تفاوت تست نفوذ و آزمایش‌های نقاط آسیب‌پذیری

تمامی سازمان‌ها باید نقاط آسیب‌پذیری امنیتی را با توجه به نوع سوءاستفاده ممکن ناشی از این نقاط بررسی کنند.

برخی افراد در حوزه رایانه و اینترنت، آزمایش‌های آسیب‌پذیری را با تست نفوذ اشتباه می‌گیرند. در حقیقت، این دو اصطلاح تخصصی حوزه علوم رایانه را می‌توان به جای یکدیگر به کار برد، اما این دو مفهوم، معانی و زمینه‌های کاملاً متفاوتی را دارند. برای تقویت شرایط مجازی و گریز از خطرات و تهدیدهای مجازی در یک سازمان، باید توجه داشت که نه تنها آزمایش نقاط آسیب‌پذیری امر لازمی است، بلکه باید آزمایش کرد که احتمال سوءاستفاده از کدام‌ یک از این نقاط بیشتر و چه خطراتی پیش رو خواهند بود. برای افزایش توانایی و مقاومت یک سازمان در برابر حملات مجازی، لازم است ارتباط میان سه مفهوم آزمایش آسیب‌پذیری، تست نفوذ و تحلیل کانال‎های سایبری به خوبی درک شود.

آزمایش‌های آسیب‌پذیری امروزه در حوزه تهدیدهای فعال موجود حوزه رایانه، به یکی از مهم‌ترین مباحث عملیاتی در حوزه امنیت مبدل شده‌اند. استفاده از آزمایشگرهای نقاط آسیب‌پذیری مانند شبکه‌ها، برنامه‌ها و پایگاه‌های اطلاعاتی، امروزه یکی از مسائل مهم در سازمان‌های کاربرمحور است. حتی سازمان‌ها و مؤسسات کوچک نیز از خدمات امنیتی مدیریت‌شده برای آزمایش محیط کاری خود بهره می‌جویند. هدف آزمایش‌های آسیب‌پذیری، شناسایی و رده‌بندی نقاط آسیب‌پذیری امنیتی موجود در یک محیط کاری است. در دنیای رایانه، نرم‌افزارهای آزمایشی با تولید انبوه طراحی‌شده‌اند تا به واسطه آن‌ها موقعیت و شرایط امنیتی موجود در یک سازمان بررسی شود و با شناسایی خلأهای امنیتی موجود، راه‌حل‌ها و تدابیر لازم برای کاهش ضعف‌ها و خلأهای موجود و رساندن آن‌ها به کمترین حد و یا حد قابل ‌قبول، اندیشیده شود.

فرآیند آزمایش‌های آسیب‌پذیری معمولاً از تمامی اطلاعات امنیتی موجود در یک سازمان فهرست‎برداری می‌کند و پس از طبقه‌بندی آن‌ها بر حسب ارزش تجاری و تأثیرات احتمالی، آسیب‌های احتمالی مرتبط با هر یک از این اطلاعات را مشخص و اعلام می‌کند. مرحله پایانی این فرآیند، کاهش حساس‌ترین نقاط آسیب‌پذیری موجود است که بر اثر آن‌ها ممکن است اطلاعات دچار تغییرات و تأثیرات زیادی شوند. در این شرایط، هر چه تعداد مسائل مشخص‌شده توسط این فرآیند بیشتر باشد، سود بیشتری برای سازمان خواهد داشت.

در عین حالِ توجه به نقاط آسیب‌پذیری موجود که از آزمایش‌ها حاصل‌شده‌اند، اولین قدم و مرحله در فرآیند مدیریت آسیب‌ها است. سازمان‌ها در صورتی که نقاط آسیب‌پذیری کشف‌شده را با توجه به سوءاستفاده ممکن از هر کدام بررسی نکنند، ممکن است در اختصاص منابع و اقدامات لازم برای رفع این نقاط، با خطا روبرو شوند. برای اولویت‌بندی بهتر و درست‌تر در مورد اقدامات بازدارنده، بهترین اقدام این است که مشخص شود نقطه آسیب‌پذیری مورد بحث، قابل سوءاستفاده است یا خیر. باید توجه داشت که گذر از این مرحله مهم، نه تنها باعث زیان‌های مالی شدیدی می‌شود، بلکه راه بسیار مناسبی را برای نفوذگران ایجاد می‌کند که با استفاده از آن از نقاط آسیب‌پذیری موجود سوءاستفاده کنند. به طور کلی، هدف این فرآیند جلوگیری از ایجاد فرصت برای نفوذگران و سوءاستفاده از اشکالات نرم‌افزاری موجود است.

پس از این مباحث، باید توجه داشت که ابزار آزمایش‌های آسیب‌پذیری اساس کار خود را روی آسیب‌های موجود بنا می‌کنند، یعنی آسیب‌هایی که برای متخصصان امنیتی، نفوذگران مجازی و شرکت‌های فروش، شناخته شده‌اند. نکته تأسف‌بار در این شرایط این است که بسیاری از آسیب‌ها و نقاط آسیب‌پذیری موجود، هنوز توسط این گروه‌ها شناخته‌شده نیستند و بنابراین توسط ابزار آزمایشی، شناسایی نمی‌شوند.

با توجه به این مسائل، علاوه بر اینکه سازمان‌ها باید اطلاعات امنیتی درون‌سازمانی خود را با عوامل خطر برون‌سازمان هماهنگ کنند، بسیاری دیگر از سازمان‌ها در حال انجام تست نفوذ هستند تا به واسطه آن‌ها مشخص شود کدام نقاط آسیب‌پذیری، در عمل قابل سوءاستفاده هستند. تست نفوذ توسط افرادی انجام می‌شوند که سابقاً نفوذگر بوده‌اند. هدف از این آزمایش‌ها، شبیه‌سازی اقدامات یک نفوذگر و خرابکار مجازی در بیرون و یا درون سازمان است و در عین حال، هدف اصلی این فرآیند، قرار دادن خلأهای امنیتی موجود در شرایط سوءاستفاده و سپس بررسی خطراتی است که ممکن است از این خلأها ناشی شود. مرحله بعد، شناسایی نوع اطلاعاتی است که در صورت سوءاستفاده از این خلأها و نقاط آسیب‌پذیری، ممکن است در دسترس نفوذگران و حمله‌کنندگان قرار گیرد.

نتایج حاصل از تست نفوذ معمولاً بر اساس شدت خطر، شدت سوءاستفاده و اقدامات رفع متقابل لازم گزارش می‌شوند. افراد انجام دهنده این آزمایش‌ها (نفوذگران سابق) معمولاً در فرآیند این آزمایش‌ها از ابزارهای خودکار مانند Metasploit استفاده می‌کنند و برخی از آن‌ها حتی ابزار و برنامه‌های خاص خود را طراحی می‌کنند.

با توجه به این مباحث، سازمان‌ها پس از قرار گذاشتن اطلاعات مختلف به‌دست‌آمده از آزمایش‌های مختلف، باید یک سری اقدامات تحلیل خطر را به صورت جامع انجام دهند. این اقدامات تمامی عوامل دخیل در آزمایش‌ها و خطرات موجود را مانند حساسیت اطلاعات، نقاط آسیب‌پذیری، خطرات و تهدیدهای بیرونی، میزان در دسترس بودن ، شدت سوءاستفاده و تأثیرات حرفه‌ای را در تحلیل‌های خود مورد توجه قرار می‌دهند.

در پایان، باید یادآوری کرد که به طور کلی، آزمایش‌های آسیب‌پذیری، تست نفوذ و تحلیل خطرات مجازی در کنار هم و هماهنگ با هم باعث کاهش خطرات امنیتی سایبری خواهند شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap