ورود کاربران

رمز خود را فراموش کرده‌ام

هنوز ثبت نام نکرده‌ام

ایمیل:
نام:
نام خانوادگی:
لطفا عبارت امنیتی زیر را بازنویسی کنید:

دوست عزيز، برای شركت در مسابقه نیاز به ثبت نام شما در سایت می‌باشد. به افرادی كه در 5 مسابقه جواب صحیح داده‌اند،‌ به قيد قرعه جوایزی اهدا خواهد شد.

همچنین در صورتی كه شرایط عضویت پرديس را داشته باشيد می‌توانيد از مزايای زیر استفاده كنید.

  • از تخفیف ویژه ١٠٪ جهت خرید کارت‌های اینترنت و تلفن بین‌المللی برخوردار شوید
  • از عضویت رایگان خبرنامه‌های الکترونیک و نشریات پردیس برخوردار شوید.
  • ادامه ...

تست نفوذ(PENTEST)

آشنایی با  تست نفوذ

تست نفوذ  (pentest) یک روش تست، اندازه گیری و بهبود اقدامات امنیتی در ایجاد سیستم های اطلاعاتی و زمینه های پشتیبانی به معنی ارزیابی امنیت کلی سیستم  قبل از اتفاق افتادن حمله (attack) است.

تست نفوذ يا ارزيابي امنيتي روشي است که توسط آن قادر خواهيم بود تا آسيب‌پذيري‌هاي موجود در نرم‌افزارها، شبکه، وب‌سايت و بانک‌هاي اطلاعاتي خود را شناسايي کرده و پيش از آنکه نفوذگران واقعي به سيستم وارد شوند، امنيت سیستم خود را افزايش دهيم. اين روش با استفاده از ارزيابي جنبه‌هاي مختلف امنيتي کمک مي‌کند تا با کاهش دادن ريسک‌هاي امنيتي موجود، احتمال نفوذ غيرمجاز به شبکه را کاهش دهيم.

هدف از انجام تست نفوذ

تاثیر واقعی کنترل های امنیتی موجود بر سیستم، در برابر حملات طراحی شده و ماهرانه چه میزان میباشد؟

Pentestیک فرایند ارزشمند برای رسیدن به اهداف زیر می باشد:

  • پیدا کردن نظام مند رخنه های امنیتی، قبل از آن که هکرها آن ها را پیدا نمایند.
  • ایجاد درکی از سطح امنیتی مجموعه و ارایه گزارش به مدیریت و برنامه ریزی برای بهبود، ایمن سازی و آموزش پرسنل
  • افزایش سطح آگاهی و حساسیت افراد به مقوله امنیت
  • ممیزی سطح امنیت در مقایسه تطبیقی با استانداردها
  • تست تکنولوژی های جدید استفاده شده در سازمان
  • مشخص نمودن نقاط قوت سازمان از لحاظ امنیت
  • ارزیابی برندهای مختلف که از تجهیزات و خدمات آن ها در سازمان استفاده می شود
  • تعیین امکان سنجی یک مجموعه خاص از حمله (attack vectors)
  • شناسایی آسیب پذیری های بزرگ که ممکن است از آسیب های کوچک کنونی سیستم قابل بروز در آینده باشند.
  • بررسی تاثیر میزان بزرگی و عملیاتی شدن اثرات حملات موفق برکسب و کار
  • تست توانایی دفاع شبکه در موفقیت شناسایی و پاسخ به حملات
  • برآورد هزینه ایمن سازی

 pen-testing-1000x675

رويكردهای تست نفوذ  

تست نفوذ به روش‌هاي متفاوتي قابل انجام است. بيشترين تفاوت ميان اين روش‌ها، در ميزان اطلاعات مرتبط با جزييات پياده‌سازي سيستم در حال تست مي‌باشد که در اختيار تيم تست نفوذ قرار داده مي‌شود. با توجه به اين موضوع تست نفوذ را مي‌توان به سه دسته ذیل تقسیم نمود:

  1. آزمون جعبه سیاه (Black-Box)با فرض فقدان دانش قبلي از زير ساخت­هايي است که قرار است مورد تست قرار گيرند. در واقع شبيه‌سازي کردن حمله‌اي است که توسط نفوذگري انجام مي‌شود که در ابتدا با سيستم آشنايي ندارد. متخصصان بايد پيش از آناليز و بررسي، ابتدا مکان و گستره سيستم‌ها را بطور دقيق مشخص کنند.
  1. آزمون جعبه سفید(White-Box): اطلاعات ضروري مانند معماري شبکه، کدهاي منبع، اطلاعات آدرس IP و شايد حتي دسترسي به بعضي از کلمات عبور، در اختيار تيم ارزيابي امنيتي قرار مي‌گيرد. این تست حمله‌اي را شبيه­سازي مي‌کند که ممکن است در اثر افشاي اطلاعات محرمانه از شبکه داخلي يا حضور نفوذگر در داخل سازمان بوجود آيد. تست White-Boxx داراي گستردگي وسيعي مي‌باشد و محدوده آن شامل بررسي شبکه محلي تا جستجوي کامل منبع نرم افزارهاي کاربردي به منظور کشف آسيب‌پذيري‌هايي که تا کنون از ديد برنامه نويسان مخفي مانده است، مي‌باشد.
  1. آزمون جعبه خاکستری (Gray-Box): در واقع مابين دو روش ذکر شده در بالا قرار مي‌گيرند.

 

دسته‌بندی تست نفوذ از نظر جایگاه تیم تست کننده

  • تست نفوذ خارجی:

تست نفوذ خارجی به انواع تست‌هايي اطلاق مي‌شود که در خارج از محدوده سازماني که قرار است مورد تست نفوذ قرار بگيرد، انجام مي‌شود. این تست در واقع سناريويي را بررسي مي‌کند که مهاجم با دسترسي داشتن به منابع مورد نياز خود، از جمله آدرس­هاي IP  که از سازمان مورد نظر در اختيار دارد و يا با در اختيار داشتن کد منبع نرم افزارهايي که در سازمان استفاده مي‌شوند و در اينترنت موجود مي باشند اقدام به پويش و کشف آسيب‌پذيري نمايد.

  • تست نفوذ داخلی:

تست‌ نفوذ داخلی در حوزه مکاني سازمان و در ميان افرادي که در آن سازمان فعاليت مي‌کنند انجام مي‌شود. در این تست سناريويي بررسي مي‌شود که مهاجم به هر طريق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوري داده­هاي مورد نظر اقدام به حمله مي‌کند. با ورود به محدوده مکاني، يک سازمان مهاجم مي‌تواند سناريوهاي مختلفي را پياده سازي نمايد. براي نمونه با استفاده از شبکه بي‌سيم داخلي و بررسي داده‌هاي به اشتراک گذاشته شده که مي­تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلي براي مهاجم ساده‌تر خواهد شد.

 

استاندارهای بین المللی تست نفوذ

 تمامی تست های انجام شده در این خدمات با توجه به استانداردهای بین المللی شناخته شده ذیل انجام می پذیرد و گزارش‌ها بر مبنای این استانداردها ارایه خواهد شد.

  • ISO/IEC 27001
  • ISO/IEC 27002
  • PCI DSS
  • OSTTMM (Open Source Security Testing Methodology Manual)
  • OWASP (Open Web Application Security Project)    2013
  • LPT (Licensed Penetration Tester methodology from EC-Council)