کمیته رکن چهارم – در این مقاله سعی میکنیم استاندارد ها و اهداف مهم فرآیند تست نفوذ (Penetration Testing) را مختصرا توضیح داده و دیدگاه بهتری نسبت به این حوزه امنیتی در ذهن مدیران ایجاد کنیم.
مجرمان سایبری با استفاده از بردارهای مختلف حمله سعی در سرقت اطلاعات شخصی و سازمانی را دارند و تمام تلاش این مجرمان هدف قرار دادن بخش ها یا گاها تمامی شبکه ها و سیستم های سازمانی می باشد که دلیل اصلی موفقیت آنها عدم وجود سیاست ها و استانداردهای کارآمد است.
این امر به آنها امکان سوء استفاده و بهره برداری غیر مجاز از سیستم ها را می دهد. برای جلوگیری از حملات سایبری محققان امنیتی در تلاش هستند تا روش های مؤثرتری برای جلوگیری از تلاش مهاجمان ایجاد کنند. مباحث استاندارد های موفقیت آمیز امنیت سایبری بسیار گسترده بوده و ایده های زیادی در مورد دستیابی به امنیت اطلاعات ارائه شده است که مختصرا با هم مرور می کنیم:
روش ها و استاندارد های تست نفوذ (PEN-TES)
استانداردهای ارائه شده توسط شرکت های امنیتی بزرگ در سرتاسر دنیا اجرای این فرآیند را تسهیل می کند و تقریبا می توان گفت تمامی موارد یک حوزه تست نفوذ را در بر می گیرد مواردی همچون ارتباطات اولیه، جمع آوری اطلاعات، مراحل مدل سازی تهدید و … که متخصصان تست نفوذ بر روی آنها کار می کنند. این فرآیند به صورت زنجیره وار طی خواهد شد تا از طریق تست آسیب پذیری، بهره برداری و سپس نفوذ، درک بهتری از مخاطرات سایبری سازمان تست شده کسب کنند.
استانداردهای اجرای تست نفوذ شامل هفت مرحله، تعیین حداقل ها برای اجرای تست، تعیین سناریوهای مختلف پایه تا پیشرفته می باشد.
تعامل قبل از اجرای تست:
در این مرحله ابزارهای لازم، سیستم عامل و نرم افزارهای مورد نیاز را برای شروع تست نفوذ آماده کرده و جمع آوری می کنیم. انتخاب ابزارهای مورد نیاز در طی یک فرآیند تست نفوذ به عوامل مختلفی از قبیل نوع و عمق کار بستگی دارد.ابزارهای معمول و اساسی وجود دارد که برای تکمیل تست نفوذ با نتایج مورد انتظار اجباری هستند، این ابزارهاعبارتند از:
VMware
VMware ما را قادر می سازد تعداد زیادی سیستم عامل مختلف را در یک ایستگاه کاری واحد اجرا کنیم.
سیستم عامل مبتنی بر لینوکس:
از آنجا که لینوکس بهترین سیستم عامل توصیه شده برای تست نفوذ است، بیشتر تست های نفوذ در سیستم مبتنی بر لینوکس انجام می شود.
Wifi Adapter
۸۰۲٫۱۱ USB adapter امکان اتصال آسان یک آداپتور بی سیم به سیستم تست نفوذ را فراهم می کند.
آنالیزور Spectrum
این دستگاه برای بررسی طیفی برخی از موج های برقی یا نوری استفاده می شود. از آنالایزر Spectrum برای تعیین اینکه آیا یک فرستنده بی سیم طبق استانداردهای تعریف شده کار می کند استفاده می شود.
سری نرم افزاری
الزامات نرم افزار بر اساس دامنه تعامل ما است. برخی از نرم افزارهای تجاری و منبع باز که می تواند برای انجام صحیح تست نفوذ صحیح لازم باشد در زیر آورده شده است:
Maltego
Nessus
Nespose
Rainbow Crack
Dnsmap
The Social Engineering Toolkit (SET)
The Metasploit Toolkit
Dnsrecon
شروع مراحل تست نفوذ:
جمع آوری اطلاعات:
در این مرحله، اطلاعات یا داده هایی که برای کمک به هدایت اقدامات تست نفوذ لازم است جمع آوری می شوند.
مدل سازی تهدید:
مدل سازی تهدید فرآیندی برای بهینه سازی امنیت شبکه با شناسایی آسیب پذیری ها و سپس تعیین اقدامات متقابل برای جلوگیری یا کاهش اثرات تهدیدات بر روی سیستم ها است. این فرآیند با افزودن، حذف یا به روزرسانی برنامه ها یا نیازهای کاربر تغییر می کند.
تجزیه و تحلیل آسیب پذیری:
تجزیه و تحلیل آسیب پذیری برای شناسایی و ارزیابی خطرات امنیتی ناشی از آسیب پذیری های شناسایی شده استفاده می شود. فرایند آسیب پذیری به دو مرحله شناسایی و اعتبار سنجی تقسیم می شود.
شناسایی: کشف آسیب پذیری که کار اصلی در این مرحله می باشد
اعتبار سنجی: در این مرحله تعداد آسیب پذیری های شناسایی شده را فقط به مواردی که در واقع معتبر هستند کاهش می دهیم.
بهره برداری:
پس از یافتن آسیب پذیری ها سعی می کنیم از آنها برای نقض سیستم و امنیت آن بهره برداری کنیم. برای بهره برداری از چارچوب و نرم افزارهای مختلفی استفاده می کنیم که بر ای این کار توصیه شده و آزادانه در دسترس هستند. برخی از ابزارهای پیشنهادی شامل موارد زیر است:
Core IMPACT
SAINT Scanner and Exploit
Metasploit Framework
SQL Map
Canvas
Social Engineering Toolkit
Netsparker
پس از بهره برداری:
در مرحله پس از بهرهبرداری، مقدار دستگاه به خطر افتاده را تعیین می کنیم و برای استفاده بعدی کنترل دستگاه را حفظ می کنیم. مقدار دستگاه با حساسیت داده های ذخیره شده روی آن در شبکه تعیین می شود.
گزارش نویسی:
در این مرحله، یافته ها را به روشی گزارش می کنیم که توسط سازمان مربوطه قابل درک و قابل قبول باشد. این فرآیند شامل نقص هایی است که به یک مهاجم اجازه می دهد یک سیاست امنیتی صریح (یا ضمنی) امنیتی را نقض کند تا به برخی از تأثیرات (یا پیامد ها) برسد. به ویژه نقص هایی که به مهاجمین اجازه می دهد سطح دسترسی بیشتری داشته باشند یا در عملکرد عادی سیستم دخالت کنند.
انواع مختلفی از گزارش وجود دارد که در ادامه مشاهده می کنید:
Executive Level Reporting
Business Impact
Customization
Talking to the business
Affect bottom line
Strategic Roadmap
Maturity model
Appendix with terms for risk rating
Technical Reporting
Identify systemic issues and technical root cause analysis
Maturity Model
Technical Findings
Description
Screenshots
Ensure all PII is correctly redacted
Request/Response captures
PoC examples
Ensure PoC code provides benign validation of the flaw
Reproducible Results
Test Cases
Fault triggers
Incident response and monitoring capabilities
Intelligence gathering
Reverse IDS
Pentest Metrics
Vulnerability Analysis
Exploitation
Post-exploitation
Residual effects (notifications to
۳rd parties, internally, LE, etc…)
Common elements
Methodology
Objective(s)
Scope
Summary of findings
Appendix with terms for risk rating
انواع استاندارد های امنیتی:
