تست نفوذ یکی از روش های ارزیابی امنیت شبکه و بررسی منافذ موجود برای ورود به یک سامانه است. در این تست امکان ورود به یک سامانه چه به صورت مستقیم و چه به صورت غیر مستقیم بررسی می شود و در واقع به سامانه مورد نظر از دید یک مهاجم نگریسته می شود. در این تست رفتارهایی که مهاجم و نفوذ کننده از خود نشان می دهند شبیه سازی شده و با این عمل می توان برآوردی نسبی از امکان ورود افراد ناخواسته به دست آورد.
یکی از اهدافی که تست نفوذ دنبال می کند سنجش میزان کارایی راهکارهایی است که برای افزایش امنیت انجام شده است. وقتی از منظر یک مهاجم یک سایت یا سامانه مورد بررسی قرار می گیرد تمام راه هایی که می تواند مسیر را برای عبور راحت هکرها هموار کند به راحتی شناخته شده و تمهیداتی برای افزایش امنیت به کار برده می شود.
دلایل نیاز به انجام تست نفوذ
هر سیستمی که توسط انسان طراحی می شود دارای خطا و نقایصی است. همین نقایص و خطاها هستند که زمینه را برای ورود به سیستم و حمله آماده می کند. برای آنکه بتوان مانع از این زمینه سازی شد حتما باید شبکه ای که به سازمانتان اختصاص دارد را با تست نفوذ امتحان کنید. این تنها یکی از دلایلی است که وجوب انجام تست نفوذ را ایجاب می کند. از دیگر دلایل لزوم انجام تست نفوذ می توان به موارد زیر اشاره کرد:
- مدیریت هوشمندانه سیستم و شناسایی نقاط آسیب پذیر آن
- شناسایی ریسک های امنیتی و اولویت بندی کردن آنها
- پیاده کردن استانداردها و الزامات امنیتی
- مطمئن شدن در مورد استراتژی امنیتی به کار گرفته شده در سیستم
- بهره مندی از یک رویکرد امنیتی
- اطمینان از صحت کارکرد راهکارهای امنیتی
روش های تستی نفود
چندین روش برای انجام تست نفوذ وجود دارد که در ادامه در مورد آنها صحبت خواهیم کرد:
تست نفوذ جعبه سفید
در تست نفوذ جعبه سفید یا white box فرد تست کننده اطلاعات بسیار کاملی را از سامانه و سیستمی که باید تست شود در اختیار دارد. با استفاده از این دیتا می توان تست و آزمایش را جامع تر و کامل تر انجام داد. نتایجی که از این روش به دست می آید دقیق تراست اما ممکن است تمرکز بر روی اهداف کار سختی باشد.
تست جعبه سیاه
در تست جعبه سیاه برعکس تست جعبه سفید، هیچ اطلاعاتی در مورد سیستم در اختیار تست کننده قرار داده نمی شود. در این روش، تیم تست کننده باید تلاش بیشتری به کار ببرد تا بتواند یک حمله و تهاجم را شبیه سازی کند. به دلیل عدم وجود اطلاعات در تست جعبه سیاه یا black box ممکن است برخی از قسمت های مهم از دید تست کنندگان پنهان شود.
تست جعبه خاکستری
تست جعبه خاکستری بین دو روش جعبه سیاه و جعبه سفید است و اطلاعاتی بسیار محدود در اختیار تیم تست کننده قرار داده می شود. در این روش نیز تست کننده باید یک حمله خارجی را طراحی و شبیه سازی کند. از آنجایی که در این سیستم اطلاعات موجود محدود هستند، تمرکز کردن بر روی اهداف اصلی به سادگی میسر است.
یکی از شرکت هایی که به خوبی این تست ها رو انجام میده و شمارو در زمینه های امنیت شبکه کمک میکند، شرکت فناوران عصر شبکه پاسارگاد است که علاوه بر این موارد خدماتی از قبیل راه اندازی Voip، سیپ ترانک و راه اندازی خط ۵ رقمی را نیز انجام میدهد.