آزمون نفوذ‌پذیری شبکه

تعریف آزمون نفوذپذیری شبکه

به عبارت ساده، در آزمون نفوذپذیری شبکه، حملات واقعی که ممکن است روی شبکه یک سازمان انجام شوند، شبیه‌سازی می‌شوند. طی این فرایند، آسیب‌پذیری‌ها و نقاط نفوذ به شبکه سازمان شناسایی و برطرف می‌شوند. منشا این آسیب‌پذیری‌ها می‌تواند به شبکه داخلی (مانند اتصال دستگاه‌های غیرمجاز به شبکه سازمان) یا خارجی (مانند امکان بهره‌برداری از یک آسیب‌پذیری روز صفرم توسط شبکه اینترنت) باشد. در صورتی که این آسیب‌پذیری‌ها و ضعف‌ها در آزمون نفوذپذیری شناسایی نشوند، ممکن است پس از اجرای یک حمله واقعی به سازمان و با هزینه بسیار گزاف شناسایی شود. زمانی که از آسیب‌پذیری‌هی شبکه صحبت می‌شود، منظور وجود ضعف‌هایی از قبیل وصل نبودن وصله‌های امنیتی، پیکربندی نادرست Active Directory، فقدان مکانیزم مناسب برای پایش و لاگ‌گیری، استفاده از الگوریتم‌های رمزنگاری ضعیف، اتصال دستگاه‌های ناامن به شبکه سازمان و حتی نبود آموزش کافی برای کارکنان سازمان است.

اهمیت آزمون نفوذپذیری شبکه

به شکل کلی، دستاورد و ماحصل اجرای آزمون نفوذپذیری روی شبکه یک سازمان، افزایش تاب‌آوری شبکه سازمان در برابر تهدیدات داخلی و خارجی است. با این حال، این فرایند دستاوردهای جانبی دیگری نیز دارد. به‌عنوان نمونه، اجرای فرایند آزمون نفوذپذیری شبکه جزو الزامات عنوان‌شده برای انطباق با بسیاری از استانداردهای بالادستی مانند PCI DSS و ISO 27001 است. انطباق با این الزامات به‌ویژه برای سازمان‌های بزرگتر اهمیت بیشتری دارد؛ ولی حتی کسب‌وکارهای کوچک که مشتریانشان سازمان‌های بزرگتر هستند، ملزم به انطباق با این الزامات هستند. مزیت دیگر اجرای آزمون نفوذپذیری روی شبکه، شناسایی تهدیدات پیچیده و در حال تغییری است که تنها به‌واسطه نگاه از یک پنجره زمانی عریض‌تر امکان شناسایی آنها وجود دارد. بدین منظور، لازم است تا آزمون نفوذپذیری شبکه به صورت منظم اجرا و تکرار شود و خروجی‌های هر آزمون با آزمون‌های قبلی مقایسه شود. در کنار اینها، اجرای این فرایندها منجر به ایجاد آرامش و اطمینان خاطر سازمان برای ادامه مسیر کسب‌وکارش خواهد شد. درواقع، پس از مشاهده خروجی آزمون‌های نفوذپذیری، سازمان می‌داند که برای ارتقای تاب‌آوری امنیتی خود نیازمند توجه و تمرکز روی چه بخش‌‌هایی را دارد. این به معنای هزینه هدفمند و مدیریت درست منابع محدود است.

مراحل آزمون نفوذپذیری شبکه

آزمون نفوذپذیری در امین رای شامل پنج مرحله کلی است؛ ولی بسته به ماهیت و صنعت سامانه هدف، امکان ایجاد تغییرات کوچک رد این مراحل وجود دارد. لازم به ذکر است که امین رای برای آزمون نفوذپذیری شبکه عمدتا از دستورالعمل‌های OSSTM  (که یکی از بهترین به‌روش‌های موجود برای چارچوب آزمون نفوذپذیری شبکه است) استفاده می‌کند. در ادامه، متدلوژی امین رای برای آزمون نفوذپذیری شبکه توضیح داده شده است.

1. انعقاد قرارداد: پیش از هر اقدامی، جلساتی میان تیم آزمون نفوذپذیری و نمایندگان کارفرما برقرار می‌شود تا دامنه آزمون مشخص شود. دامنه آزمون از آن جهت اهمیت دارد که گاها شناسایی دقیق دارایی‌های اطلاعاتی یک سازمان برای اشخاص ثالث غیرممکن یا حداقل دشوار است. این موضوع به‌ویژه در مورد سازمان‌های بزرگتر بیشتر صدق می‌کند. به عنوان نمونه، ممکن است دامنه‌هایی وجود داشته باشند که به صورت مستقیم متعلق به سازمان اصلی نباشند؛ ولی به دلیل خریداری شدن توسط سازمان اصلی، جزو متعلقات سازمان باشند. بنابراین، لازم است تا دامنه‌های مورد آزمون به شکل دقیق مشخص شوند. ازجمله خروجی‌های این بخش می‌توان به موراد زیر اشاره کرد:
   • اسامی دامنه‌ها
   • اسامی سرورها
   • آدرس‌های IP
   • نقشه‌های شبکه
   • سیستم عامل
   • دستگاه‌های موجود در شبکه
2. گردآوری اطلاعات: پس از انعقاد قرارداد، تیم آزمون اقدام به گردآوری اطلاعات از دارایی‌های اطلاعاتی مشخص‌شده در مرحله قبل می‌کند. ممکن است طی این مرحله نیز جلساتی میان تیم آزمون و نمایندگان کارفرما برگزار شود تا یافته‌های تیم آزمون صحبت‌سنجی شوند. پرسشنامه‌ها نیز از ابزارهای دیگر برای گردآوری اطلاعات از شبکه هدف هستند. از خروجی‌های این مرحله نیز می‌توان به موارد زیر اشاره کرد:
   • فهرست پورت‌های باز، بسته و فیلترشده
   • آدرس IP مربوط به سامانه‌های Live
   • فهرست پروتکل‌های کشف‌شده
   • شناسایی تهدیدات و ریسک‌های بالقوه
   • شناخت معماری و عملیات سامانه
3. اسکن شبکه: پس از شناسایی دقیق دارایی‌های اطلاعاتی موجود روی شبکه هدف، تیم آزمون اقدام به ارزیابی آسیب‌پذیری‌هیا موجود روی دارایی‌های اطلاعاتی می‌کنند. لازم به ذکر است که در آزمون‌های جعبه سفید، سامانه صرفنظر از حضور فناوری‌های IDS/IPS اسکن می‌شود؛ ولی در آزمون‌های جهبه سیاه، تکنیک‌های فریب IDS/IPS بخشی از آزمون محسوب می‌شوند. ازجمله خروجی‌های این بخش نیز می‌توان به موارد زیر اشاره کرد:
   • شناسایی سرویس‌های فعال روی سامانه در مقیاس گسترده
   • شناسایی ضعف‌های موجود در سیستم عامل و فناوری‌های مربوط به لایه‌بندی OSI
   • وضعیت وصله‌های امنیتی
   • وضعیت بروزرسانی سرویس‌ها و اپلیکیشن‌ها
   • ضعف‌های امنیتی مرتبط با پیکربندی پیش‌فرض نرم‌افزار
   • اعتبارنامه‌های پیش‌فرض و ضعیف صادرشده برای فناوری‌های مختلف
4. بهره‌برداری از آسیب‌پذیری‌های شناسایی‌شده: پس از شناسایی آسیب‌پذیری‌ها و ریسک‌های احتمالی، این موارد بایستی به‌صورت مجزا و دستی بررسی و تایید شوند تا موارد False Poistive از خروجی‌ها حذف شوند. پس از اطمینان از درستی آسیب‌پذیری‌ها و پیکربندی‌های ضعیف شناسایی‌شده، شواهد مربوط به آنها تهیه و در صورت امکان، از آنها بهره‌برداری می‌شود. این بهره‌برداری‎ها به‌گونه‌ای هستند که سامانه هدف با مشکلی روبرو نشود. ازجمله مواردی که می‌توانند مورد بهره‌برداری قرار بگیرند عبارتند از:
   • بهره‌برداری از ضعف‌های شناسایی‌شده موجود در دامنه
   • دسترسی به سیستم عامل توسط آسیب‌پذیری‌های شناسایی‌شده
   • ارتقای سطح دسترسی  به سطوح بالاتر مدیریتی
   • اجرای حملات Brute force روی فناوری‌های رایج شناخته‌شده
   • شکستن کلمه‌های عبور گرآوری‌شده در مرحله اسکن
   • بررسی امکان بکارگیری حساب‌های کاربری شناسایی‌شده در سرویس‌های مختلف
   • اجرای حملات مربوط به سطوح دوم و سوم مدل OSI
5. گزارش: در نهایت، گزارش مربوط به آزمون نفوذپذیری شبکه تهیه شده و در آن تمامی یافته‌های مربوط به آسیب‌پذیری‌های شناسایی‌شده و تاییدشده، ازجمله مولفه آسیب‌پذیر، بردار‌های حمله، رتبه CVSS آسیب‌پذیری، روش‌های بهره‌برداری از آسیب‌پذیری و چگونگی امن‌سازی آسیب‌پذیری ارائه می‌شود.