در Ø·ÛŒ سالهای اخیر بسیاری از شركت ها برای راØتی بیشتر مشتریان Ùˆ كارمندان خود، برخی امكانات اضاÙÛŒ را به برنامه های كاربردی موجود اضاÙÙ‡ كرده Ùˆ یا برنامه های كاربردی جدیدی را پیاده سازی كرده اند. برای مثال Ù…ÛŒ توان به دسترسی آنلاین به خدمات بانكی Ùˆ یا گسترش شیوه های ارتباط الكترونیك برای كارمندانی كه در خانه كار Ù…ÛŒ كنند، اشاره كرد. از طر٠دیگر بسیاری از شركت ها به ضرورت Øضور در اینترنت برای جذب مشتریان بالقوه Ùˆ ØÙظ مشتریان Ùعلی Ù¾ÛŒ برده اند. در هر دو مورد، زمانی كه بØØ« Øضور در اینترنت پیش Ù…ÛŒ آید، عنصر امنیت به خصوص امنیت سرورها اهمیت ویژه ای پیدا Ù…ÛŒ كند. سرورهای وب ØŒ در كنار سرویس های Ù…Ùید خود، مجموعه جدیدی از آسیب پذیری ها را نیز پدید آورده اند كه لازم است دست اندركاران سیستم های رایانه ای، به خصوص سیستم های مبتنی بر وب، آنها را جدی تلقی كنند. البته آسیب پذیری ها به سرورها Ù…Øدود نمی شوند Ùˆ ممكن است به صورت عمدی یا غیر عمدی در طراØÛŒ Ùˆ پیاده سازی برنامه های كاربردی، Øتی برنامه هایی كه مدتهاست در Øال كار هستند، ایجاد شده باشند. به همین جهت شناسایی آسیب پذیری ها Ùˆ میزان Ù†Ùوذ Ùˆ تأثیر آنها بر روی سیستم از اهمیت ویژه ای برخوردار است. لذا بسیاری از شركت ها برای نیل به هد٠Ùوق از تست Ù†Ùوذ استÙاده Ù…ÛŒ كنند.
تست Ù†Ùوذ چیست؟
یك تست Ù†Ùوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده Ùˆ سیستماتیك برای به كارگیری آسیب پذیری ها جهت Ù†Ùوذ به سرور، شبكه Ùˆ یا منابع برنامه های كاربردی است. در واقع تست Ù†Ùوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی Øمله یك هكر یا Ù†Ùوذگر خرابكار صورت Ù…ÛŒ گیرد. پروسه تست Ù†Ùوذ یك تØلیل Ùعال از سیستم برای یاÙتن هر ØÙره، آسیب پذیری Ùˆ نقص ÙÙ†ÛŒ است كه بالقوه یك ضع٠امنیتی سیستم Ù…Øسوب Ù…ÛŒ شود. این تØلیل در مقام یك هكر بالقوه انجام Ù…ÛŒ شود Ùˆ در آن Ù…ÛŒ توان از آسیب پذیری های امنیتی Ùعال برای اجرای Øملات استÙاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها Ùˆ همچنین پیشنهاد هایی برای كاهش اثر خطرات Ùˆ یا راه ØÙ„ های ÙÙ†ÛŒ به صاØب سیستم ارائه شوند. تست Ù†Ùوذ Ù…ÛŒ تواند با استÙاده از منابع داخلی همچون سیستم امنیتی میزبان Ùˆ یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك Ùˆ یا دستی برای آزمودن منابع سیستم استÙاده Ù…ÛŒ شود.
البته انجام تست Ù†Ùوذ بر روی سیستم های Ùعال، خطر از هم گسستن آنها را در Ù¾ÛŒ دارد زیرا اجرا كردن Øملات Ùعال بر روی سیستم ممكن است منجر به از كار اÙتادگی، بروز برخی رÙتارهای غیر قابل پیش بینی Ùˆ بی ثباتی سیستم شود.
تست Ù†Ùوذ Ú†Ù‡ چیزی نیست؟
یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست Ù†Ùوذ دانست. تست Ù†Ùوذ باید به صورت برنامه ریزی شده Ùˆ هماهنگ با صاØبان سیستم انجام شود. كمترین تأثیر تست Ù†Ùوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص Ù†Ùوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار اÙتادن تجهیزات شبكه یا سیستم Ù…ÛŒ شوند Ùˆ به همین علت آگاهی مدیران Ùˆ كارمندان از انجام تست Ù†Ùوذ یك ضرورت به Øساب Ù…ÛŒ آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص Ù†Ùوذ Ùˆ عكس العمل كارمندان در برابر آن است. بنابراین گرÙتن مجوز از مدیریت برای انجام تست Ù†Ùوذ جهت پذیرش پیامدهای آن، ضروری Ù…Øسوب Ù…ÛŒ شود.
چه چیزهایی باید تست شوند؟
در تست Ù†Ùوذ لازم است تمام سرویس های درونی كه توسط شركت ارائه Ù…ÛŒ شوند، مورد بررسی Ùˆ آزمون قرار گیرند. سرویس های مذكور عبارتند از: MailØŒ DNSØŒ سیستم های Ùایروال، ساختار كلمات عبور، سیستم های پروتكل انتقال Ùایل (FTP)Ùˆ وب سرورها. طبق اطلاعات جدید سیستم های بی سیم شركت Ùˆ Public Branch Exchange(PBX) نیز باید مورد تست قرار گیرند. از طر٠دیگر روش های بالقوه Ù†Ùوذ مانند دسترسی به منابع شبكه Ùˆ شیوه به دست آوردن اطلاعات نیز باید مورد بررسی قرار گیرند. همچنین تلاش های مهندسی اجتماعی را نیز برای دسترسی به منابع باید در نظر گرÙت.
روش های تست: جعبه سیاه در مقابل جعبه سÙید
تست Ù†Ùوذ Ùˆ یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی Ù…ÛŒ تواند انجام شود. در واقع تست Ù†Ùوذ Ù…ÛŒ تواند به صورت Ù…Øرمانه (تست جعبه سیاه) Ùˆ یا به صورت عمومی (تست جعبه سÙید) انجام پذیرد.
تÙاوت اصلی در این روشها میزان دانش تست كنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست Ù†Ùوذ به روش جعبه سیاه Ùرض Ù…ÛŒ شود تست كنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند Ùˆ لذا ابتدا باید گستردگی Ùˆ توزیع سیستم را یاÙته Ùˆ سپس شروع به تØلیل كنند. این مرØله بسیار زمان بر بوده Ùˆ به عنوان مرØله جمع آوری اطلاعات شناخته Ù…ÛŒ شود. در نقطه مقابل Ùˆ در انتهای دیگر Ø·ÛŒÙØŒ روش جعبه سÙید وجود دارد كه در آن اطلاعات كامل زیر ساخت، در اختیار تست كنندگان قرار Ù…ÛŒ گیرد. این اطلاعات معمولاً شامل نمودارهای شبكه، كد منبع Ùˆ اطلاعات آدرس دهی IP است. در میان این دو، طی٠گسترده ای وجود دارد كه آن را به عنوان روش جعبه خاكستری Ù…ÛŒ شناسند. همچنین تست های Ù†Ùوذ بنا بر میزان اطلاعاتی كه در اختیار تست كنندگان قرار Ù…ÛŒ گیرد به عنوان تست های "اÙشای كامل"ØŒ "اÙشای جزئی" Ùˆ یا "كور" نیز ØªÙˆØ¶ÛŒØ Ø¯Ø§Ø¯Ù‡ Ù…ÛŒ شوند.
بØØ« هایی بر سر میزان شایستگی نسبی هر كدام از این روش ها وجود دارد. تست به روش جعبه سیاه Øملاتی را از طر٠یك Ùرد ناآشنا با سیستم شبیه سازی Ù…ÛŒ كند. تست Ù†Ùوذ به روش جعبه سÙید Øملاتی را از داخل سازمان Ùˆ یا بعد از نشت اطلاعات Øساس شبیه سازی Ù…ÛŒ كند كه در آن مهاجم به نقشه شبكه، كد منبع Ùˆ Øتی برخی از كلمات عبور دسترسی دارد.
تست داخلی در مقابل تست خارجی
امروزه بسیاری از سازمان ها و شركت ها دارای شبكه داخلی یا LAN هستند كه از طریق آن بین كامپیوترها و منابع ارتباط برقرار كرده و می توانند برخی از منابع را از این طریق به اشتراك گذارند. در اینجا منظور از شبكه داخلی همه كامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است كه در داخل شركت یا سازمان قابل دسترسی هستند.
منظور از دستگاه های خارجی، آنهایی هستند كه از طریق اینترنت Ùˆ یا بخش عمومی شبكه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)ØŒ میل سرورها (POP3 Ùˆ SMTP) Ùˆ سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی Ú¯Ùته شده Ùˆ معمولاً از آنجایی كه به اینترنت اتصال پیدا Ù…ÛŒ كنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرÙته Ù…ÛŒ شود، اما تØقیقات نشان داده است Øدود 50 درصد رخدادهای امنیتی در داخل سازمان رخ Ù…ÛŒ دهند Ùˆ هزینه ای را كه بر سازمان تØمیل Ù…ÛŒ كنند بسیار بیشتر از Øملات خارج سازمانی است. برای مثال هر Øمله داخلی به طور متوسط 2.7 میلیون دلار Ùˆ هر Øمله خارجی 57 هزار دلار برای شركت اراكل هزینه دارد.
تست هایی كه برای مشخص كردن آسیب پذیری های با دسترسی به منابع داخلی سازمان Ùˆ یا از طریق مهندسی اجتماعی انجام Ù…ÛŒ شوند، به عنوان تست Ù†Ùوذ داخلی شناخته Ù…ÛŒ شوند. تست های Ù†Ùوذ داخلی Ù…ÛŒ توانند به خوبی نشان دهنده Øملاتی كه با دسترسی های مجاز انجام Ù…ÛŒ شوند باشند. برای مثال Ù…ÛŒ توان به Øملاتی كه از طر٠كارمندان اخراجی انجام Ù…ÛŒ شود، اشاره كرد. در مقابل تست Ù†Ùوذ خارجی برای شبیه سازی Øملاتی است كه از طریق اینترنت قابل انجام هستند. برای مثال در صورتی كه هد٠از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست Ù†Ùوذ خارجی پیشنهاد Ù…ÛŒ شود. البته بسیاری از سازمان ها Ùˆ شركت ها از هر دو روش برای تست Ù†Ùوذ استÙاده Ù…ÛŒ كنند.
Ù…Øدودیت های تست Ù†Ùوذ
باید دقت داشت كه تست Ù†Ùوذ تنها یك تصویر Ù„Øظه ای از سیستم ها Ùˆ شبكه ها در یك زمان مشخص است. تست Ù†Ùوذ تنها بر روی سیستم هایی كه در زمان اجرای تست در دسترس هستند Ùˆ آسیب پذیری ها Ùˆ نقص های امنیتی كه توسط ابزارها Ùˆ بسته های مختل٠قابل شناسایی هستند، انجام Ù…ÛŒ شود. به عبارت دیگر پروسه امنیت شبكه Ùˆ سیستم، یك پروسه پیوسته Ùˆ دائمی است زیرا به Ù…Øض تمام شدن تست، ممكن است یك سیستم Ùˆ یا برنامه كاربردی دیگر به مجموعه اضاÙÙ‡ شده Ùˆ در صورت اجرای دوباره تست Ù†Ùوذ، نتایج متÙاوتی Øاصل گردد.
استانداردها و گواهینامه ها
انجام تست Ù†Ùوذ Ù…ÛŒ تواند منجر به اÙشای اطلاعات Øساس سازمان مورد بررسی شود. به همین دلیل شركت های امنیتی باید صریØاً نشان دهند كه از هكرهای كلاه سیاه قبلی استÙاده نكرده Ùˆ همه كارمندان آنها به قوانین مربوط به كد نویسی اخلاقی پایبند هستند. شركت های امنیتی برای نشان دادن قابل اعتماد بودن خود، Ù…ÛŒ توانند از گواهینامه های ØرÙÙ‡ ای در این زمینه استÙاده كنند.
موسسه Information Assurance Certification Review Board) IACRB) یك گواهینامه تست Ù†Ùوذ را به عنوان Certified Penetration Tester)CPT) ارائه Ù…ÛŒ دهد. برای دریاÙت CPT كاندیدا باید چندین امتØان تئوری را پشت سر گذاشته Ùˆ سپس یك امتØان عملی را نیز با اجرای یك تست Ù†Ùوذ بر روی سرورهای Ùعال پشت سر گذارد.
موسسه SANS یكی دیگر از موسساتی است كه در زمینه های مختل٠امنیت Ùناوری اطلاعات دوره های آموزشی دارد Ùˆ یك گواهینامه امنیتی به نام(GIAC(Global Information Assurance Certification صادر Ù…ÛŒ كند. دو نوع از گواهینامه های GIAC مختص به تست Ù†Ùوذ هستند Ùˆ با نام های GIAC Certified Penetration Tester)GPEN) Ùˆ GIAC Web Application Penetration Tester)GWAPT) شناخته Ù…ÛŒ شوند.
برای برنامه های كاربردی مبتنی بر وب، Open Web Application Security Project)OWASP) یك چارچوب كاری را ارائه داده است كه به عنوان یك Ù…ØÙƒ (benchmark) شناخته شده در سراسر جهان استÙاده Ù…ÛŒ شود.
چندین گواهینامه امنیتی نیز توسط دولت انگلیس تهیه شده است كه در ابتدا هد٠آنها سازمان های وابسته به دولت بود، ولی مدتی بعد در دسترس شركت های تجاری كه قصد دارند Ø³Ø·Ø Ø¨Ø§Ù„Ø§ÛŒÛŒ از امنیت را برای مشتریان خود تضمین كنند، نیز قرار گرÙت.
برای سالها تنها استاندارد تست Ù†Ùوذ، الگوی CHECK بوده است كه توسط گروه امنیت الكترونیك Ùˆ ارتباطات انگلیس (CESG) تهیه شده است. این استاندارد در ابتدا یك پیش شرط اجباری برای تست های دولت مركزی بوده ولی با توجه به قوانین انگلیس، اجرای آن برای دولت های Ù…ØÙ„ÛŒ Ùˆ شركت های دولتی اجباری نبوده است. قابل ذكر است كه استاندارد مذكور از سوی بخش خصوصی Ùˆ شركت های تجاری با استقبال خوبی روبرو شد.
الگوی TIGER یكی از الگوهای شناخته شده غیر دولتی انگلستان برای تست Ù†Ùوذ است. برای به دست آوردن گواهینامه منطبق با الگوی مذكور، آموزش هایی توسط شركت QBit ارائه Ù…ÛŒ شود Ùˆ برگزار كننده امتØانات مربوطه Glamorgan University است. برای گرÙتن گواهینامه مذكور نیاز نیست Ùرد متقاضی در استخدام یك شركت امنیتی باشد. گواهینامه تست كننده امنیتی ارشد SST معادل با رهبر تیم CHECK یا CHECK Team Leader)CTL) شناخته Ù…ÛŒ شود.
گواهینامه (CREST(Council of Registered Ethical Security Testers نیز یك گواهینامه تست Ù†Ùوذ انگلیسی است كه بر مبنای استاندارد CREST داده Ù…ÛŒ شود. موسسه CREST یك مجتمع غیر انتÙاعی متشكل از 15 شركت امنیتی انگلیسی اجرا كننده تست Ù†Ùوذ است. گواهینامه این موسسه نیز مانند گواهینامه CHECK تنها به كسانی كه در استخدام شركت های ارائه دهنده گواهینامه هستند، داده Ù…ÛŒ شود.
منبع: ماهر
http://www.netqurd.com/
تست Ù†Ùوذ چیست؟
یك تست Ù†Ùوذ یا Penetration Test یك پروسه مجاز، برنامه ریزی شده Ùˆ سیستماتیك برای به كارگیری آسیب پذیری ها جهت Ù†Ùوذ به سرور، شبكه Ùˆ یا منابع برنامه های كاربردی است. در واقع تست Ù†Ùوذ روشی برای ارزیابی امنیتی یك سیستم یا شبكه كامپیوتری است كه از طریق شبیه سازی Øمله یك هكر یا Ù†Ùوذگر خرابكار صورت Ù…ÛŒ گیرد. پروسه تست Ù†Ùوذ یك تØلیل Ùعال از سیستم برای یاÙتن هر ØÙره، آسیب پذیری Ùˆ نقص ÙÙ†ÛŒ است كه بالقوه یك ضع٠امنیتی سیستم Ù…Øسوب Ù…ÛŒ شود. این تØلیل در مقام یك هكر بالقوه انجام Ù…ÛŒ شود Ùˆ در آن Ù…ÛŒ توان از آسیب پذیری های امنیتی Ùعال برای اجرای Øملات استÙاده كرد. همه مشكلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها Ùˆ همچنین پیشنهاد هایی برای كاهش اثر خطرات Ùˆ یا راه ØÙ„ های ÙÙ†ÛŒ به صاØب سیستم ارائه شوند. تست Ù†Ùوذ Ù…ÛŒ تواند با استÙاده از منابع داخلی همچون سیستم امنیتی میزبان Ùˆ یا منابع خارجی همچون اتصالات شركت به اینترنت هدایت شود. در این تست معمولاً از یك سری ابزارهای اتوماتیك Ùˆ یا دستی برای آزمودن منابع سیستم استÙاده Ù…ÛŒ شود.
البته انجام تست Ù†Ùوذ بر روی سیستم های Ùعال، خطر از هم گسستن آنها را در Ù¾ÛŒ دارد زیرا اجرا كردن Øملات Ùعال بر روی سیستم ممكن است منجر به از كار اÙتادگی، بروز برخی رÙتارهای غیر قابل پیش بینی Ùˆ بی ثباتی سیستم شود.
تست Ù†Ùوذ Ú†Ù‡ چیزی نیست؟
یك اقدام هماهنگ نشده برای دسترسی بدون اجازه به منابع را نمی توان یك تست Ù†Ùوذ دانست. تست Ù†Ùوذ باید به صورت برنامه ریزی شده Ùˆ هماهنگ با صاØبان سیستم انجام شود. كمترین تأثیر تست Ù†Ùوذ بر سیستم، ایجاد هشدارهایی بر روی سیستم تشخیص Ù†Ùوذ یا IDS (در صورت وجود) است. به علاوه برخی تست ها منجر به از كار اÙتادن تجهیزات شبكه یا سیستم Ù…ÛŒ شوند Ùˆ به همین علت آگاهی مدیران Ùˆ كارمندان از انجام تست Ù†Ùوذ یك ضرورت به Øساب Ù…ÛŒ آید. تنها مورد استثناء در آگاهی دادن كامل به كارمندان، مربوط به تست سیستم تشخیص Ù†Ùوذ Ùˆ عكس العمل كارمندان در برابر آن است. بنابراین گرÙتن مجوز از مدیریت برای انجام تست Ù†Ùوذ جهت پذیرش پیامدهای آن، ضروری Ù…Øسوب Ù…ÛŒ شود.
چه چیزهایی باید تست شوند؟
در تست Ù†Ùوذ لازم است تمام سرویس های درونی كه توسط شركت ارائه Ù…ÛŒ شوند، مورد بررسی Ùˆ آزمون قرار گیرند. سرویس های مذكور عبارتند از: MailØŒ DNSØŒ سیستم های Ùایروال، ساختار كلمات عبور، سیستم های پروتكل انتقال Ùایل (FTP)Ùˆ وب سرورها. طبق اطلاعات جدید سیستم های بی سیم شركت Ùˆ Public Branch Exchange(PBX) نیز باید مورد تست قرار گیرند. از طر٠دیگر روش های بالقوه Ù†Ùوذ مانند دسترسی به منابع شبكه Ùˆ شیوه به دست آوردن اطلاعات نیز باید مورد بررسی قرار گیرند. همچنین تلاش های مهندسی اجتماعی را نیز برای دسترسی به منابع باید در نظر گرÙت.
روش های تست: جعبه سیاه در مقابل جعبه سÙید
تست Ù†Ùوذ Ùˆ یا ارزیابی آسیب پذیری ها از دیدگاه مدیریتی به دو روش اساسی Ù…ÛŒ تواند انجام شود. در واقع تست Ù†Ùوذ Ù…ÛŒ تواند به صورت Ù…Øرمانه (تست جعبه سیاه) Ùˆ یا به صورت عمومی (تست جعبه سÙید) انجام پذیرد.
تÙاوت اصلی در این روشها میزان دانش تست كنندگان از جزئیات پیاده سازی سیستم مورد بررسی است. در تست Ù†Ùوذ به روش جعبه سیاه Ùرض Ù…ÛŒ شود تست كنندگان هیچگونه اطلاعاتی از زیرساخت های سیستم ندارند Ùˆ لذا ابتدا باید گستردگی Ùˆ توزیع سیستم را یاÙته Ùˆ سپس شروع به تØلیل كنند. این مرØله بسیار زمان بر بوده Ùˆ به عنوان مرØله جمع آوری اطلاعات شناخته Ù…ÛŒ شود. در نقطه مقابل Ùˆ در انتهای دیگر Ø·ÛŒÙØŒ روش جعبه سÙید وجود دارد كه در آن اطلاعات كامل زیر ساخت، در اختیار تست كنندگان قرار Ù…ÛŒ گیرد. این اطلاعات معمولاً شامل نمودارهای شبكه، كد منبع Ùˆ اطلاعات آدرس دهی IP است. در میان این دو، طی٠گسترده ای وجود دارد كه آن را به عنوان روش جعبه خاكستری Ù…ÛŒ شناسند. همچنین تست های Ù†Ùوذ بنا بر میزان اطلاعاتی كه در اختیار تست كنندگان قرار Ù…ÛŒ گیرد به عنوان تست های "اÙشای كامل"ØŒ "اÙشای جزئی" Ùˆ یا "كور" نیز ØªÙˆØ¶ÛŒØ Ø¯Ø§Ø¯Ù‡ Ù…ÛŒ شوند.
بØØ« هایی بر سر میزان شایستگی نسبی هر كدام از این روش ها وجود دارد. تست به روش جعبه سیاه Øملاتی را از طر٠یك Ùرد ناآشنا با سیستم شبیه سازی Ù…ÛŒ كند. تست Ù†Ùوذ به روش جعبه سÙید Øملاتی را از داخل سازمان Ùˆ یا بعد از نشت اطلاعات Øساس شبیه سازی Ù…ÛŒ كند كه در آن مهاجم به نقشه شبكه، كد منبع Ùˆ Øتی برخی از كلمات عبور دسترسی دارد.
تست داخلی در مقابل تست خارجی
امروزه بسیاری از سازمان ها و شركت ها دارای شبكه داخلی یا LAN هستند كه از طریق آن بین كامپیوترها و منابع ارتباط برقرار كرده و می توانند برخی از منابع را از این طریق به اشتراك گذارند. در اینجا منظور از شبكه داخلی همه كامپیوترها، سوئیچ ها، پرینترها و همه دستگاه های دیگری است كه در داخل شركت یا سازمان قابل دسترسی هستند.
منظور از دستگاه های خارجی، آنهایی هستند كه از طریق اینترنت Ùˆ یا بخش عمومی شبكه قابل دسترسی هستند. در این بخش دستگاه هایی مانند وب سرورها (HTTP)ØŒ میل سرورها (POP3 Ùˆ SMTP) Ùˆ سرورهای DNS وجود دارند. به این دستگاه ها منابع خارجی Ú¯Ùته شده Ùˆ معمولاً از آنجایی كه به اینترنت اتصال پیدا Ù…ÛŒ كنند، میزان خطر آنها نسبت به منابع داخل سازمان بالاتر در نظر گرÙته Ù…ÛŒ شود، اما تØقیقات نشان داده است Øدود 50 درصد رخدادهای امنیتی در داخل سازمان رخ Ù…ÛŒ دهند Ùˆ هزینه ای را كه بر سازمان تØمیل Ù…ÛŒ كنند بسیار بیشتر از Øملات خارج سازمانی است. برای مثال هر Øمله داخلی به طور متوسط 2.7 میلیون دلار Ùˆ هر Øمله خارجی 57 هزار دلار برای شركت اراكل هزینه دارد.
تست هایی كه برای مشخص كردن آسیب پذیری های با دسترسی به منابع داخلی سازمان Ùˆ یا از طریق مهندسی اجتماعی انجام Ù…ÛŒ شوند، به عنوان تست Ù†Ùوذ داخلی شناخته Ù…ÛŒ شوند. تست های Ù†Ùوذ داخلی Ù…ÛŒ توانند به خوبی نشان دهنده Øملاتی كه با دسترسی های مجاز انجام Ù…ÛŒ شوند باشند. برای مثال Ù…ÛŒ توان به Øملاتی كه از طر٠كارمندان اخراجی انجام Ù…ÛŒ شود، اشاره كرد. در مقابل تست Ù†Ùوذ خارجی برای شبیه سازی Øملاتی است كه از طریق اینترنت قابل انجام هستند. برای مثال در صورتی كه هد٠از انجام تست مطمئن شدن از امنیت پایگاه داده از سمت وب سایت سازمان است، تست Ù†Ùوذ خارجی پیشنهاد Ù…ÛŒ شود. البته بسیاری از سازمان ها Ùˆ شركت ها از هر دو روش برای تست Ù†Ùوذ استÙاده Ù…ÛŒ كنند.
Ù…Øدودیت های تست Ù†Ùوذ
باید دقت داشت كه تست Ù†Ùوذ تنها یك تصویر Ù„Øظه ای از سیستم ها Ùˆ شبكه ها در یك زمان مشخص است. تست Ù†Ùوذ تنها بر روی سیستم هایی كه در زمان اجرای تست در دسترس هستند Ùˆ آسیب پذیری ها Ùˆ نقص های امنیتی كه توسط ابزارها Ùˆ بسته های مختل٠قابل شناسایی هستند، انجام Ù…ÛŒ شود. به عبارت دیگر پروسه امنیت شبكه Ùˆ سیستم، یك پروسه پیوسته Ùˆ دائمی است زیرا به Ù…Øض تمام شدن تست، ممكن است یك سیستم Ùˆ یا برنامه كاربردی دیگر به مجموعه اضاÙÙ‡ شده Ùˆ در صورت اجرای دوباره تست Ù†Ùوذ، نتایج متÙاوتی Øاصل گردد.
استانداردها و گواهینامه ها
انجام تست Ù†Ùوذ Ù…ÛŒ تواند منجر به اÙشای اطلاعات Øساس سازمان مورد بررسی شود. به همین دلیل شركت های امنیتی باید صریØاً نشان دهند كه از هكرهای كلاه سیاه قبلی استÙاده نكرده Ùˆ همه كارمندان آنها به قوانین مربوط به كد نویسی اخلاقی پایبند هستند. شركت های امنیتی برای نشان دادن قابل اعتماد بودن خود، Ù…ÛŒ توانند از گواهینامه های ØرÙÙ‡ ای در این زمینه استÙاده كنند.
موسسه Information Assurance Certification Review Board) IACRB) یك گواهینامه تست Ù†Ùوذ را به عنوان Certified Penetration Tester)CPT) ارائه Ù…ÛŒ دهد. برای دریاÙت CPT كاندیدا باید چندین امتØان تئوری را پشت سر گذاشته Ùˆ سپس یك امتØان عملی را نیز با اجرای یك تست Ù†Ùوذ بر روی سرورهای Ùعال پشت سر گذارد.
موسسه SANS یكی دیگر از موسساتی است كه در زمینه های مختل٠امنیت Ùناوری اطلاعات دوره های آموزشی دارد Ùˆ یك گواهینامه امنیتی به نام(GIAC(Global Information Assurance Certification صادر Ù…ÛŒ كند. دو نوع از گواهینامه های GIAC مختص به تست Ù†Ùوذ هستند Ùˆ با نام های GIAC Certified Penetration Tester)GPEN) Ùˆ GIAC Web Application Penetration Tester)GWAPT) شناخته Ù…ÛŒ شوند.
برای برنامه های كاربردی مبتنی بر وب، Open Web Application Security Project)OWASP) یك چارچوب كاری را ارائه داده است كه به عنوان یك Ù…ØÙƒ (benchmark) شناخته شده در سراسر جهان استÙاده Ù…ÛŒ شود.
چندین گواهینامه امنیتی نیز توسط دولت انگلیس تهیه شده است كه در ابتدا هد٠آنها سازمان های وابسته به دولت بود، ولی مدتی بعد در دسترس شركت های تجاری كه قصد دارند Ø³Ø·Ø Ø¨Ø§Ù„Ø§ÛŒÛŒ از امنیت را برای مشتریان خود تضمین كنند، نیز قرار گرÙت.
برای سالها تنها استاندارد تست Ù†Ùوذ، الگوی CHECK بوده است كه توسط گروه امنیت الكترونیك Ùˆ ارتباطات انگلیس (CESG) تهیه شده است. این استاندارد در ابتدا یك پیش شرط اجباری برای تست های دولت مركزی بوده ولی با توجه به قوانین انگلیس، اجرای آن برای دولت های Ù…ØÙ„ÛŒ Ùˆ شركت های دولتی اجباری نبوده است. قابل ذكر است كه استاندارد مذكور از سوی بخش خصوصی Ùˆ شركت های تجاری با استقبال خوبی روبرو شد.
الگوی TIGER یكی از الگوهای شناخته شده غیر دولتی انگلستان برای تست Ù†Ùوذ است. برای به دست آوردن گواهینامه منطبق با الگوی مذكور، آموزش هایی توسط شركت QBit ارائه Ù…ÛŒ شود Ùˆ برگزار كننده امتØانات مربوطه Glamorgan University است. برای گرÙتن گواهینامه مذكور نیاز نیست Ùرد متقاضی در استخدام یك شركت امنیتی باشد. گواهینامه تست كننده امنیتی ارشد SST معادل با رهبر تیم CHECK یا CHECK Team Leader)CTL) شناخته Ù…ÛŒ شود.
گواهینامه (CREST(Council of Registered Ethical Security Testers نیز یك گواهینامه تست Ù†Ùوذ انگلیسی است كه بر مبنای استاندارد CREST داده Ù…ÛŒ شود. موسسه CREST یك مجتمع غیر انتÙاعی متشكل از 15 شركت امنیتی انگلیسی اجرا كننده تست Ù†Ùوذ است. گواهینامه این موسسه نیز مانند گواهینامه CHECK تنها به كسانی كه در استخدام شركت های ارائه دهنده گواهینامه هستند، داده Ù…ÛŒ شود.
منبع: ماهر
http://www.netqurd.com/
Comment