پاسخ ساده است، به این دلیل که شما به یک شبکه امن نیاز دارید و شبکه شما یک هدف در حال حرکت است. یک تست نفوذ میتواند به شما یک گزارش از وضعیت کلی امنیتی در لحظه به همراه یک بررسی واقعی ارائه دهد؛ میتواند کمک کند که امنیت خود را حفظ کنید و فرضیات خود را به چالش بکشید. اینکه اعتبار برند سازمان شما و اعتماد مشتریانتان ارزش سرمایهگذاری را دارند.
در ادامه به مباحث زیر میپردازیم:
تست نفوذ چیست؟ انواع مختلف تست نفوذ و همچنین سه روشی که یک تست نفوذ نفوذ در سال 2020 میتواند به شما کمک کند.
تست نفوذ چیست؟
یک تست نفوذ برای پیدا کردن راههای حمله موجود جهت دسترسی به داراییهای با ارزش شبکه شما انجام میگیرد. (برای مثال، دادههای مشتری).
یک نفوذگر(یا یک هکر کلاه سفید) سعی میکند از ضعفها سو استفاده کرده تا مراحل را برای مسیر این حمله بهم وصل کند. موضوع درباره پیداکردن راههای مختلف برای دسترسی و دزدیدن اطلاعات ارزشمند است. یک تست نفوذ میتواند حفرههای امنیتی در محیط امنیتی شما و فایروالها را پیدا کند قبل از اینکه از آنها سواستفاده شده یا با ابزارهای کنترل از راه دور شناسایی شوند.
اگر شما تا حالا یک تست نفوذ نداشتهاید، اولین مرحله داشتن دید پایهای در زودترین زمان ممکن است. در صورتی که شما قبلا تست نفوذ داشتید، تست بعدیتان را باید برای یکسال بعد برنامهریزی کنید. اگر شما تغییرات مهمی داشتهاید یا تجهیزاتی به شبکهتان اضافه کردید باید این کار زودتر از یکسال انجام شود.
تستهای نفوذ خیلی اوقات با ارزیابیها و ممیزیهای آسیبپذیری اشتباه گرفته میشوند. این اصطلاحات اغلب به جای هم استفاده میشوند، اما یکسان نیستند.
یک تست نفوذ مانند یک ارزیابی آسیبپذیری به دنبال پیدا کردن همه آسیبپذیریها در هر سیستم نیست. همچنین مانند یک ممیزی نیست مگر اینکه صنعت شما به تست نفوذهای دورهای نیاز داشته باشد تا حفرههای امنیتی را پر کند؛ یک تست نفوذ چک لیستهای امنیتی را بررسی نمیکند.
سه نوع تست نفوذ داریم:
- Black box
- White (clear) box
- Hybrid یاblack to white
یک تست نفوذ جعبه سیاه دقیقا کار یک هکر را تقلید میکند. نفوذگران با کمترین اطلاعات ممکن (موجود) از شبکه شما شروع به کار میکنند. تستگران جعبه سفید قبل از شروع اطلاعات زیادی درباره شبکه شما و اهداف اصلی دارند که به آنها کمک میکند یک تست را در زمان کمتری انجام دهند. نفوذگران hybrid یا سیاه به سفید با اطلاعات کمی شروع میکنند ولی با پیش رفتنِ تست، درخواست اطلاعات بیشتری میکنند . اینها نیز از کاری که یک هکر (مجرم) ممکن است انجام دهد تقلید میکنند ولی تست را در چارچوب زمانی محدودی انجام میدهند. بیشتر شرکتها تست نفوذ hybrid یا جعبه سفید را انتخاب میکنند. زیرا اکثر اوقات زمان فاکتور مهمی است. هردوی آنها میتوانند تست گران به چیزی که برای کامل کردن کارشان نیاز دارند در مقدار زمان معقولی برسانند.
مهم است که بدانید نقطه نظرهای پایه یک تست نفوذ external، internal و یا wireless هستند.
تست نفوذهای external، به شبکه شما از اینترنت یا خارج از محدودهای که شبکه، نگاه میکنند.
تست نفوذهای internal، چیزی را که یک شخص داخلی (خودی) یا یک هکر بالقوه (دارای پتانسیل) میتواند ببیند و یا در شبکه شما انجام دهد؛ شبیهسازی میکند.
تست نفوذهای wireless، دیدی دیگری از نوع external یا internal از شبکه شما برایتان فراهم میکند.
هرکدام نقطه نظری متفاوت نسبت به امنیت شبکه شما نشان میدهد و به طور ایدهآل بهتر است که در صورتی که میتوانید هر سه نوع را دریافت کنید.
سه روشی که یک تست نفوذ در سال 2020 می تواند از آن طریق به شما کمک کند.
با تمام تکنولوژیهای جدید امنیتی که امروزه وجود دارند، شما احتمالا به این فکر میکنید که چرا باید، پول، زمان و انرژی خود را بر روی یک تست نفوذ صرف کنید. پاسخ کوتاه این است که شما هنوز دانستههای مربوطه زیادی را نمیدانید! بنابراین نقاط کور و فرضیات وضعیت کلی امنیت شما باید چک و تایید شوند.
در این دوره یاد میگیرید قبل از اینکه مهاجمان آسیبپذیریهای سیستمهای شما را کشف کنند، شما آنها را شناسایی و رفع نمایید.
اینجا سه راه برای اینکه یک تست نفوذ در سال 2020 میتواند به شما کمک کند، آورده شده است:
1- میتواند راههای مختلف حمله را آشکار کند.
• system/setting/configuration پیکربندیهایی که قرار بود تعمیر، رفع، تنظیم بشود یا دوباره پیکربندی شود بعضی اوقات صورت نگرفته است پس بنابراین باید آن را بررسی کنید.
• " Password#1" تمام الزامات اندازه و پیچیدگیِ رمز عبور سازمان شما را دارا می باشد. اما به شدت شکستن آن آسان است. آیا شما از اینکه کاربرانتان رمز عبوری مانند این را دارند اطلاع دارید؟ رمزهای عبور آنها را بررسی کنید.
• آیا منابع ارزشمند و یا سیستمهای شما که دیگر نرمافزار یا سیستم عامل آنها پشتیبانی نمیشوند، آسیبپذیرند؟ آنها را بررسی کنید.
2- میتواند به کارکنان امنیت شما کمک کند تا مهارتها و دانش خود را ارتقا دهند.
• آیا ابزارها و اعضای تیم شما توانایی شناسایی مواردی را که شما فکر میکنید دارند، در واقعیت نیز دارند؟! مطمئن شوید.
3- گزارش تست نفوذ میتواند به عنوان یک ابزار پشتیبانی امنیتی در خودش مورد استفاده قرار گیرد.
• این گزارش را به عنوان برگی برنده برای دریافت بودجه بیشتر یا کارکنان بیشتر یا آموزش استفاده کنید. ممکن است دقیقا چیزی باشد که وضعیت را به سمت بهتر شدن تغییر دهد.
• بودجه IT خود را براساس ریسکهایی که بر مبنای واقعیتند و حدس و گمان نیستند؛ اولویتبندی کنید.
• تست نفوذگر میتواند گزارش را هدف قرار داده تا به شما برای رسیدن به آنچه برای بهبود امنیت شبکهتان نیاز دارید کمک کند. آنها میتوانند مناطقی را که سعی در تغییرش دارید تغییر دهند.
مراحل توصیه شده بعدی
مراحل بعدی نسبت به نقش شما در سازمان موارد زیر هستند:
• مدیر IT یا امنیت IT شرکت (C-Suite):
با همکاران خود درباره تستهای نفوذ و تجارب آنها در این زمینه صحبت کنید. تیم تست نفوذی با پیشینهای خوب پیدا کنید و با مدیر امنیت IT خود برای تنظیم برنامه جهت انجام یک تست، کار کنید. هرچه زودتر بهتر.
زیرا هرگز ممکن نیست شما بیش از حد درباره ی وضعیت امنیت خود اطلاع داشته باشید؛ نگذارید رخنههای امنیتی شما را از در نظر گرفتن زوایای دیگر دور کند و تمام جهات را در نظر داشته باشید؛ همین الان از این وضع خارج شوید و از بیرون جعبه (تصویر بزرگتر) به شرایط بنگرید.
• مدیر امنیت IT: درباره تامینکنندگان تست نفوذ معتبر از همکاران خود پیشنهاداتی دریافت کنید و بهترین تیم را پیدا کنید و برای انجام یک تست برنامه بریزید. این کار را قبل از جلسه بودجه یا سفارش خرید بعدیتان انجام دهید. شکافها و نیازهایتان را پیدا کنید و پول خود را هوشمندانه خرج کنید.
از گزارش برای دریافت بودجه بیشتر و استخدام کارکنان بیشتر استفاده کنید.
• متخصص امنیت IT: با مدیر امنیت IT خود صحبت کنید و درباره چیزهایی که شما از تست نفوذ یاد گرفتید گفتگو کنید. امکان برنامهریزی یک تست برای شبکه خود را بررسی کنید. از هر سطحی ایدههای خوب تراوش میشوند.
خط پایانی این است که وقتی صحبت از امنیت شبکه میشود، شما نیاز دارید بدانید که دقیقا در چه وضعی قرار دارید و تستهای نفوذ میتوانند این اطلاعات را برای شما فراهم کنند. اگر شما برای انجام همه چیز به دلیل و منطق نیاز دارید تا تضمین کنید که دادههای مشتری و برتری رقابتیتان (مانند اموال خردمندانه، سیستمهای اصلی و فرایندها) امن هستند، دریافت یک تست نفوذ باید تصمیم راحتی برایتان باشد.
با توجه به این که خیلی از سازمانها به کار از خانه (دور کاری) تغییر سیاست دادهاند و نیروهای کارشان را پخش کردهاند؛ تامین کنندهای را تصور کنید که میتواند تستهای نفوذ و ارزیابیهای آسیبپذیری را از راه دور هدایت کند و نیازی به این که شما شخصی را به طور فیزیکی در دفتر خود داشته باشید، نیست.
آیا سازمان شما به یک تست نفوذ نیاز دارد؟ به اینکه دوران چطور میتواند به شما کمک کند پی ببرید.