درحالیکه حملات سایبری روزبهروز پیچیدهتر میشوند، کسبوکارها باید در راهکارهای امنیتی قویتری مثل ارزیابی آسیبپذیری شبکه و تست نفوذ سرمایهگذاری کنند تا از دادهها، اعتبار و درآمد خود حفاظت نمایند.
اسکن آسیبپذیری، آسیبپذیریهای شناختهشده، عدم کنترلهای امنیتی و پیکربندیهای اشتباه متداول در سیستمهای روی یک شبکه را شناسایی میکند. تست نفوذ حملهای را شبیهسازی میکند تا نقاط ضعف را Exploit کرده و کارآمدی امنیت شبکهی سازمان را بررسی نماید. تفاوت اصلی بین این دو این است که اسکن آسیبپذیری هم برای استراتژیهای امنیت سایبری دفاعی و هم تهاجمی مورداستفاده قرار میگیرد، اما تست نفوذ طبیعتاً تهاجمی است.
اسکن آسیبپذیری چیست
با اسکنهای آسیبپذیری، از ابزاری استفاده میشود که بتوان از طریق اطلاعات اعتباری یا پیشفرضهایی که نقشهای از کل سیستم را فراهم میکنند، وارد سیستم شد. در طول این فرایند، این اسکن Inventoryهایی را میسازد و سپس تمام موارد فهرست شده را با نقاط ضعف احتمالی مقایسه میکند.
هدف یک اسکن آسیبپذیری شناسایی و دستهبندی آسیبپذیریهایی است که روی شبکه یافت میشوند. اسکنها بهتنهایی نمیتوانند اطلاعات زیادی را در مورد کسبوکار فراهم کنند. ارزش حقیقی در گزارش ارزیابی آسیبپذیری است. برای انجام این ارزیابی، یک متخصص امنیتی نتایج خام اسکن را مرور کرده و گزارشی را جمعآوری میکند که حاوی خلاصهای از یافتهها همراه با برنامهی اصلاح میباشد.
کاربرد تست نفوذ و اسکن آسیبپذیری در خنثی کردن ریسک
ویدیوهای بیشتر درباره تست نفوذ
باید پیش از اسکن کردن شبکه، برنامهریزیهای لازم انجام شود، زیرا این اسکن ممکن است روی عملکرد سیستم تأثیر گذاشته و موجب مشکلاتی در پهنای باند گردد. این امر بهخصوص مربوط است به نوع اسکن آسیبپذیری که انجام میشود. بهدلیل تأثیر احتمالی روی عملیات، پیشنهاد میشود که اسکنهای آسیبپذیری خارج از ساعات استاندارد کسبوکار انجام شوند.
همچنین اگر نیاز به یک اسکن کامل است، باید به کارمندان دستور داده شود که رایانههای خود را در دفتر روشن بگذارند و اتصال به اینترنت را قطع نکنند. همچنین میتوان یک Endpoint Agent را روی هر رایانه نصب نمود.
هزینهی اسکن آسیبپذیری
چندین عامل وجود دارند که روی هزینه اسکن آسیبپذیری تأثیر میگذارند، ازجمله محیطی که اسکن میشود، مثل شبکه داخلی یا برنامه کاربردی وب. بهطور متوسط، ارزیابی آسیبپذیری بسته به تعداد IPها، سرورها یا برنامههای کاربردی اسکنشده، هزینهای بین 2000 تا 2500 دلار دارد.
مدل قیمتگذاری مبتنی بر IP
چندین مدل قیمتگذاری مختلف برای اسکنهای آسیبپذیری مورداستفاده قرار میگیرد. برای اسکنهای شبکه متداول است که Vendorهای امنیتی قیمت راهکار را بر اساس تعداد IPهای اسکنشده تعیین کنند.
چند وقت یکبار باید اسکن آسیبپذیری انجام داد؟
بااینکه نیازهای هر کسبوکار با دیگری متفاوت است، بهترین راهکار این است که اسکنهای آسیبپذیری شبکه حداقل یک بار در هر فصل انجام گردد. اما ممکن است بر مبنای تطبیقپذیری، تغییرات اساسی به زیرساخت و قابلیتهای امنیت شبکهی داخلی، اسکنهای آسیبپذیری بهصورت ماهانه یا هفتگی موردنیاز باشند.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
انجام یک اسکن آسیبپذیری یا تست نفوذ چقدر زمان میبرد؟
یک اسکن آسیبپذیری بسته به تعداد IPها بین 20 تا 60 دقیقه زمان میبرد، درحالیکه انجام اسکنهای وب ممکن است 2 تا 4 ساعت زمان بگیرد. میتوان اسکنها را از طریق یک ادمین شبکه یا یک تیم امنیت داخلی خودکارسازی و حفظ کرد.
بسامد انجام اسکنها بستگی دارد به حوزهی سایتی که اسکن میشود، میزان تأخیر شبکه و خدمات سیستمی که باید بررسی گردد. بااینحال، بهغیراز زمانی که فاکتورهای تطبیقپذیری، مقرراتی، قانونی یا صنعتی بهخصوصی وجود داشته باشد، انجام اسکنهای آسیبپذیری بهصورت ماهیانه، فصلی یا سالانه متداول است.
ابزار اسکن آسیبپذیری
ابزار نرمافزاری برای اسکنهای آسیبپذیری بسته به اهداف این اقدام با هم متفاوت خواهند بود. نوع اسکن تعیینکنندهی نوع ابزار مورداستفاده است.
از ابزار اسکن آسیبپذیری میتوان به موارد زیر اشاره کرد:
- Nessus – استفاده از این ابزار اسکن آسیبپذیری که برای کاهش زمان و تلاشهای کلی موردنیاز برای اسکن، اولویتبندی و اصلاحات طراحی شده است، بسیار آسان میباشد. نحوهی کار آن از طریق تست کردن تمام پورتها بهصورت مجزا در یک دستگاه است، تا سیستمعامل تعریف گردد. سپس سیستمعامل بررسی میگردد تا هر آسیبپذیری شناساییشده ارزیابی شود.
- OpenVas – این ابزار بهطور هوشمندانهای طراحی شده است تا از طریق اسکن کردن تمام دستگاهها و سرورهای شبکه، Packaging مدیریت و اسکن آسیبپذیری عمیقی را اجرا کند. نحوهی کار این ابزار، انتخاب یک هدف مثلاً یک آدرس IP بهخصوص و سپس انجام اسکنها براساس نوع اسکن ترجیحی جهت شناسایی نقاط ضعف است.
- Netspark – یک ابزار تست اسکنر امنیتی است که برای خودکارسازی تستهای برنامه کاربردی وبسایت مورداستفاده قرار میگیرد. این نرمافزار میتواند حملات SQL Injection و Cross-site Scripting را شناسایی نماید و بهطور خاص برای توسعهدهندگان اهمیت دارد، زیرا آنها میتوانند روی وبسایتها، سرویسهای وب و برنامههای کاربردی وب از Netspark استفاده کنند.
بیشتر بخوانید: انواع سطوح تست نفوذ برای سازمان ها و مقایسه آنها با یکدیگر
تست نفوذ چیست؟
یک تست نفوذ شامل تیمی از متخصصان امنیتی است که بهطور فعال سعی در وارد شدن به شبکهی شرکت و Exploit کردن نقاط ضعف و آسیبپذیریها در سیستم را دارند. تستهای نفوذ ممکن است شامل هر کدام از روشهای زیر باشند:
- استفاده از تکنیکهای هک مهندسی اجتماعی برای دسترسی به سیستم و دیتابیسهای مربوط.
- ارسال ایمیلهای Phishing برای دسترسی به حسابهای حیاتی.
- استفاده از رمزهای عبور رمزگذاری نشدهای که در شبکه به اشتراک گذاشته میشوند، برای دسترسی به دیتابیسهای حساس.
این تلاشها میتوانند بسیار بیشتر از یک اسکن آسیبپذیری تهاجمی باشند و ممکن است موجب Denial of Service و استفادهی بیشتر از سیستم شوند که شاید بهرهوری را کاهش داده و ماشینها را آلوده نماید. در برخی از موارد، میتوان تستهای نفوذ را برنامهریزی کرد و پیش از انجام آنها، به کارمندان اطلاع داد.
اما اگر سازمان بخواهد تست کند که تیم امنیتیاش چگونه به یک تهدید «زنده» واکنش نشان میدهد، این کار عملی نخواهد بود.
چیزی که اهمیت دارد این است که یک تست نفوذ با هدف مشخص انجام شود و خواستهها و نیازها از تیم تست نفوذ بهطور واضحی بیان گردد. مثلاً شاید سازمانی یک برنامهی امنیتی جدید را برای کسبوکار خود آمادهسازی کرده باشد و بخواهد کارآمدی آن را بسنجد. یک تست نفوذ میتواند تعیین کند که آیا اهداف مشخصی از برنامه حاصل شدهاند یا خیر؛ اهدافی مثل حفظ 99.99 درصد دسترسپذیری در طول حمله یا اطمینان حاصل کردن از اینکه سیستمهای پیشگیری از از دست رفتن داده یا DLP مهاجمان احتمالی را از استخراج داده منع میکنند.
به چه نوع تست نفوذی نیاز است؟
پیش از انجام تست نفوذ باید چند فاکتور را مدنظر قرار داد.
قدم اول این است که اهداف و مقصود تست تعریف گردد. آیا قرار است حملهای در مقابل سیستمهای دفاعی شبیهسازی شود؟ آیا قرار است یک حملهی داخلی شبیهسازی شود تا سطح دسترسی مهاجمی داخل شبکه تعیین گردد؟ آیا الزامی برای تطبیقپذیری وجود دارد؟ اگر چنین الزامی وجود دارد، آیا مشخصات خاصی دارد؟
بیشتر بخوانید: زمان های مناسب برای انجام تست نفوذ شبکه و الویت آن برای سازمان ها
سپس باید مشخص شود که چه نوع تست نفوذی نیاز است انجام شود؟ شبکه، برنامه کاربردی وب، سمت Client، بیسیم، مهندسی اجتماعی یا فیزیکی؟ ممکن است به اطلاعات اضافی مثل اطلاعات اعتباری برای یک حساب کاربری، تعداد دستگاهها، تعداد کاربر یا تخمینی از بزرگی سیستمها نیاز باشد تا حوزهی کاری یا SOW دقیقی فراهم گردد.
درنهایت باید مشخص شود که به تست خارجی نیاز است یا داخلی. الزامات تطبیقپذیری اکثر صنایع، هم بهصورت داخلی تست انجام میدهند و هم خارجی، زیرا این کار به بهترین شکل ممکن مسیرهای حملهی مختلفی که توسط مهاجمین مورداستفاده قرار میگیرند را شبیهسازی میکند.
انجام یک تست نفوذ چقدر زمان میبرد؟
بسته به نوع تست نفوذی که انجام میشود، تعداد سیستمهایی که تست میشوند و همچنین محدودیتهای احتمالی، انجام یک تست نفوذ ممکن است بین 1 تا 3 هفته زمان ببرد. اگر فرایندها، برنامههای کاربردی یا سیستمهای مجزا تست میشوند، ممکن است کمتر از یک هفته زمان ببرد. پیشنهاد میشود که تستهای نفوذ حداقل 1 یا 2 بار در سال انجام شوند. اما این امر بستگی دارد به نیازهای کسبوکار، نوع دادهای که ذخیره میشود و عوامل مربوط به تطبیقپذیری.
هزینهی تست نفوذ چقدر است؟
بهطور متوسط، یک تست نفوذ میتواند بین 4000 تا 100000 دلار هزینه داشته باشد و میزان هزینه بستگی به این دارد که فرایند چقدر پیچیده است، چه منابعی برای اجرای یک تست نفوذ موفق نیاز است و مدتزمان لازم برای تکمیل گزارش چقدر است. پیچیدگی شبکه، نوع تستی که انجام میشود (شبکه، وب، برنامه کاربردی) و ابزار مورداستفاده، قیمت را تعیین میکنند.
اگر تستهای نفوذ بهصورت داخلی انجام شوند، میتوان انتظار داشت که 80000 تا 130000 دلار در سال برای هر موقعیت امنیتی لازم باشد؛ علاوه بر 3000 تا 8000 دلار هزینههای مربوط به خرید نرمافزار.
ابزار تست نفوذ
تستهای نفوذ بسته به اهداف تست، با هم متفاوت خواهند بود. نوع اسکن تعیینکنندهی نوع ابزار مورداستفاده است. مثلاً تست نفوذی که شامل یک حملهی مهندسی اجتماعی باشد، ممکن است از نرمافزاری برای شبیهسازی یک کارت دسترسی استفاده نماید. این کار به «مهاجم» توانایی دسترسی به بخشهایی از ساختمان را میدهد که اجازهی ورود به آن را ندارند. از طرف دیگر، ممکن است تستکنندهها از John The Ripper استفاده نمایند تا یک Hash رمز عبور را باز کنند.
ممکن است جالبتوجه باشد که بسیاری از ابزار نرمافزاری که در اسکن آسیبپذیری مورداستفاده قرار میگیرند، در تست نفوذ هم کاربرد دارند. همچنین بسیاری از ابزار نفوذ مثل Metasploit توسط متخصصان امنیتی مورداستفاده قرار میگیرند تا نقصها شناسایی شده و سیستمهای دفاعی مناسبی تنظیم شوند.
از ابزار تست نفوذ میتوان به موارد زیر اشاره کرد:
- Kali Linux – یکی از ابزار محبوب تست نفوذ توزیع لینوکس که عموماً در تست نفوذ و ممیزی امنیتی سطح بالا مورداستفاده قرار میگیرد. نحوهی کار این ابزار از طریق ترکیب مجموعهای از ابزار Built-In است که برای مهندسی معکوس تحقیقات امنیتی برای اجرای عملیاتها فوقالعاده میباشد.
- Metasploit – میتواند برای کشف آسیبپذیریها، مدیریت ارزیابیهای امنیتی و همچنین تشکیل روشهای دفاعی مورداستفاده قرار بگیرد. این ابزار از طریق نوشتن، تست کردن و اجرای کدهای Exploitشده است و دارای مجموعه ابزار قدرتمندی است که برای فرار از خرابی، اجرای حملات، شمارش شبکهها و تست کردن آسیبپذیریها روی شبکههای هدف فوقالعاده میباشند.
- Wireshark – Packهای شبکه را Capture و تفسیر میکند و هم گزینههای آفلاین و هم Live-Capture را فراهم مینماید. این ویژگی Capture به متخصصان امنیتی قابلیت تجزیهوتحلیل پروتکلها مبدأ و مقصد را میدهد. این ابزار متنباز است و برای سیستمهای مختلفی مثل ویندوز، Slolaris، FreeBSD و لینوکس قابلدسترسی میباشد.
- Burp Suite – توانایی خزش (Crawling) خودکار برنامههای کاربردی مبتنی بر وب را فراهم میکند. این ابزار در زمان تلاش برای جمعآوری اطلاعات روی برنامههای کاربردی مبتنی بر وب جهت تجزیهوتحلیل درخواستها بین یک مرورگر و مقصد آن مورداستفاده قرار میگیرد. نسخهی پولی ویژگیهای ضروری موردنیاز برای تست نفوذ پیشرفته را فراهم میکند.
هم اسکن آسیبپذیری و هم تست نفوذ یک نقش قابلتوجه را ایفا میکنند؛ کمک به سازمانها در شناسایی نقاط ضعف درون شبکه پیش از اینکه هکرها بتوانند این کار را انجام دهند. با مقایسهی تفاوتها، یکی از مواردی که بهوضوح دیده میشود این است که تست نفوذ شدیدتر، تهاجمیتر و کمی پرهزینهتر است. اما این امر نباید باعث شود که سازمانها آن را از برنامههای ایمنسازی سیستم کنار بگذارند. وقتی منابع لازم وجود داشته باشد، تست نفوذ بهاندازهی اسکنهای آسیبپذیری پیشنهاد میشود.
