تست نفوذ تا چه میزان اهمیت دارد؟

به گزارش کارگروه امنیت سایبربان؛ تست نفوذ آسیب‌پذیری‌ها را هدف گرفته و سعی می‌کند از آن‌ها سوءاستفاده کند. آزمایش اغلب زمانی که هدف مورد نظر تأمین شد، متوقف می‌شود. Geraint Williams، مشاور ارشد شرکت امنیتی IT Governance اینگونه توضیح می‌دهد: «پایش آسیب‌پذیری تجهیزات در معرض دسترسی (شبکه، کارگزار، برنامه‌ها) را برای یافتن آسیب‌پذیری‌ها مورد بررسی می‌کند – نکته‌ی منفی در مورد پایش آسیب‌پذیری این است که اغلب مواردی را نیز به اشتباه به عنوان آسیب‌پذیری اعلام می‌کند. یافته‌های اشتباه نیز می‌توانند نشان‌دهند‌ه‌ی آن باشند که یکی از کنترل‌های فعلی کاملاً اثربخش نیست، یعنی ورودی و خروجی برنامه‌ها، به‌خصوص برنامه‌های وب، کاملاً کنترل و پاکیزه نمی‌شود.

تست نفوذ آسیب‌پذیری‌ها را هدف گرفته و سعی می‌کند از آن‌ها سوءاستفاده کند. آزمایش اغلب زمانی که هدف مورد نظر تأمین شد، متوقف می‌شود؛ یعنی زمانی که دسترسی به شبکه حاصل شد – این مسأله به این معنی است که احتمالاً آسیب‌پذیری‌های قابل سوءاستفاده‌ی دیگری نیز وجود دارد که مورد آزمایش قرار نگرفته‌اند.»

سازمان‌ها بنا به دلایل کلیدی زیر، باید سامانه‌های خود را به طور منظم مورد آزمایش قرار دهند:

    - برای یافتن ضعف‌ها در زیرساخت (سخت‌افزار)، برنامه (نرم‌افزار) و افراد جهت توسعه‌ی کنترل‌ها
    - برای اطمینان حاصل کردن از به‌کارگیری و مؤثر بودن کنترل‌ها – این موضوع به امنیت اطلاعات و مدیریت ارشد اطمینان می‌دهد
    - برای آزمایش برنامه‌هایی که اغلب هدف حمله هستند (برنامه‌ها توسط افرادی ساخته می‌شوند که با وجود به‌کارگیری بهترین شیوه‌ها در توسعه‌ی نرم‌افزار می‌توانند مرتکب اشتباه شوند)
    - برای کشف اشکال‌های جدید در نرم‌افزار موجود (وصله‌ها و به‌روزرسانی‌ها می‌توانند آسیب‌پذیری‌های موجود را رفع کنند اما می‌توانند باعث ایجاد آسیب‌پذیری‌های جدید نیز بشوند.)

وی همچنین می‌افزاید: «در صورتی که با استفاده از مهندسی اجتماعی به افراد حمله شود، تمامی کنترل‌های قوی حاشیه‌ای دور زده شده و تجهیزات داخلی که کمتر محافظت شده‌اند در معرض دسترسی نفوذگران قرار می‌گیرد.

بدترین شرایط این است که یک آسیب‌پذیری قابل سوءاستفاده در زیرساخت، برنامه یا افراد در مجموعه‌ی شما وجود داشته باشد و شما از آن اطلاع نداشته باشید، زیرا مهاجمان تجهیزات شما را مورد بررسی قرار خواهند داد، حتی اگر خود شما این کار را نکنید. رخنه‌ها، در صورتی که توسط خود نفوذگران در مورد آن‌ها خبری منتشر نشود، می‌توانند ماه‌ها کشف‌نشده باقی بمانند.»

پایش آسیب‌پذیری‌ها و تست نفوذ می‌تواند قابلیت یک سازمان را در شناسایی نفوذ و رخنه‌ها سایبری بسنجد. سازمان‌ها نیازمند پایش زیرساخت‌های قابل دسترسی از خارج مجموعه و برنامه‌هایی برای محافظت در برابر تهدیدهای خارجی هستند. آن‌ها همچنین نیازمند بررسی داخل سازمان جهت محافظت در برابر تهدیدهای داخلی و افراد نفوذی هستند. بررسی‌ها و آزمایش‌های داخلی باید شامل کنترل‌های میان ناحیه‌های امنیتی مختلف (DMZ، CDE، SCADA) برای اطمینان از پیکربندی صحیح آن‌ها باشد.

تست نفوذ باید به صورت دوره‌ای انجام شود تا آسیب‌پذیری‌های تازه کشف‌شده را که قبلاً ناشناخته بودند، شناسایی کند. حداقل بازه‌ی زمانی بین دو آزمایش بستگی به نوع آزمایش انجام‌شده و هدف آزمایش دارد. آزمایش باید حداقل به صورت سالانه، و برای پایش داخلی آسیب‌پذیری‌های ایستگاه‌های کاری، به صورت ماهانه باشد؛ استانداردهایی مانند PCI DSS بازه‌های زمانی برای تست‌های متنوع را توصیه کرده‌اند.

تست نفوذ باید پس از به کارگیری زیرساخت و برنامه‌های جدید و همینطور تغییرات بزرگ در زیرساخت و برنامه‌ها (مانند تغییرات در قواعد دیواره‌ی آتش، به‌روزرسانی ثابت‌افزار، وصله‌ها و ارتقای نرم‌افزار) انجام شود.