pentest

تست نفوذ یا Penetration Test چیست؟

آزمون نفوذ (pentest)، فرایندی است که در آن یک هکر قانونمند، برای ارزیابی امنیتی یک سیستم، با ارسال کدهای مخرب به یافتن آسیب‌پذیری‌ها می‌پردازد و هدف اصلی پن تست (آزمون نفوذ)، دسترسی غیرمجاز به سیستم به تقلید از یک هکر غیرقانونی است.

آزمایش نفوذ سرور وب برای شناسایی ضعف‌های امنیتی احتمالی (که به آنها نقاط آسیب‌پذیری سیستم نیز گفته می‌شود) انجام می‌شود، این نقاط ضعف سیستم می‌تواند منجر به نقض کامل یا صدمه به اطلاعات محرمانه، ساختار کلی سیستم یا در دسترس بودن سیستم یا بخضی از اطلاعات موجود، شود.

تست نفوذ سایت، پن تست (یا تست قلم)، به معنی آزمایش یک حمله سایبری شبیه‌سازی شدۀ مجاز به یک یا چند سیستم کامپیوتری، برنامه، شبکه یا دستگاه در جهت بهبود امنیت سایت است. این عمل برای ارزیابی امنیت سیستم مورد آزمایش انجام می‌شود.

تست نفوذ (Penetration test) معمولا به مراحل شناسایی، اسکن و شمارش، نفوذ به سیستم ، حفظ دسترسی و البته پوشش حملات تقسیم‌بندی می‌شود.

سرویس پن تست آرکا می‌تواند به شما در شناسایی و رفع مشکلات برای جلوگیری از به وجود آمدن مشکلات مهم در امنیت سایبری سایت شما کمک کند.
تست نفوذ

انواع تست نفوذ

  • فیزیکی : هدف از تست بررسی عملکرد و میزان امنیت دوربین های امنیتی و سنسور ها است .
  • وب : در این تست نقاط ضعف احتمالی وبسایت ها مورد بررسی قرار می­گیرد و همچنین برای مسائل امنیتی استفاده می‌شود.
  • برنامه های موبایل: تسترها با استفاده از تست دستی خودکار و توسعه‌یافته، به دنبال آسیب‌پذیری در باینری‌های برنامه‌ای که روی دستگاه تلفن همراه اجرا می‌شوند و عملکرد سمت سرور مربوطه می‌گردند. آسیب‌پذیری‌های سمت سرور شامل مدیریت جلسه، مسائل رمزنگاری، مسائل مربوط به احراز هویت و مجوز و سایر آسیب‌پذیری‌های رایج وب سرویس است.
  • شبکه : در این تست در ابتدا ساختار فیزیکی یک شبکه و نحوه پیکر بندی اجزای شبکه به منظور شناسایی خطرات و ریسک های احتمالی مورد بررسی قرار می‌گیرد. در این تست تک تک اجزای شبکه مانند رایانه ها، سوئیچ ها، مودم ها و دیگر اجزای شبکه مورد بررسی قرار می­گیرند.
  • فضای ابری: یک محیط ابری به طور قابل توجهی با محیط های سنتی داخلی متفاوت است. به طور معمول مسئولیت های امنیتی، بین سازمانی که از محیط استفاده می کند و ارائه دهنده خدمات ابری به اشتراک گذاشته می شود. به همین دلیل، پن تست ابری به مجموعه‌ای از مهارت‌ها و تجربه‌های تخصصی برای بررسی دقیق جنبه‌های مختلف ابر، مانند پیکربندی‌ها، APIها، دیتاسنترهای مختلف، رمزگذاری، ذخیره‌سازی و کنترل‌های امنیتی نیاز دارد.
  • شبکه بی‌سیم : ارتباط بین دستگاه ها در شبکه به صورت بیسیم نیز ممکن است از یک سری آسیب پذیری ها پیروی بکند. اگر در بستر شبکه های بیسیم آسیب پذیری وجود داشته باشد می­توان از طریق بستر WiFi عملیات های مخربی انجام داد. برای همین در این تست به بررسی ارتباطات دستگاه های متصل به شبکه بیسیم پرداخته می‌شود.
  • کانتینر (container): کانتینرهای به‌دست‌آمده از داکر (Docker) اغلب دارای آسیب‌پذیری‌هایی هستند که می‌توان از آنها در مقیاس بزرگ استفاده کرد. پیکربندی نادرست نیز یک خطر رایج مرتبط با کانتینر و محیط آنها است. هر دوی این خطرات را می توان با تست نفوذ کشف کرد.

فواید

  • توانایی شناسایی و اولویت بندی آسیب پذیدی ها
  • بهره مندی از رویکردهای پیشگیرانه در امنیت سایبری
  • بالا بردن اطمینان خاطر تیم های امنیتی سازمان
  • توانایی مدیریت نقاط آسیب پذیری

اهداف

  • راه اندازی برنامه
  • تغییر یا بروزرسانی عمده شبکه یا برنامه
  • مدیریت آسیب پذیری
  • نقص امنیتی
  • تست نفوذ داخلی و خارجی
  • تست نفوذ جعبه سیاه و سفید
pentest

درباره‌ی تیم قرمز : Red Team بخوانید.

نحوه ی انجام

  • آماده سازی

    بسته به نیاز سازمان، این مرحله می‌تواند یک روش ساده یا پیچیده باشد. اگر سازمان تصمیم نگرفته است که کدام آسیب‌پذیری‌ها را می خواهد ارزیابی کند، باید زمان و منابع قابل توجهی را برای پاکسازی سیستم برای نقاط ورود آسیب‌پذیر احتمالی اختصاص داد. فرآیندهای عمیق مانند این مورد معمولاً فقط برای مشاغلی که قبلاً حسابرسی کامل سیستم‌های خود را انجام نداده‌اند ضروری است. به محض انجام ارزیابی آسیب‌پذیری، این مرحله بسیار ساده‌تر می‌شود.

  • تدوین یک طرح حمله

    بخش فناوری اطلاعات یک حمله سایبری یا فهرستی از حملات سایبری را طراحی می‌کند که تیم از آن برای انجام آزمایش تست نفوذ سایت استفاده می‌کند. در طی این مرحله، تعیین سطح دسترسی سیستم مهم است.

  • انتخاب اعضای تیم

    موفقیت تست قلم به کیفیت آزمایش‌کنندگان بستگی دارد. این مرحله اغلب برای تعیین هکرهای اخلاقی که برای انجام آزمایش مناسب‌ترین هستند، استفاده می شود. چنین تصمیماتی می‌تواند بر اساس شرایط سیستم شما و تخصص کارکنان گرفته شود. همچنین شرکت ها اغلب مشاوران متخصص و متخصصان دارای مجوز امنیت سایبری را برای انجام آزمایش قلم استخدام می‌کنند.

  • تعیین نوع داده‌های سرقت شده

    چه انواعی از داده و اطلاعات در سایت شما برای هکرها جذاب هستند؟ نوع داده انتخاب شده در این مرحله می‌تواند تأثیر عمیقی بر ابزارها، استراتژی‌ها و تکنیک‌های مورد استفاده برای دستیابی به آن داشته باشد.

  • انجام آزمایش تست نفوذ سایت

    این یکی از پیچیده‌ترین و ظریف‌ترین بخش‌های فرآیند تست نفوذ سایت است، زیرا بسیاری از برنامه‌ها و تکنیک‌های نرم‌افزاری خودکار وجود دارد که آزمایش‌کنندگان می‌توانند از آنها استفاده کنند، از جمله Kali Linux ، Nmap ، Metasploit و Wireshark.

  • ارائه گزارش‌های یکپارچه از نتایج فعالیت‌ها

    گزارش‌دهی مهمترین مرحله فرآیند است. نتایج باید به تفصیل شرح داده شود تا سازمان بتواند یافته‌های موجود را طبقه‌بندی و بررسی کند.

جهت کسب اطلاعات بیشتر و ارتباط با کارشناسان تماس حاصل فرمایید.

۰۲۱۸۸۸۰۴۹۶۱ , ۰۲۱۷۴۳۹۱۱۰۱