تست نفوذ خارجی چیست و نحوه انجام آن چگونه است

تست نفوذ خارجی چیست؟ penetration Test یا تست نفوذ که به آن Pentest نیز گفته می‌شود نوعی ارزیابی امنیتی است که فعالیت‌های مهاجمان دنیای واقعی را به‌منظور شناسایی حفره‌های امنیتی در سیستم‌ها یا برنامه‌های کاربردی IT شبیه‌سازی می‌کند.

هدف از انجام این تست شناسایی نقاط آسیب‌پذیر، چگونگی سوءاستفاده از آن‌ها و تأثیرات بالقوه حمله موفق مهاجم است. در تست نفوذ خارجی که به آن تست تشخیص نفوذ به شبکه خارجی نیز گفته می‌شود سیستم‌های محیطی ارزیابی می‌شوند. محیط شامل تمام سیستم‌هایی است که می‌توان مستقیماً از طریق اینترنت به آن‌ها دسترسی داشت. اصولاً این سیستم‌ها در معرض دید قرار می‌گیرند و بنابراین حمله به آن‌ها آسان‌تر است و رایج‌ترین هدف مهاجمان هستند.

تست نفوذ خارجی برای شناسایی نقاط ضعف

تست‌های نفوذ خارجی به‌دنبال راه‌هایی برای به خطر انداختن سیستم‌ها و سرویس‌های در دسترس خارجی هستند تا به اطلاعات حساس دسترسی پیدا کنند و بررسی کنند که چگونه مهاجم می‌تواند کلاینت‌ها، مخاطبان یا کاربران سازمان را هدف قرار دهد.

معرفی تست نفوذ

ویدیوهای بیشتر درباره تست نفوذ

طی تست نفوذ خارجی با کیفیت بالا، متخصصان امنیت فعالیت‌های هکرهای واقعی مانند اجرای Exploit برای گرفتن کنترل سیستم‌های سازمان را کپی می‌کنند. آن‌ها همچنین میزان ضعف‌های یافت‌شده را می‌سنجند تا ببینند مهاجم مخرب تا کجا می‌تواند در شبکه نفوذ کند و حمله موفقیت‌آمیز چه تأثیری بر کسب‌وکار خواهد داشت.

اجرای تست‌های نفوذ خارجی در وهله اول

تست نفوذ خارجی چیست؟ فرض تست نفوذ خارجی بر این است که مهاجم هیچ‌ گونه دسترسی‌ پیشینی به سیستم‌ها یا شبکه‌های کاربر ندارد. در مقابل، تست نفوذ داخلی سناریویی را می‌سنجد که در آن مهاجم از قبل بر یکی از ماشین‌های در معرض آسیب ردی بر جای گذاشته باشد یا در ساختمان حضور فیزیکی داشته باشد. معمولاً روش منطقی این است که ابتدا اصول بنیادی پوشیده شوند و پس از اسکن معمول نقاط آسیب‌پذیر و  تست نفوذ خارجی، تست نفوذ داخلی صورت گیرد.

نحوه انجام تست نفوذ خارجی

حال چگونه می‌توان تست نفوذ خارجی را انجام داد؟ زمان‌بندی تست نفوذ خارجی باید به این سادگی باشد: درخواست از ارائه‌دهنده سرویس مدیریت‌شده یا مشاور IT و ارجاع آن‌ها به سیستم‌های محیطی یعنی فهرستی از دامین‌ها و آدرس‌ها/ محدوده‌های IP.

تست نفوذ خارجی معمولاً بر اساس Black box اجرا می‌شود، به این معنی که هیچ اطلاعاتی اعم از اطلاعات اعتباری برنامه کاربردی، نمودارهای زیرساخت یا کد منبع در اختیار تسترها قرار نمی‌گیرد. با این کار نقطه شروع هکر واقعی یعنی زمانی که به فهرست IPها و دامین‌ها دسترسی می‌یابد شبیه‌سازی می‌شود.

چند نکته مهم و احتیاط لازم وجود دارد که هنگام سازماندهی تست نفوذ خارجی باید در نظر داشت:

• چه کسی/سازمانی تست را انجام می‌دهد؟ آیا تستر واجد شرایطی است؟
• هزینه تست نفوذ خارجی چقدر خواهد بود؟ هزینه تست نفوذ خارجی معمولاً بر اساس نرخ روز می باشد و کار بر اساس تعداد روزهای لازم برای ارزیابی تعیین می‌شود. هر یک از این موارد ممکن است از شرکتی به شرکت دیگر متفاوت باشد، بنابراین خوب است سازمان‌ها چندجا را بررسی کنند تا ببینند کدام پیشنهاد در بازار مناسب آن‌هاست.
• تست نفوذ خارجی شامل چه اقداماتی است؟ ارائه‌دهندگان سرویس مرتبط باید طرح پیشنهادی یا بیانیه‌ای ارائه دهند که مشخص‌کننده اقدامات پیش‌رو باشد. باید به موارد داخل و خارج چارچوب توجه شود.
• توصیه‌هایی که باید مد نظر قرار گیرد؟ بهتر است ارائه‌دهنده‌ای برگزیده شود که همچنین سرویس‌های در معرض آسیب را به‌منظور استفاده مجدد از اطلاعات اعتباری نقض‌شده و حملات رمزعبور نیز بررسی کند و همچنین تست برنامه‌های کاربردی تحت وب را برای برنامه‌هایی که در دسترس عموم هستند، انجام دهد.
• آیا این سرویس باید مهندسی اجتماعی را نیز شامل شود؟ خدمات مهندسی اجتماعی ارزش افزوده خوبی است، اما این نوع تست تقریباً همیشه در صورتی موفقیت‌آمیز است که مهاجمی بسیار مصمم آن را انجام داده باشد، بنابراین اگر بودجه سازمان محدود باشد نیازی نیست برای این سرویس پافشاری کند.

بیشتر بخوانید: تست نفوذ مهندسی اجتماعی یا Social Engineering چیست و چه گام های اجرایی دارد – قسمت اول

تست نفوذ خارجی در مقابل اسکن نقاط آسیب‌پذیر

کاربرانی که با اسکن نقاط آسیب‌پذیر آشنا هستند، در خواهند یافت که این اسکن به تست نفوذ خارجی شباهت‌هایی دارد. در ادامه فرق این دو بیان شده است.

به‌طور معمول، تست نفوذ خارجی شامل سنجش کامل اسکن نقاط آسیب‌پذیر خارجی می باشد، اما این اسکن تازه نقطه شروع آن است. تستر نفوذ تمام خروجی‌های ابزارهای اسکن را به‌صورت دستی بررسی می‌‌کند تا تمام شناسایی‌های نادرست تهدید را حذف کرده، Exploitها را برای تأیید میزان/تاثیر ضعف اجرا کند و چندین نقطه ضعف برای تولید Exploitهای تأثیرگذارتر زنجیر کند.

بیشتر بخوانید: اسکن آسیب‌پذیری چیست و معرفی ابزارهای مناسب تست نفوذ

اگر اسکنر نقاط آسیب‌پذیر صرفاً گزارش دهد که سرویس ضعفی اساسی دارد، تست نفوذ خارجی تلاش می‌کند آن ضعف را Exploit کند و کنترل سیستم را در دست گیرد. در صورت موفقیت‌آمیز بودن این اقدام، تستر نفوذ با داشتن این دسترسی فراتر می‌رود و سیستم‌ها و سرورهای بیشتری را در معرض خطر قرار می‌دهد.

ورود عمیق تست‌های نفوذ به داخل نقاط آسیب‌پذیر

در عین حال که اسکنرهای نقاط آسیب‌پذیر اغلب مشکلات بالقوه را شناسایی می‌کنند، تستر نفوذ آن‌ها را به‌طور کامل بررسی می‌کند و گزارش می‌دهد که آیا این ضعف نیاز به توجه دارد یا خیر. مثلاً اسکنرهای نقاط آسیب‌پذیر معمولاً گزارشی از Directory Listing ارائه می‌دهند که در آن  Web Serverها فهرستی از تمام فایل‌ها و فولدرهای موجود در سرور را فراهم می‌کنند. این مورد لزوماً به‌تنهایی نقطه آسیب‌پذیر به حساب نمی‌آید، اما نیاز به بررسی دارد.

اگر یک فایل حساس مانند فایل پیکربندی Backup حاوی اطلاعات اعتباری در معرض دید قرار گیرد و Directory Listing آن را فهرست کند، یک مسئله اطلاعاتی ساده طبق گزارش اسکنر نقاط آسیب‌پذیر ممکن است به‌سرعت به خطری بسیار مخرب برای سازمان تبدیل شود. وظیفه تستر نفوذ شامل بررسی دقیق خروجی طیف وسیعی از ابزارهاست تا اطمینان حاصل کند که اقدامات لازم برای حل مشکل را انجام داده است.

اگر به سنجش دقیق‌تری نیاز باشد چه باید کرد؟

تستر نفوذ ممکن است برخی از فعالیت‌های دیگری را که یک مهاجم واقعی انجام می‌دهد و اسکنرهای آسیب‌پذیری انجام نمی‌‌دهند نیز در بر گیرد، اما این موارد از تستری به تستر دیگر متفاوت است. اگر این موارد برای کاربران مهم باشد باید پیشنهاد را بررسی کنند یا قبل از برنامه‌ریزی تست نفوذ سؤال بپرسند. برای مثال:

• حملات مقاوم حدس زدن رمز عبور شامل حملات Spraying یا Bruteforce با هدف به خطر انداختن حساب‌های کاربری در VPNهای افشاشده و سرویس‌های دیگر
  • Scraping دارک ‌وب و نقض امنیتی دیتابیس‌ها برای اطلاعات اعتباری کارمندان که بنابر تشخیص مشخص و قرار دادن آن‌ها در پنل‌ها و سرویس‌های اداری.
• تست برنامه کاربردی تحت‌وب در جایی که مکانیزم Self-registration در دسترس باشد.
• حملات مهندسی اجتماعی مانند Phishing کارمندان

تست‌های نفوذ را نمی‌توان جایگزین تست‌های معمول شناسایی نقاط آسیب‌پذیر کرد

باید به خاطر داشت که هرروز نقاط آسیب‌پذیر جدیدی کشف می‌شود و مهاجمان معمولاً در عرض یک هفته پس از کشف‌شان  جدی‌ترین نقاط ضعف را Exploit می‌کنند.

در عین حال که تست نفوذ خارجی ارزیابی مهمی برای بررسی عمیق امنیت سیستم‌های در معرض دید است، بهتر است از آن به‌عنوان مکمل سرویس اسکن معمول نقاط آسیب‌پذیر که پیش از این در سازمان موجود بوده است استفاده شود.

درباره Intruder

Intruder یک شرکت امنیت سایبری بوده که با ارائه خدمات اسکن مستمر نقاط آسیب‌پذیر و تست نفوذ به سازمان‌ها کمک می‌کند سطح حمله خود را کاهش دهند. اسکنر قدرتمند Intruder به‌گونه ای طراحی شده که به سرعت نقص‌های مخرب و تغییرات در سطح حمله را شناسایی و سریعاً زیرساخت‌ها را برای تهدیدهای نوظهور اسکن ‌کند. Intruder با اجرای هزاران بررسی، که شامل شناسایی پیکربندی‌های نادرست، Patchهای گمشده و مشکلات لایه وب می‌شود، اسکن نقاط آسیب‌پذیر در سطح سازمان را برای همه میسر کرده و در دسترس قرار می‌دهد. گزارش‌های باکیفیت Intruder برای ارسال به کاربران بالقوه یا مطابقت با مقررات امنیتی مانند ISO 27001 و SOC 2 عالی می باشند.

شرکت APK با تدوین سیاست های امنیتی و استفاده از ابزارهای پیشرفته و کارشناسان خبره در این زمینه، و همچنین ایجاد ساختارهای کاملا علمی-عملیاتی و در نظر گرفتن حساسیت ها و Business Continuity سازمان ها، اقدام به شناسایی و ارزیابی امنیتی می نماید. ما با انجام تست نفوذ و با در نظر گرفتن تمامی حالت ها و استانداردهای ممکن در این زمینه، آینده روشنی را برای حفظ هر چه بیشتر دارایی و اطلاعات با اهمیت سازمان ها را به ارمغان می آوریم.