انواع سطوح تست نفوذ برای سازمان ها و مقایسه آنها با یکدیگر

می توان گفت هر سازمانی اطلاعاتی دارد که ارزش سرقت داشته باشد، این می‌تواند اطلاعات شخصی، داده‌های کارت اعتباری، آمار پزشکی یا دارایی‌های فکری باشد. مجرمان سایبری این را می‌دانند و معمولاً تور بزرگی را با حملات خود پهن می‌کنند تا بتوانند هر آسیب‌پذیری را Exploit نمایند.

به‌خصوص سازمان‌های کوچک و متوسط و یا SMEها نسبت به حمله‌ی سایبری آسیب‌پذیرند. دلیل این موضوع تا حدی این است که بسیاری از SMEها خودشان را هدف حملات نمی‌دانند و درنتیجه به اندازه‌ی کافی برای حفاظت از خود تلاش نمی‌کنند، اما حتی سازمان‌هایی که از ریسک‌ها آگاه هستند هم دارای منابع کافی برای دفاع از خود نیستند. ازآنجایی‌که سازمانی‌های اندکی اقدامات امنیت سایبری کاملی دارند، تست نفوذ یکی از اولین مراحل مهم در ایمن شدن است. انجام یک تست ممکن است نامطلوب به نظر برسد، اما سرمایه‌گذاری در تست‌های نفوذ منظم، بسیار بهتر از راهکارهای جایگزین است.  معمولاً برای پاسخگویی به الزامات بودجه‌ای و فنی به‌خصوص سازمان‌ها، دو سطح از تست نفوذ پیشنهاد می‌شود:

سطح 1 تست نفوذ

برای اکثر سازمان‌ها، سطح 1 تست نفوذ برای کمک به خنثی کردن تهدید مهاجم فرصت‌طلبی که با Exploit کردن آسیب‌پذیری‌های شناخته شده به دنبال اهداف ساده است، مناسب می‌باشد. این تست شامل ارزیابی‌های دستی با اسکن‌های خودکارسازی‌شده، برای ارزیابی وسعت اصلی واقعی آسیب‌پذیری‌هایی است که روی برنامه‌های کاربردی، سیستم‌ها یا شبکه‌های کاربر تأثیر می‌گذارند.

معرفی تست نفوذ

ویدوهای بیشتر درباره تست نفوذ

با ترکیب یک تست سطح 1 با ارزیابی آسیب‌پذیری، می‌توان حل مشکلات شناسایی‌شده را در اولویت قرار داد و یک ارزیابی جامع را از ریسک‌های ناشی از تهدیدات خارجی ایجاد نمود. تست نفوذ سطح 1 نیازمند شناسایی محدودی است و می‌توان آن را به‌سرعت و به‌طور مقرون‌به‌صرفه‌ای انجام داد که اگر در فواصل منظمی انجام شود، شرحی کلی از وضعیت امنیتی را ارائه می‌دهد.

سطح 2 تست نفوذ

تست نفوذ سطح 2 برای سازمان‌هایی مناسب است که به‌طور خاص مورد هدف مهاجمان قرار می‌گیرند، شاید به دلیل اطلاعاتی که دارند یا به دلیل طبیعت کسب‌و‌کار‌ آن‌ها. این سطح از تست شامل یک فرایند دقیق برای شناسایی شکاف‌های امنیتی و آسیب‌پذیری‌ها در سخت‌افزار (ازجمله پرینترها، دستگاه‌های فکس و  ایستگاه‌های کار) و نرم‌افزار، سیستم‌ها یا برنامه‌های کاربردی وب و سپس تلاش برای Exploit کردن آن‌ها است. وسعت بالای یک تست نفوذ سطح 2 بدین معنا است که انجام آن زمان‌بر است و معمولاً فقط به سازمان‌هایی پیشنهاد می‌شود که نیازمند یک شبیه‌سازی حمله‌ی سایبری پیچیده هستند.

جدول مقایسه‌ی تست نفوذ سطح 1 و سطح 2 

نوع	سطح 1	سطح 2
هدف	تعیین آسیب‌پذیری‌های احتمالی در سیستم‌های هدف.	تعیین اینکه آیا کسب‌و‌کار نسبت به یک هکر آسیب‌پذیر هست و اینکه آیا می‌توان حملات را شناسایی کرد یا خیر.
نتایج	شناسایی و تجزیه‌و‌تحلیل آسیب‌پذیری‌ها در شبکه‌ها، سیستم‌ها، وب‌سایت‌ها، برنامه‌های کاربردی وب یا شبکه‌های بی‌سیم.	تست‌ها شامل بررسی آسیب‌پذیری‌ها و سعی در دسترسی به منابع حیاتی می‌باشند.
مخاطب هدف	شرکت‌هایی که می‌خواهند فراتر از اسکن‌های آسیب‌پذیری معمولی بروند یا مبنای امنیت سایبری خود را ارزیابی کنند.	شرکت‌هایی که دارای یک برنامه‌ی امنیتی بالغ هستند و می‌خواهند شبکه‌ی خود را به‌طور کامل تست کنند.
سطح مهارت مورد نیاز	بالا	پیشرفته
شبیه‌سازی یک حمله‌ی واقعی؟	نه	بله
هدف	در ابتدا تعیین می‌گردد	در ابتدا تعیین می‌گردد
بسته با قیمت مشخص؟	بله	نه.
تماس با مشاور برای تعیین حوزه‌ی تست؟	امکان‌پذیر.	بله.
روش تست	هم‌راستا با OWASP	هم‌راستا با OWASP
اسکن آسیب‌پذیری	بله	بله
امکان انجام به‌صورت On-Site	بله	بله
امکان انجام به‌صورت Remote	بله	بله
شناسایی مثبت‌های کاذب	بله	بله
Exploit کردن آسیب‌پذیری	نه	بله
گزارش‌ دقیق	بله	بله
نمره‌دهی دستی به ریسک و تأثیرگذاری	بله	بله

رویکردهای مناسب برای تعیین الزامات تست

پیش از شروع هر پروژه‌ی تست نفوذ یا ارزیابی آسیب‌پذیری باید موارد زیر را مدنظر قرار داد:

1. ارزیابی درایورها برای تست‌های نفوذ

باید اهداف بر اساس ارزیابی معیارهای مربوطه، مثل تأثیر حوادث جدی، سطوح تهدید بالا یا تغییرات قابل‌توجه در فرایندهای کسب‌و‌کار یا IT تعیین شوند.

اگر هدف سازمان این است که با PCI تطبیق‌پذیر باشد یا از داده‌های به‌خصوص دیگری حفاظت کند، باید حوزه‌ی آن محیط داده را تعیین کرده و اطمینان حاصل کند که بخش‌بندی شده است. از طرف دیگر، اگر سازمان به نقض امنیتی در یک سازمان دیگر پاسخ می‌دهد، باید درک کند که حمله چه شکلی داشته است و انگیزه‌ی پشت آنچه چیزی بوده است. با درک انگیزه‌ها و تکنیک‌های مهاجمان، می‌توان روی ساخت سیستم‌های دفاعی کارآمد تمرکز کرد.

بیشتر بخوانید: مراحل تست نفوذ چگونه انجام می شود؟ بررسی روش‌ها و انواع

2. شناسایی محیط‌های هدف

برنامه‌ی تست نفوذ باید محیط‌های هدفی که قرار است تست شوند را شناسایی کند. سازمان‌ها باید از خود بپرسند که ارزشمند‌ترین دارایی‌هایشان چه چیزهایی هستند. ممکن است این دارایی‌ها، دارایی‌های فکری یا برنامه‌های کاربردی مهم کسب‌و‌کار، زیرساخت IT کلیدی، داده‌های محرمانه یا صرفاً اعتبار سازمان باشند. درک اینکه باید از چه چیزی حفاظت کرد، ارزش آن برای کاربر و ارزش آن برای مهاجم و همچنین تأثیر یک ضرر ازنظر عملیاتی، مالی و اعتباری به کاربر کمک می‌کند که سطح مناسبی از هزینه را برای حفاظت در نظر بگیرد.

3. اولویت‌بندی تلاش‌ها

سازمان‌ها می‌توانند یک برنامه‌ی تست نفوذ را ایجاد کنند که حفاظت از ارزشمندترین دارایی‌ها از بزرگ‌ترین تهدیدها را در اولویت قرار دهد. با ترکیب منظم اسکن آسیب‌پذیری سطح پایین با تست نفوذ سطح 1 از دارایی‌ها و تست سطح 2 از سیستم‌ها و دارایی‌های حیاتی، می‌توان ارزش تست را به کارآمدترین شیوه‌ی ممکن به حداکثر رساند.

شرکت APK با تدوین سیاست های امنیتی و استفاده از ابزارهای پیشرفته و کارشناسان خبره در این زمینه، و همچنین ایجاد ساختارهای کاملا علمی-عملیاتی و در نظر گرفتن حساسیت ها و Business Continuity سازمان ها، اقدام به شناسایی و ارزیابی امنیتی می نماید. ما با انجام تست نفوذ و با در نظر گرفتن تمامی حالت ها و استانداردهای ممکن در این زمینه، آینده روشنی را برای حفظ هر چه بیشتر دارایی و اطلاعات با اهمیت سازمان ها را به ارمغان می آوریم.