئیچ ها، مودم ها و دیگر اجزای شبکه مورد بررسی قرار می­گیرند.
• شبکه بی‌سیم : ارتباط بین دستگاه ها در شبکه به صورت بیسیم نیز ممکن است از یک سری آسیب پذیری ها پیروی بکند. اگر در بستر شبکه های بیسیم آسیب پذیری وجود داشته باشد می­توان از طریق بستر WiFi عملیات های مخربی انجام داد. برای همین در این تست به بررسی ارتباطات دستگاه های متصل به شبکه بیسیم پرداخته می‌شود.

ابزار های پن تست

ابزار های مخصوصی برای انجام تست نفوذ انجام می­شود که صرفا جهت تقویت سیستم ها و شبکه ها مورد استفاده قرار می‌گیرند. برخی از این ابزار ها به صورت متن باز بوده و برخی دیگر به صورت تهیه اشتراکی می­باشد. متاسفانه هکر ها نیز از این ابزار ها برای مقاصد خود استفاده می‌نمایند. برخی از این ابزار عبارتند از Nessus ، nmap ، netsparker و …

نتیجه گیری

تست نفوذ یک فرايند جهت بررسی ضعف و نقاط آسیب پذیر سیستم های شبکه یا برنامه های سیستم عامل یا وب می‌باشد که از طریق آن زیر ساخت های سرویس ها مورد ارزیابی قرار می‌گیرند. این فرآیند به دو روش دستی و خودکار انجام می‌شود و از ابزار های متنوع رایگان و یا اشتراکی جهت انجام این کار استفاده می‌شود.