هر نوع سامانه دفاعی تا زمانی که در شرایط واقعی آزموده نشود، قابل اطمینان نیست. در موضوع حساس امنیت سایبری نیز تست کردن سامانههای دفاعی با شبیهسازی حملات هکری برای یافتن آسیبپذیریها و حفرات امنیتی به منظور برطرف کردن آنها از اهمیت بالایی برخوردار است. این کار که در اصطلاح، تست نفوذ یا پن تست (Penetration test) نام دارد، توسط هکرهای کلاه سفید یا هکرهای قانونی و با مجوز سازمان هدف انجام میشود.
تست نفوذ و اهمیت آن
در امنیت سایبری، تست نفوذ به صورت زیر تعریف میشود:
«هر گونه حمله هکری شبیهسازی شده به یک سامانه یا شبکه کامپیوتری با مجوز مالک آن سامانه یا شبکه با هدف شناسایی آسیبپذیریها و حفرات امنیتی، تست نفوذ یا پن تست نام دارد».
ممکن است که سازمان شما، چندین میلیارد تومان برای امنسازی سامانهها و شبکههای کامپیوتری خودش هزینه کند ما یک نقطه ضعف امنیتی ساده، مثل فرش قرمزی برای هکرها عمل کند و تمامی سامانهها و شبکههای کامپیوتری و اطلاعات محرمانه سازمان را در معرض خطر هک شدن قرار دهد.
در امنیت سایبری میگویم که امنیت سازمان شما بهاندازه امنیت ضعیفترین لایه دفاعی شما است. بنابراین، مهم نیست که چقدر برای امنیت سازمان خود هزینه میکنید. اگر یکی از کارکنان شما روی یک لینک فیشینگ کلیک کند، کل امنیت سازمان در معرض خطر قرار میگیرد.
ناگفته پیدا است که امنیت سامانهها و شبکههای کامپیوتری تا چه اندازه برای افراد حقیقی، سازمانهای دولتی و سازمانهای خصوصی اهمیت دارد. امروزه، تقریبا تمامی فعالیتهای شخصی و حرفهای ما با دستگاههای کامپیوتری انجام میشود و دستگاههای شخصی و سازمانی ما پر از اطلاعات حساس و محرمانهای هستند که لو رفتن آنها یا در اختیار گرفتن کنترل این دستگاهها توسط هکرها میتواند خسارات مادی و معنوی گستردهای به همراه داشته باشد.
بنابراین، ضرورت دارد که تمامی سازمانها، نهتنها نسبت به امنسازی سامانهها و شبکههای کامپیوتری خود اقدام کنند، بلکه بهصورت دورهای، امنیت سایبری این سامانهها و شبکهها را در یک مانور واقعی و از دیدگاه یک هکر حرفهای بسنجند تا هر گونه آسیبپذیری و نقطه ضعفی را که احتمال سوء استفاده هکرها از آن وجود دارد، شناسایی و برطرف کنند.
تست نفوذ چه انواعی دارد؟
تست نفوذ میتواند بسیار گسترده باشد و تمامی سامانهها و شبکههای کامپیوتری و حتی امنیت فیزیکی سازمان شما را پوشش دهد یا تنها بخشی از سامانهها شبکههای شما مثل یک اپلیکیشن خاص را شامل شود. بر این اساس میتوان تست تست نفوذ را به انواع زیر دستهبندی کرد:
تست نفوذ زیرساخت
در تست نفوذ زیرساخت، شبکه سازمان شما تحت یک حمله هکری شبیهسازی شده قرار میگیرد تا هر نقطه ضعف امنیتی، مثل کانفیگهای نادرست، ضعف در مدیریت گذرواژه، حسابهای کاربری غیرضروری و غیر امن، ضعف در مدیریت بروزرسانی و پچ، مشکلات امنیتی در توپولوژی شبکه و … در آن شناسایی و راهحلهایی برای برطرف کردن آن، ارائه شود.
تست نفوذ زیرساخت را میتوان در دو سطح داخلی و خارجی انجام داد. تست نفوذ خارجی روی سامانههای متصل به اینترنت و از راه دور، تنها به واسطه اتصال اینترنت انجام میشود اما تست نفوذ داخلی شامل شبیهسازی حملهای هکری با دسترسی به سامانههای داخلی سازمان شما صورت میگیرد.
تست نفوذ زیرساخت میتواند شامل تست نفوذ اکتیو دایرکتوری، تست نفوذ سرویسهای ابری، تست نفوذ ICS-OT برای سامانههای صنعتی، تست نفوذ وایرلس، تست نفوذ جعبه شن / کانتینر، تست نفوذ هاست و حتی تست نفوذ فیزیکی باشد.
تست نفوذ نرم افزار
در تست نفوذ نرم افزار که تست نفوذ اپلیکیشن هم نامیده میشود، هکرهای کلاه سفید تلاش میکنند تا به یک نرم افزار دسکتاپ، نرم افزار تحت وب، اپلیکیشن موبایل، سامانه اتوماسیون یا هر سیستم نرم افزاری دیگری حمله و آسیبپذیریها و حفرات امنیتی آن را پیدا کنند. دقت داشته باشید که تست نفوذ اپلیکیشن با اسکن آسیبپذیری که به صورت خودکار انجام میشود، تفاوت دارد.
چه کسانی تست نفوذ را انجام میدهند؟
هکرهای کلاه سفید یا که هکرهای قانونی نیز نامیده میشوند، تست نفوذ را با مجوز شما، روی سازمان پیاده میکنند. معمولا، هکرهای کلاه سفید دارای وابستگی سازمانی به یک شرکت امنیت سایبری هستند و شما میتوانید با چنین شرکتهایی برای دریافت خدمات تست نفوذ، تماس بگیرید و با آنها قرارداد ببندید.
خیلی مهم است که هکرهای انجام دهنده تست نفوذ دارای وابستگی سازمانی مشخصی باشند زیرا در صورتی که آسیبپذیری یا نقطه ضعف امنیتی خاصی در سازمان شما وجود داشته باشد، هکرها میتوانند به آنها دسترسی پیدا کنند و اگر این هکرها از مشروعیت کافی برخوردار نباشند، احتمال سوء استفاده از دادههای سازمان شما وجود دارد.
در کشور ما، سازمان فناوری اطلاعات با همکاری مشترک سازمان امنیت فضای تولید و تبادل اطلاعات یا همان افتا، مجوزی تحت عنوان مجوز افتا به شرکتهای ارائهدهنده خدمات امنیتی سایبری ارائه میکند و ضرورت دارد که پیش از سپردن تست نفوذ به شرکت مورد نظر خود، بررسی کنید که آیا آن شرکت از گواهی افتا برخوردار است یا خیر.