تست نفوذ شامل تیمی از متخصصین امنیتی است که فعالانه قصد ورود غیرقانونی به شبکه شرکت شما را با استفاده از نقاط ضعف و آسیب پذیریها در سیستمتان دارند.
تستهای نفوذ ممکن است شامل هر کدام از روشهای زیر باشند:
• استفاده از تکنیکهای مهندسی اجتماعی برای دستیابی به سیستمها و دیتابیسهای مربوط به آنها
• فرستادن ایمیلهای فیشینگ برای کسب دسترسی به حساب های کاربری مهم و حساس
• استفاده از گذرواژههای رمزنگاری نشده که در شبکه به اشتراک گذاشته شدهاند به منظور دسترسی به دیتابیسهای حساس
• این تلاشها میتوانند بسیار عمیقتر از یک بررسی آسیبپذیری باشند و ممکن است باعث رد سرویسدهی یا افزایش کارکرد سیستم شوند، که ممکن است بهرهوری را کاهش دهد و دستگاهها را از کار بیاندازد.
در بعضی موارد، ممکن است تستهای نفوذ را برنامهریزی کنید و به کارکنان خود قبل از انجام آزمون اطلاع دهید؛ اما، اگر قصد دارید عملکرد تیم امنیتی خود را در برابر یک تهدید زنده مورد آزمون قرار دهید این، کاری مناسب نخواهد بود. برای مثال، تمرینهای تیم قرمز اکثر اوقات بدون اطلاعرسانی به کارکنان انجام می شود تا سناریوهای تهدیدهای دنیای واقعی تست شوند.
در این مورد، مهم است که سرگروه تیم آبی،-CISO- یا مدیریت سطح بالای تمرین را مطلع سازید. این کار اطمینان حاصل میکند که سناریوی پاسخ هنوز درحال آزمون است اما زمانی که شرایط سختتر شوند، کنترلی دقیقتر صورت میگیرد. صرف نظر از سناریو، شما باید تست نفوذ را با قصد خاصی انجام دهید و به طور واضح خواستهها و نیازهایتان را با تیم تست نفوذ مطرح کنید.
برای مثال، شما ممکن است بتازگی توسعه یک برنامه امنیتی جدید را برای کسب و کارتان تمام کرده باشید و بخواهید تاثیر آنرا تست کنید.
یک تست نفوذ معین میکند که اهداف خاصی از برنامه به دست آمده است یا نه؛ مانند حفظ 99.9 درصد قابلیت استفاده درحین یک حمله.
هدف اولیه تست نفوذ چیست؟
در سالهای اخیر شده تست نفوذ تبدیل به رویه امنیتی اتخاذ شده توسط سازمانها در سطحی گسترده است خصوصا برای صنایعی مانند بانکها و مراکز بهداشتی که به اطلاعات خصوصی و حساس دسترسی دارند و آنها را ذخیره میکنند.
درحالی که هدف اولیه، آشکارسازی آسیبپذیریها و یا استفاده از نقطه ضعفها است؛ هدف اصلی یک تست نفوذ اکثر مواقع به یک هدف با یک استراتژی کلی مربوطه به کسب و کار گره خورده است. برای مثال، پیمانکاران وزارت دفاع باید فرایندهای مناسبی برای حفاظت از اطلاعات غیر محرمانه کنترل شده، به عنوان قسمتی از گواهی CMMC داشته باشند.
تست نفوذ یکی از چندین کنترل امنیتی لازم برای گذراندن نیازهای ممیزی است. از طرفی دیگر، اهداف امنیتی یک شرکت نرمافزاری ممکن است به طور گستردهای متفاوت باشد. برای مثال تست نفوذ برنامهها به شناسایی نقصها و نقاط ضعف در کد میپردازند که مستعد یک حمله حساس هستند. سپس توسعه دهندگان برای ایجاد اصلاحاتی برای به روزرسانی پایگاه کد تلاش میکنند. در نهایت، اهداف تجاری انواع تست نفوذ انجام شده را تعیین میکند که به زودی به آنها خواهیم پرداخت.
گزارش بر مبنای یافتهها
پس از اتمام مرحله آزمایش، گزارشی ایجاد و به رهبران اجرایی و صاحبان کسب و کار ارائه میشود. این ارزش واقعی از هر گونه مشارکت تست نفوذ است و باید راهنمایی برای کاهش ریسک و خطرات باشد.
ذکر این نکته مهم است که گزارشهای تست نفوذ متناسب با نیازهای امنیت سایبری یک شرکت بر اساس نحوه راهاندازی شبکه آنها تنظیم میشود.چگونه شبکه آنها راهاندازی شده است. اهداف کسب و کار آنها در اجرای یک تست نفوذ چیست؟ چه چیزی مورد تست قرار گرفته (نرم افزار، سرورها، اندپوینتها، کنترلهای فیزیکی و ...)، ارزش داراییهای محسوس و نامحسوس محافظت شده و بسیاری موارد دیگر را برطرف کند.
ماتریس ریسک- گزارش تست نفوذ
هنگام مشورت با فروشندگان، حتما از آنها بپرسید كه آنها چگونه میخواهند یافتههای خود را ارائه دهند. آخرین چیزی که میخواهید پرداخت 30000 دلار برای یک سند PDF بدون هیچ توضیحی به یک شرکت است.
در دوران، ما به مشتریهایمان میگوییم که حداقل 2 ساعت با تیم فنی ما به گفتگو بپردازند. آنها را به پرسیدن سوالات و به اینکه یافتههای ما را به چالش بکشند تشویق میکنیم. به عنوان یک نتیجه، آنها به طور واضح هریک از ویژگیهای گزارش مانند رتبهبندی ریسک و راهحل افشای اطلاعاتشان را متوجه میشوند.