آزمون تست نفوذ چیست؟

تست نفوذ پذیری رویه ای است که برای ارزیابی امنیت نرم افزاری یک سازمان استفاده می شود. کارشناسان تست نفوذ که عمدتا دانش برنامه نویسی بالایی دارند، با استفاده از تکنیک های نفوذ، یک حمله واقعی را روی بستر تارگت شبیه سازی می کنند تا به این وسیله سطح امنیت یک سیستم را مشخص کنند.

تست نفوذ به سازمان کمک می کند که ضعف های شبکه  ساختارهای اطلاعاتی خود را بهتر بشناسد و درصدد اصلاح آنها برآید.  انواع آزمون های تست نفوذ عبارتند از :

• تست نفوذ جعبه سفید White Box
• تست نفوذ جعبه خاکستری Gray Box
• تست نفوذ جعبه سیاه Black Box

که در زیر توضیحاتی در این باره را باهم بررسی می کنیم.

تست‌نفوذ جعبه سفید White Box

در این نوع تست‌نفوذ که تست‌نفوذ جعبه پاک هم نامیده می شود، کارشناس تست‌نفوذ، دانش و دسترسی کامل به تمام اطلاعات شبکه هدف از جمله نرم افزارهای تحت وب، وب سرورها، میل سرورها، سرورهای اتوماسیون داخلی و خارجی را دارد. به همین دلیل، تست تست‌نفوذ در مقایسه با جعبه سیاه در مدت زمان سریع تری انجام می شود. مزیت دیگر این روش این است که تست نفوذ، بسیار دقیق تر انجام می گیرد.

تست‌نفوذ جعبه خاکستری Gray Box

این نوع تست‌نفوذ، ترکیبی از تست جعبه سیاه و جعبه سفید است. بعبارت دیگر کارشناس تست‌نفوذ دانش اندکی راجب کارهای درونی نرم افزارها و برنامه ها دارد. یک متخصص تست نفوذ می تواند مده تلاش هایش را روی نواحی از سرویس هایی که اندک اطلاعاتی که از قبل دارد، تمرکز می کند و بدین ترتیب هرگونه آسیب پذیری یا ضعفی را در آنجا شناسایی می کند.

تست‌نفوذ جعبه سیاه Black Box

در این نوع تست‌نفوذ هیچ گونه اطلاعاتی نه درباره عملیات های درونی سرویس ها و نه در مورد کد منبع یا ساختار سرویس ها، به متخصص تست‌نفوذ داده نمی شود. در نتیجه مدت زمان زیادی طول می کشد تا این نوع خاص از تست نفوذ کامل شود.

مزایای انجام آزمون تست نفوذ :

• مدیریت آسیب پذیری ها و برطرف کردن آنها
• بررسی توان زیرساخت های شبکه
• جلوگیری از هزینه های خارج شدن دسترسی های شبکه
• حفظ اطلاعات سازمان یا شرکت

مراحل انجام آزمون تست نفوذ

در ابتدا سازمان مربوطه درخواستی مبنی بر تست‌نفوذ را به شرکت‌های امنیتی ارسال نموده و منتظر پاسخ از طرف شرکت امنیتی می‌ماند. بعد از مشاوره و رایزنی توسط شرکت امنیتی و سازمان، تفاهم‌نامه‌ای مبنی بر هزینه‌ها، نوع و چگونگی تست‌نفوذ منعقد می‌گردد. بعد از امضای تفاهم‌نامه، شرکت امنیتی بر اساس موازین تعیین‌شده و نقشه راهی که توسط سازمان مشخص‌شده است، شروع به انجام فرآیند تست‌نفوذ می‌نماید.

در ادامه راه شرکت امنیتی با کمک متخصصین نفوذگر خود، شروع به کشف آسیب‌پذیری‌ها و شکاف‌های امنیتی در سازمان می‌نماید. بعد از انجام این کار ممکن است بر اساس تفاهم‌نامه شروع به حمله به زیرساخت‌ها و اطلاعات سازمان نماید تا بتوانند شکاف‌های امنیتی را به‌صورت کامل کشف نمایند.

در انتهای کار، شرکت امنیتی لیست کامل و جامعی از شکاف‌ها و ضعف‌های امنیتی را بر اساس مستندات جمع‌آوری کرده و به سازمان مربوطه اعلام می‌دارد. در پایان سازمان مربوطه به کمک شرکت امنیتی یا کارکنان متخصص خود تمامی شکاف‌ها و رخنه‌های امنیتی را بازبینی، بررسی و تصحیح می‌نمایند.

منبع:https://samasecurity.ir/blog/%D8%A2%D8%B2%D9%85%D9%88%D9%86-%D8%AA%D8%B3%D8%AA-%D9%86%D9%81%D9%88%D8%B0-%DA%86%DB%8C%D8%B3%D8%AA%D8%9F/