تست نفوذ زیرساخت چیست و چرا شما باید آن را در سازمان خود انجام دهید؟ برای آشنایی با مفهوم پن تست زیرساخت و انواع آن، مقاله پیش رو را بخوانید.
تست نفوذ زیرساخت (infrastructure penetration test) نوعی سنجش آسیبپذیری سیستمهای کامپیوتری، دستگاههای شبکه یا آدرسهای IP سازمانها برای شناسایی آسیبپذیریهایی است که امکان دارد هکرها بتوانند آنها را اکسپلویت کنند (از آنها برای هک کردن زیرساختهای سازمان، سوء استفاده کنند). این نوع تست نفوذ به دو نوع خارجی (external) و داخلی (internal) تقسیمبندی میشود.
از تست نفوذ زیرساخت میتوان برای سنجش رعایت سیاستهای امنیتی سازمان و چگونگی پاسخدهی زیرساختهای امنیتی به تهدیدات سایبری نیز استفاده کرد.
خدمات تست نفوذ خارجی نوعی سنجش امنیت محیط در معرض اینترنت سازمان شما است. سیستمهایی که به اینترنت متصل هستند، ذاتا نسبت به دیگر سیستمهای سازمان شما، بیشترین مواجهه را با تهدیدات امنیتی دارند و به سادگی و به طور پیوسته تحت حملات سایبری قرار میگیرند.
به عنوان مثال برای محیط خارجی سازمان شما میتوان به سرویسها و سیستمهای زیر اشاره کرد:
هدف تست نفوذ خارجی، پیدا کردن راههایی برای نفوذ به سیستمها و سرویسهای دارای دسترسی خارجی سازمان شما، دسترسی پیدا کردن به دادههای حساس و کشف کردن راههایی است که هکرها میتوانند از طریق آنها به کاربران یا مشتریان سازمان شما حمله کنند. در این عملیات، متخصصان امنیتی، پس از دریافت مجوز از شما به منظور تلاش برای در اختیار گرفتن کنترل سیستمهای سازمان، سنجشی را انجام میدهند که شامل شبیهسازی فعالیتهای هکرهای واقعی است. همچنین، آنها شدت هر ضعف امنیتی کشف شده را اندازه میگیرند تا مشخص شود که یک هکر متخاصم تا چه اندازه میتواند به شبکه سازمان شما نفوذ کند و یک حمله موفق میتواند چه پیامدهایی داشته باشد.
معمولا، خدمات تست نفوذ خارجی، سامانههای IT شما را از نقطه نظر هکری تست میکند که هیچ دسترسی قبلی به سیستمها یا شبکههای سازمان شما ندارد. منطقی است که ابتدا موارد ابتدایی پوشش داده شوند و تنها پس از اجرای اسکن آسیبپذیری و تست نفوذ خارجی، تست نفوذ داخلی در نظر گرفته شود.
معمولا، در تست نفوذ محیط خارجی به دنبال چندین دسته مؤلفه زیر هستیم:
هر سازمانی، محیطهای مختلفی دارد و محیط داخلی شامل هر چیزی است که از نقطه نظر شبکهای، بعد از DMZ قرار میگیرد. محیط داخلی، شبکهای است که معمولا کارکنان از آن برای انجام فعالیتهای روزمره سازمان استفاده میکنند.
خدمات تست نفوذ داخلی، سیستمها و شبکه داخلی سازمان شما را هدف میگیرد. این تست از نقطه نظرهای زیر انجام میشود:
دورنمای تهدیدات شبکه داخلی بسته به مشتریان یا ارباب رجوعهای سازمان، اندازه شبکه و شمار کارکنان متفاوت است. بسیاری از دستگاههای مختلف به شبکه داخلی متصل هستند و هر کدام از آنها میتوانند تهدیدی بالقوه برای سازمان شما و داراییهای IT آن، از دستگاههای اینترنت اشیاء (IoT)، ورکاستیشنها و سرورها گرفته تا کل زیرساخت Active Directory باشند.
سرورها، سرویسها و زیرساختهای پشتیبان شامل اپلیکیشنها (وب)، سرویسهای Active Directory مایکروسافت، DHCP، DNS و سیستمهای روتینگ و سوئیچینگ در یک شبکه داخلی معمولی یافت میشوند و باید ارزیابی شوند.
ما با اجرای تست نفوذ، مشکلات شبکه داخلی را در سطح سرویسهای شبکه، تنظیمات آنها، و نرمافزارهای تأمینکننده این سرویسها و در سطح سیستم عامل پایه، کشف میکنیم. این رویکرد، بیشتر روی شناسایی مواردی از مشکلات امنیتی (آسیبپذیریهای امنیتی) شناخته شده که معمولا در نرمافزارهای دارای کاربرد عمومی وجود دارند، متمرکز است.
تست نفوذ محیط داخلی، در مقایسه با تست نفوذ محیط خارجی، تنها روی شبکه محلی داخلی سازمان انجام میشود زیرا بیشتر سازمانها تلاشهای قابل ملاحظهای برای محافظت از آن انجام میدهند.
معمولا، در تست نفوذ محیط داخلی به دنبال تست کردن موارد زیر هستیم:
معمولا، تیم تست نفوذ پس از اجرای تست نفوذ محیطهای داخلی و خارجی، گزارشی را به عنوان نتیجه تست در اختیار سازمان قرار میدهد که شامل توضیح دقیق نقطه ضعفهای شناسایی شده از دیدگاه مهاجم و توصیههایی برای برطرف کردن این نقطه ضعفها است.
در اغلب سازمانها، سامانه Active Directory مورد استفاده Microsoft Active Directory است و تقریبا، ۸۵ درصد از شرکتهای دنیا از آن استفاده میکنند. معمولا Active Directory حاوی مهمترین اطلاعات سازمان است و به همین دلیل، اغلب گروههای هکری APT این محیط را هدف میگیرند.
هدف اصلی این نوع سنجش، ارزیابی تابآوری در مقابل حملات به Active Directory است که بعضی از سازمانها مهمترین اطلاعات خود را در آن ذخیره میکنند. در حالی که به دست آوردن کنترل کل Active Directory خودش میتواند یک هدف باشد، حملاتی با این هدف، خیلی شایع نیستند. نتیجه این سنجش شامل مروری کلی و توضیح دقیق گامهایی است که شما میتوانید برای کاهش و حتی حذف تمامی ریسکهای امنیتی در دامنه یا دامنههای سازمان خود انجام دهید.
ما محیط سازمان شما را بر اساس مشکلات شناخته شده در تنظیمات امنیتی بررسی میکنیم. این تنظیمات اشتباه شامل موارد زیر هستند اما محدود به این موارد نمیشوند:
معمولا، تیم تست نفوذ پس از اجرای تست نفوذ Active Directory، گزارشی را به عنوان نتیجه تست در اختیار سازمان قرار میدهد که شامل توضیح دقیق نقطه ضعفهای شناسایی شده از دیدگاه مهاجم و توصیههایی برای برطرف کردن این نقطه ضعفها است.
بسیاری از سازمانها زیرساختهای خود را به فضاهای ابری منتقل میکنند. محیطهای ابری، چالشهای امنیتی مخصوص به خودشان را دارند و خیلی مهم است که زیرساخت ابری، به درستی تنظیم شده باشد.
امروزه سازمانها از پلتفرمهای ابری به صورت افزون بر محیطهای درون-سازمانی (on-premise) خود استفاده میکنند و بنابراین، در اکثر موارد، محیطهای ابری و درون-سازمانی به همدیگر متصل هستند. نمیتوان گفت که امنیت محیطهای ابری از امنیت محیطهای درون-سازمانی، بیشتر یا کمتر است اما از نظر امنیتی نیازمند رویکرد متفاوتی هستند.
در این نوع سنجش، تیم تست نفوذ سایبرنو، تنظیمات محیط ابری سازمان شما را بررسی میکند تا از درست بودن تنظیمات از نظر امنیتی مطمئن شود. این بررسیها شامل موارد زیر هستند اما محدود به این موارد نمیشوند:
معمولا، تست نفوذ پس از اجرای تست نفوذ سرویسهای ابری، گزارشی را به عنوان نتیجه تست در اختیار سازمان قرار میدهد که شامل پیشنهاداتی برای زیرساخت ابری سازمان، از تهدیدات امنیتی واقعی گرفته تا پیشنهاداتی برای امنسازی محیط ابری است.
اغلب شبکههای ICS شامل زیرساختهای IT معمولی ترکیب شده با PLCها و دیگر سختافزارهای صنعتی هستند. ICS از نظر استفاده با زیرساختهای معمولی تفاوتهایی دارد که از مهمترین آنها میتوان به موارد زیر اشاره کرد:
محیط ICS سازمان هدف جذابی برای مهاجمان است زیرا آنها میتوانند به راحتی، آسیبپذیريهای پچنشده یا نرمافزارهای بروزرسانی نشده را اکسپلویت کنند. بسیاری از حملات از نفوذ به شبکه IT شروع میشوند و سپس به شبکه ICS دسترسی پیدا میکنند. وقتی که مهاجم به شبکه ICS دسترسی پیدا کند میتواند کنترل فرایندهای مختلف شامل هشدارهای امنیتی را در اختیار بگیرد و در سازوکار دستگاهها و زنجیره تولید، اختلال ایجاد کند.
در سایبرنو، ما میدانیم که شبکه ICS چقدر برای سازمان شما اهمیت دارد و دانش گستردهای در رابطه با چگونگی نفوذ به این شبکهها، بدون اختلال در چرخه تولید شما داریم. خدمات تست نفوذ شبکه صنعتی با زیرساختهای IT معمولی متفاوت است زیرا شبکه صنعتی به دستگاههای خط تولید متصل است و باید با احتیاط با آن کار شود تا آسیبی به دستگاهها و فرایند تولید وارد نشود و سانحهای در محل کار پیش نیاید. بنابراین، ما در این نوع تست نفوذ، اسکنهای شبکه را بدون اطلاع قبلی انجام نمیدهیم، از اکسپلویتهایی که ممکن است در دستگاهی در محیط تولید اختلال ایجاد کنند، اجتناب میکنیم، هیچ پیامی با استفاده از پروتکلهای شبکه صنعتی به دستگاهها ارسال نمیکنیم و از دستکاری رابط کاربری توکار دستگاهها، اجتناب میکنیم. همچنین، وضعیت دستگاهها را به طور پیوسته تحت نظر داریم تا در صورت هرگونه مشکل، سریعا اقدامات لازم را انجام دهیم.
معمولا، تیم تست نفوذ از اجرای تست نفوذ شبکه ICS، گزارشی را به عنوان نتیجه تست در اختیار سازمان قرار میدهد که شامل پیشنهاداتی برای بهبود امنیت شبکه و دستگاهها است. همچنین، دستگاهها یا شبکههای آسیبپذیر شناسایی میشوند و میتوان با پچ کردن یا ایزوله کردن آنها، دسترسی را محدود کرد.
با اطمینان میتوان گفت که امروزه، هر سازمانی نوعی شبکه وایرلس دارد که اگرچه کار کارکنان را راحتتر میکند اما دارای ریسکهای امنیتی مخصوص خودش است. هدف تست نفوذ وایرلس، سنجش امنیت محیطهای شبکه وایرلس هدف است. این تست با تمرکز روی خطرات امنیتی شبکه وایرلس از سوی مهاجمان در دسترسی به شبکه، با تمرکز روی محرمانگی و نیز با تمرکز روی یکپارچگی تبادل داده و دسترسپذیری انجام میشود.
تست نفوذ وایرلس، دیدگاه روشنی در رابطه با خطرات امنیتی شبکه وایرلس در یک مکان فیزیکی (مثل یک ساختمان اداری) و احتمال هک موفق توسط مهاجمی که به سیگنال شبکه وایرلس دسترسی فیزیکی داشته باشد، در اختیار شما قرار میدهد. همچنین، تبعات امنیتی هک شدن شبکه وایرلس روی محرمانگی تبادل داده در ارتباطات وایرلس و تهدیداتی که متوجه در دسترسپذیری سرویس وایرلس هستند (توانایی مهاجم برای اختلال در شبکه وایرلس)، به شما گزارش خواهند شد. نهایتا، اثر هک شدن شبکه وایرلس روی یکپارچگی سیستم و دادهها نیز به شما گزارش میشود.
تست نفوذ شبکه وایرلس، جدای از تستهای فنی، شامل مصاحبه با ادمین شبکه و یا بررسی تنظیمات اکسس پوینت وایرلس در صورت انتخاب رویکرد جعبه سفید است.
در دنیای دیجیتالیزهشده امروزی میتوان کیوسکهای تعاملی را در هر سازمانی مثل فرودگاهها، لابی هتلها، بانکها و... پیدا کرد.
این سیستمها با مشتریان و ارباب رجوعها در تعامل هستند و بنابراین، در مواجهه با عموم قرار دارند. از آنجایی که معمولا چنین سیستمهایی، با اطلاعات قابل تشخیص فردی (PII) سر و کار دارند، میتوانند اهداف مهمی برای مجرمین سایبری و هکرهای متخاصم به منظور سرقت اطلاعات یا نفوذ به شبکه داخلی سازمان شما باشند.
در بعضی از موارد، نرمافزار کیوسک در یک محفظه فیزیکی یا مجازی کار میکند تا امکان دستکاری آن یا دستکاری سیستم عامل زمینه وجود نداشته باشد و از دسترسی غیر مجاز به شبکه داخلی، جلوگیری شود.
در نتیجه، هکرها میتوانند با فرار از این محفظهها به سیستمهای کلاینت متصل به کیوسک یا به کل شبکه داخلی سازمان شما دسترسی پیدا کنند.
چندین نوع محفظه یا کانتینر وجود دارد که تست نفوذ جعبه شن/کانتینر بر اساس آنها انجام میشود:
در تست نفوذ محفظه/جعبه شن تلاش میکنیم تا با اکسپلویت کردن تنظیمات اشتباه یا مجوزهای بیش از حد برای ارتقاء دسترسی به خارج از محیط محفظه، نرمافزارها را هک کنیم. بر اساس نوع فناوری مورد استفاده در محفظه و اپلیکیشنهای آن، از تکنیکهای ویژه فرار (مثل تعامل به دیگر سیستمهای خارج از محفظه) استفاده میکنیم.
معمولا، در پایان این تست نفوذ، گزارشی شامل نقاط ضعف امنیتی از دیدگاه هکر متخاصم، همراه با توصیههایی برای برطرف کردن این نقاط ضعف امنیتی به سازمان ارائه خواهد شد.
از تست نفوذ هاست برای ارزیابی امنیت نصب و تنظیمات یک نقطه پایانی معمولی استفاده میشود. از آنجایی که این سیستمها هنوز هم یکی از اهداف رایج هکرها هستند، خیلی اهمیت دارد که نقاط ضعف امنیتی و خطرات مرتبط با آنها را به درستی بدانید. روششناختی مورد استفاده برای تست نفوذ هاست شامل ارزیابی فنی-عملی محیط دسکتاپ است.
در تست نفوذ هاست، سناریوها و فازهای زیر ارزیابی میشوند:
یافتههای فنی پس از تحلیل و تصحیح و متناسبسازی با نیازمندیهای سازمان شما و خطرات و تهدیداتی که سازمان را تهدید میکنند، گزارش خواهند شد و توصیهها و پیشنهاداتی برای بهبود امنیت، ارائه میشود.
امنیت سازمان شما تنها به اندازه ضعیفترین نقطه ضعف امنیتی در سازمان شما است. حتی اگر شما بهترین تیم امنیتی، امنترین لایه محیطی و امنترین سرورها را داشته باشید اما هکرها بتوانند به راحتی وارد سازمان شما شوند، سرور را از قفسه بردارند و آن را از سازمان خارج کنند، همه آن نقاط قوت امنیتی، هیچ کمکی به شما نخواهند کرد. در بسیاری از سازمانها، اطلاعات حساس در دفاتر اداری ذخیره میشوند و خیلی از کارکنان سازمانها، آگاهی درست و کاملی نسبت به مسائل امنیتی ندارند. بنابراین، یک درب معیوب میتواند درست به اندازه یک سیستم پچ نشده، خطرناک باشد. بنابراین، در یک تست نفوذ کامل باید امنیت فیزیکی سازمان خود را نیز بسنجید.
هر سازمانی برای ارزیابی نفوذپذیری و امنیت سایبری زیرساختهای شبکه خودش نیازمند انجام تست نفوذ زیرساخت است که هم باید در لایه داخلی و هم باید در لایه خارجی زیرساختهای سازمان انجام شود. در پایان هر نوع تست نفوذ، گزارشی شامل آسیبپذیریهای امنیتی و نحوه برطرف کردن آنها به سازمان ارائه خواهد شد.