تست نفوذ چیست، چرا اهمیت دارد و چطور انجام می‌شود؟

هر نوع سامانه دفاعی تا زمانی که در شرایط واقعی آزموده نشود، قابل اطمینان نیست. در موضوع حساس امنیت سایبری نیز تست کردن سامانه‌های دفاعی با شبیه‌سازی حملات هکری برای یافتن آسیب‌پذیری‌ها و حفرات امنیتی به منظور برطرف کردن آن‌ها از اهمیت بالایی برخوردار است. این کار که در اصطلاح، تست نفوذ یا پن تست (Penetration test) نام دارد، توسط هکرهای کلاه سفید یا هکرهای قانونی و با مجوز سازمان هدف انجام می‌شود.

تست نفوذ و اهمیت آن

در امنیت سایبری، تست نفوذ به صورت زیر تعریف می‌شود:

«هر گونه حمله هکری شبیه‌سازی شده به یک سامانه یا شبکه کامپیوتری با مجوز مالک آن سامانه یا شبکه با هدف شناسایی آسیب‌پذیری‌ها و حفرات امنیتی، تست نفوذ یا پن تست نام دارد».

ممکن است که سازمان شما، چندین میلیارد تومان برای امن‌سازی سامانه‌ها و شبکه‌های کامپیوتری خودش هزینه کند ما یک نقطه ضعف امنیتی ساده، مثل فرش قرمزی برای هکرها عمل کند و تمامی سامانه‌ها و شبکه‌های کامپیوتری و اطلاعات محرمانه سازمان را در معرض خطر هک شدن قرار دهد.

در امنیت سایبری می‌گویم که امنیت سازمان شما به‌اندازه امنیت ضعیف‌ترین لایه دفاعی شما است. بنابراین، مهم نیست که چقدر برای امنیت سازمان خود هزینه می‌کنید. اگر یکی از کارکنان شما روی یک لینک فیشینگ کلیک کند، کل امنیت سازمان در معرض خطر قرار می‌گیرد.

ناگفته پیدا است که امنیت سامانه‌ها و شبکه‌های کامپیوتری تا چه اندازه برای افراد حقیقی، سازما‌ن‌های دولتی و سازمان‌های خصوصی اهمیت دارد. امروزه، تقریبا تمامی فعالیت‌های شخصی و حرفه‌ای ما با دستگاه‌های کامپیوتری انجام می‌شود و دستگاه‌های شخصی و سازمانی ما پر از اطلاعات حساس و محرمانه‌ای هستند که لو رفتن آن‌ها یا در اختیار گرفتن کنترل این دستگاه‌ها توسط هکرها می‌تواند خسارات مادی و معنوی گسترده‌ای به همراه داشته باشد.

بنابراین، ضرورت دارد که تمامی سازمان‌ها، نه‌تنها نسبت به امن‌سازی سامانه‌ها و شبکه‌های کامپیوتری خود اقدام کنند، بلکه به‌صورت دوره‌ای، امنیت سایبری این سامانه‌ها و شبکه‌ها را در یک مانور واقعی و از دیدگاه یک هکر حرفه‌ای بسنجند تا هر گونه آسیب‌پذیری و نقطه ضعفی را که احتمال سوء استفاده هکرها از آن وجود دارد، شناسایی و برطرف کنند.

تست نفوذ چه انواعی دارد؟

تست نفوذ می‌تواند بسیار گسترده باشد و تمامی سامانه‌ها و شبکه‌های کامپیوتری و حتی امنیت فیزیکی سازمان شما را پوشش دهد یا تنها بخشی از سامانه‌ها شبکه‌های شما مثل یک اپلیکیشن خاص را شامل شود. بر این اساس می‌توان تست تست نفوذ را به انواع زیر دسته‌بندی کرد:

تست نفوذ زیرساخت

در تست نفوذ زیرساخت، شبکه سازمان شما تحت یک حمله هکری شبیه‌سازی شده قرار می‌گیرد تا هر نقطه ضعف امنیتی، مثل کانفیگ‌های نادرست، ضعف در مدیریت گذرواژه، حساب‌های کاربری غیرضروری و غیر امن، ضعف در مدیریت بروزرسانی و پچ، مشکلات امنیتی در توپولوژی شبکه و … در آن شناسایی و راه‌حل‌هایی برای برطرف کردن آن، ارائه شود.

تست نفوذ زیرساخت را می‌توان در دو سطح داخلی و خارجی انجام داد. تست نفوذ خارجی روی سامانه‌های متصل به اینترنت و از راه دور، تنها به واسطه اتصال اینترنت انجام می‌شود اما تست نفوذ داخلی شامل شبیه‌سازی حمله‌ای هکری با دسترسی به سامانه‌های داخلی سازمان شما صورت می‌گیرد.

تست نفوذ زیرساخت می‌تواند شامل تست نفوذ اکتیو دایرکتوری، تست نفوذ سرویس‌های ابری، تست نفوذ ICS-OT برای سامانه‌های صنعتی، تست نفوذ وایرلس، تست نفوذ جعبه شن / کانتینر، تست نفوذ هاست و حتی تست نفوذ فیزیکی باشد.

تست نفوذ نرم افزار

در تست نفوذ نرم افزار که تست نفوذ اپلیکیشن هم نامیده می‌شود، هکرهای کلاه سفید تلاش می‌کنند تا به یک نرم افزار دسکتاپ، نرم افزار تحت وب، اپلیکیشن موبایل، سامانه اتوماسیون یا هر سیستم نرم افزاری دیگری حمله و آسیب‌پذیری‌ها و حفرات امنیتی آن را پیدا کنند. دقت داشته باشید که تست نفوذ اپلیکیشن با اسکن آسیب‌پذیری که به صورت خودکار انجام می‌شود، تفاوت دارد.

چه کسانی تست نفوذ را انجام می‌دهند؟

هکرهای کلاه سفید یا که هکرهای قانونی نیز نامیده می‌شوند، تست نفوذ را با مجوز شما، روی سازمان پیاده می‌کنند. معمولا، هکرهای کلاه‌ سفید دارای وابستگی سازمانی به یک شرکت امنیت سایبری هستند و شما می‌توانید با چنین شرکت‌هایی برای دریافت خدمات تست نفوذ، تماس بگیرید و با آن‌ها قرارداد ببندید.

خیلی مهم است که هکرهای انجام دهنده تست نفوذ دارای وابستگی سازمانی مشخصی باشند زیرا در صورتی که آسیب‌پذیری یا نقطه ضعف امنیتی خاصی در سازمان شما وجود داشته باشد، هکرها می‌توانند به آن‌ها دسترسی پیدا کنند و اگر این هکرها از مشروعیت کافی برخوردار نباشند، احتمال سوء استفاده از داده‌های سازمان شما وجود دارد.

در کشور ما، سازمان فناوری اطلاعات با همکاری مشترک سازمان امنیت فضای تولید و تبادل اطلاعات یا همان افتا، مجوزی تحت عنوان مجوز افتا به شرکت‌های ارائه‌دهنده خدمات امنیتی سایبری ارائه می‌کند و ضرورت دارد که پیش از سپردن تست نفوذ به شرکت مورد نظر خود، بررسی کنید که آیا آن شرکت از گواهی افتا برخوردار است یا خیر.