خدمات آزمون نفوذپذیری
ارزیابی امنیتی (یا آزمون نفوذپذیری یا Penetration Testing)، یك عمل مجاز، برنامهریزی شده و سیستماتیك برای ارزیابی امنیت یک شبکه (شامل تجهیزات فعال و غیرفعال شبکه، سرویسدهندهها، سرویسگیرندهها، برنامههای کاربردی و …) است كه از طریق شبیهسازی حمله یك هكر یا نفوذگر خرابكار صورت میگیرد. در طی آزمون نفوذپذیری، تمامی داراییهای شبکه بهمنظور یافتن حفرهها، آسیبپذیریها و کمبودهای فنی احتمالی كه بالقوه یك ضعف امنیتی محسوب میشوند، مورد بررسی و تست قرار میگیرند. سپس کلیه مشكلات امنیتی همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهادهایی برای كاهش اثر خطرات به صاحب سیستم ارائه میشوند.
آزمون نفوذ و ارزیابی امنیتی شبکه
آزمون نفوذپذیری برنامههای کاربردی
آزمون نفوذ و ارزیابی امنیتی شبکه
ارزیابی امنیتی شبکه و تجهیزات، بر اساس استانداردهای NIST، PETS و چکلیستهای امنیتی CIS، STIG صورت میگیرد. بر اساس شرایط شبکه مشتری و نیازسنجی، ارزیابی امنیتی با توجه به اطلاعاتی که مشتری در اختیار ارزیاب قرار میدهد و همچنین جایگیری سیستمهای ارزیاب در ۳ حالت جعبه سیاه، سفید و خاکستری صورت میپذیرد.
در رویکرد جعبه سیاه آزمون نفوذ، ارزیاب بدون داشتن هیچگونه دانشی نسبت به شبکه سازمان کار را آغاز میکند. مزیت این روش، بررسی سازمان از دید یک مهاجم واقعی است. از معایب این روش میتوان به موارد زیر اشاره کرد:
- پنهان ماندن احتمالی برخی از آسیبپذیریها
- نیاز به زمان بیشتر
- عدم بررسی مشکلات و آسیبپذیریهای داخلی شبکه
- توصیه میشود در مرحله اول ارزیابی امنیتی از آزمون جعبه سیاه استفاده نشود. در مرحله اول ارزیابی به صورت جعبه سفید یا خاکستری انجام شود و پس از امنسازی، در مراحل بعدی آزمون جعبه سیاه انجام شود.
این رویکرد دقیقا نقطه مقابل آزمون جعبه سیاه است. در این رویکرد تمام اطلاعات مرتبط با امنیت شبکه مانند ساختار و معماری شبکه، مستندات، پیکربندیها، و … در اختیار ارزیاب قرار میگیرد تا وی با بررسی نظری و عملی آنها نقاط ضعف سیستمها و شبکهها را کشف و شناسایی نماید. از مزایای این روش میتوان به موارد زیر اشاره کرد:
- بررسی کامل راههای نفوذ به شبکه سازمان
- بررسی آسیبپذیریهای داخلی سازمان
- دستیابی به یک برنامه امنسازی جامعتر
- افزایش نسبت دستاورد به هزینه در مقابل آزمون جعبه سیاه
در این رویکرد کارفرما و ارزیاب بر روی دسترسیهای مجاز ارزیاب به اطلاعات توافق میکنند. در این روش کارفرما میتواند در نقاطی که قصد دارد امنیت بالاتری را ایجاد کند اطلاعات کاملتری در اختیار ارزیاب قرار دهد.
ارزیابی امنیتی سرورها و سیستمعامل
در ارزیابی امنیتی سرورها و سیستم عامل، ابتدا تمامی منابع شبکه هدف مانند زیرشبکهها، دامنهها، سرویسهای فعال و … مورد شناسایی قرار میگیرند. سپس با استفاده از تکنیکهای رایجِ کشف آسیبپذیریهای مرتبط با سرویسها، اقدام به کسب دسترسی و بهرهبرداری از این آسیبپذیریها میشود.
به منظور بهینهسازیسازی ارزیابی و کاهش خطای انسانی از متدولوژیها، چارچوبها و چک لیستهای استاندارد در اجرای آزمون نفوذ بهره برده میشود. به همین منظور در ارزیابی سرورها و سیستمعاملها، از چارچوب MITRE و تکنیکها و تاکتیکهای موجود در این چارچوب استفاده میشود. مراحل اجرای خدمات ارزیابی شبکه و سیستم عامل بر اساس استاندارد PTES و چهارچوب MITRE ATT&CK به شرح زیر می باشد:
تعیین محدودیت ها و شرایط آزمون ارزیابی و انجام هماهنگیهای لازم برای اجرای پروژه Pre engagement
شناسایی سیستمها، شبکه و جمعآوری اطلاعات اولیه Reconnaissance
شناسایی آسیبپذیریهای مشهور(CVE) بر اساس نوع و نسخهی سرویسها و سیستمعاملها
اجرای سناریوهای گرفتن دسترسی اولیه
اجرای سناریوهای تست استخراج اطلاعات حساس
اجرای سناریوهای دور زدن مکانیزم های دفاعی در سطح سیستم عامل
ایجاد دسترسی دائمی در سیستم یا شبکه هدف Persistence
افزایش سطح دسترسی در سیستم یا دامنه هدف Privilege Escalation
اجرای سناریوهای دسترسی به اطلاعات حساس احراز اصالت از سیستم credential access / credential dumping
جمع آوری اطلاعات و شناسایی شبکه ی داخلی برای نفوذ به عمق شبکه discovery
پیشروی در شبکهی داخلی با استفاده از دسترسی اولیه
lateral movement / pivoting
ارزیابی امنیتی تجهیزات شبکه و سناریوهای مرتبط
ارزیابی امنیتی تجهیزات رایج در شبکه مانند سوییچها و مسیریابها، به دو صورت انجام خواهد شد:
حالت اول
در حالت اول پیکربندی تجهیزات در اختیار ارزیاب قرار گرفته و این پیکربندی بر اساس چکلیستهای امنیتی مانند STIG، CIS و توصیههای امنیتی سازنده ممیزی میگردد. همچنین بر اساس نسخه سفتافزار یا نرمافزار تجهیز، تمامی آسیبپذیریهای مشهور آن نسخه بر اساس منابع معتبر مانند NVD شناسایی و گزارش میشوند. همچنین راهحل کوتاه برای رفع نواقص پیکربندی ارایئه خواهد شد.
حالت دوم
در حالت دوم ارزیاب بدون دسترسی به فایل پیکربندی تجهیز، انواع حملات رایج را مورد بررسی قرار خواهد داد. در این حالت محل استقرار ارزیاب میتواند بسته به رویکرد ارزیابی(جعبه سیاه، سفید یا خاکستری) متفاوت باشد.
بر این اساس حملات زیر مورد بررسی قرار خواهند گرفت:
- ارزیابی حملات مرتبط با سویچ ها
- ارزیابی حملات مرتبط با مسیریابها
- ارزیابی سرویس های تحت پروتکل IPv6
آزمون نفوذ پذیری برنامههای کاربردی
آزمون نفوذ برنامههای کاربردی (مانند وب، اندروید یا برنامههای دسکتاپی) شامل شناسایی نقاط ضعف امنیتی، آسیبپذیریها وتهدیدات مرتبط با یک برنامه تحت وب به کمک فرآیندهای دستی و خودکار است. این آزمونها شامل بررسی تمام آسیبپذیریها و حملات شناخته شده برنامههای تحت وب میباشد که ارزیاب امنیتی از دیدگاه یک مهاجم مورد بررسی قرار میدهد. خروجی ارزیابی امنیتی برنامههای تحت وب لیستی از نقاط ضعف و آسیبپذیریهای احتمالی آنها میباشد که این آسیبپذیریها با توجه به میزان خسارت و احتمال بهرهبرداری از آنها در سطوح مختلفی قرار میگیرند. در ادامه این سطوح خطر آسیبپذیریها معرفی شدهاند.
در این روش تیم ارزیابی، بدون دریافت اطلاعاتی از قبیل کدهای منبع برنامه کاربردی، فرآیند ارزیابی خود را انجام میدهد و سعی در تست نمودن استحکام امنیت برنامه در برابر حملات مختلف دارد.
قبل از اجرای این روش، بخشی از اطلاعات برنامه که آزمون آن حساسیت بیشتری برای کارفرما دارد، دراختیار تیم ارزیابی قرار میگیرد که این اطلاعات میتواند قسمتی از کدهای مورد نیاز برای بررسی برخی از ماژولها باشد. همچنین در این روش ساختار برنامهکاربردی در اختیار تیم ارزیابی خواهد گرفت.
در این روش کد منبع در اختیار تیم ارزیابی قرار میگیرد و تیم با بررسی بخشهای مختلف کد، آسیبپذیریهای آنها را مشخص کرده و در اختیار کارفرما قرار میدهند.
بخش اول آزمون:
نفوذ توسط ابزارهای ارزیابی امنیتی و پویش خودکار آسیبپذیری انجام میشود.
بخش دوم آزمون:
نفوذ و ارزیابی امنیتی برنامههای وب توسط کارشناس خبره امنیت و آزمون نفوذ (هکر کلاه سفید) به صورت دستی انجام میشود. بهرهگیری از کارشناسان خبره باعث میشود که آزمون شکل واقعیتری به خود گرفته و دقیقا حمله یک مهاجم شبیهسازی شود.
در فرآیند آزمون نفوذ برنامههای تحت وب، مجموعه آزمونهای زیر بر اساس استاندارد ASVS OWASP و به کمک لیست آزمون WSTG 4.2 انجام میشود: