تفاوت تست نفوذ و ارزیابی آسیب پذیری
آیا تا بحال برایتان اتفاق افتاده که از شرکت یا سازمانی درخواست عملیات تست نفوذ نمایید و با توجه به پرداخت هزینههای سنگین، صدها صفحه گزارش شامل آسیب پذیریهای شناسایی شده روی برنامه کاربردی یا شبکه تان را دریافت نمایید؟ این مشکل بسیار رایج است و به کررات دیده میشود که شرکت یا سازمان ارائه دهنده خدمات تست نفوذ یا penetration testing بجای انجام این عملیات با انجام ارزیابی آسیب پذیری یا vulnerability assessment باعث آسیب زدن به مجموعهها میشوند. در این مطلب قصد داریم تا با تشریح این دو خدمت شما را با ارائه دهندگان خدمات تست نفوذ و ارزیابی آسیب پذیری با کیفیت بالاتر آشنا کنیم.
برای فهم بهتر موضوع، مطلب را با توضیح کوتاهی در مورد این دو سرویس شروع میکنیم تا در ادامه، با شناختن تفاوتهای آنها، با ارائه دهندگان حرفهای خدمات امنیتی آشنا شویم.
توضیح کوتاهی بر چیستی تست نفوذ
تست نفوذ شامل شناسایی آسیب پذیریها در یک شبکه یا برنامه کاربردی خاص میباشد و در واقع تلاشی برای بهره برداری از این آسیب پذیریها به منظور نفوذ است.
هدف از تست نفوذ این است که مشخص شود آیا آسیب پذیری کشف شده واقعی است یا خیر. در صورتی که تستر (Pentester) موفق شود از یک نقطه آسیب پذیر سوء استفاده نمایید آن واقعی میداند و این نقطه و مشکل آن را در گزارش مشاهده خواهید کرد. همچنین در این گزارش شما میتوانید آسیب پذیریهای غیرقابل بهره برداری را به عنوان یافتههای نظری مشاهده نمایید. توجه داشته باشید که این یافته ها مثبت کاذب (False positive) نیستند و صرفا تستر موفق به بهره برداری از آن نشده.
نیاز است بدانید که بخش کوچکی از یک تست نفوذ جامع را اسکن آسیب پذیری در بر میگیرد. ولی تجربیات نشان میدهد که یک تست نفوذ با کیفیت باید عمدتا دستی باشد.
در مرحله بهره برداری از آسیب پذیری ها تستر تلاش میکند تا امکان آسیب رساندن به شبکه و برنامههای کاربردی را بررسی نمایید. این مرحله به طور کلی در اسکن آسیب پذیری وجود ندارد
توضیح کوتاهی بر چیستی ارزیابی آسیب پذیری
اسکن آسیب پذیری یا ارزیابی آسیب پذیری صرفا به دنبال یافتن آسیب پذیریها در یک برنامه کاربردی یا شبکه میباشد. این تکنیک برای تخمین میزان و حجم آسیب پذیریهای مختلف مورد استفاده قرار میگیرد. ارزیابی آسیب پذیری شامل استفاده از ابزارهای خودکار ( مانند Burp suite، nessus و .. )به منظور یافتن آسیب پذیریها میباشد که نتایج آن در قالب یک گزارش (معمولا خودکار تولید شده) به شما ارائه میشود. از آنجایی که آسیب پذیریهای کشف شده بدون تلاش برای بهره برداری در گزارش ثبت میشوند، طبیعتا ممکن است برخی از آنها مثبت کاذب (false positive) باشد.
یک گزارش ارزیابی آسیب پذیری باید شامل عنوان آسیب پذیریها، توضیحات و شدت آنها (بالا، متوسط و پایین) باشد. شما به محض مطالعه گزارش، با تعداد زیادی ضعفهای امنیتی مهم و غیر بحرانی روبرو میشوید و با توجه به اینکه این آسیب پذیریها مورد تایید قرار نگرفته اند و معمولا حجم بالایی دارند بسیار گیج کننده خواهد بود، زیرا شما نمیدانید کدام آسیب پذیری را باید رفع نمایید.
تفاوت در سطح و مهارت نیروهای مورد نیاز
اولین تفاوت سطح و مهارت مورد نیاز برای نیروهایی انتخابی در شرکتها ارائه دهنده است. شاید برایتان سوال باشد که چرا مهارت افراد متخصص در این دو عملیات متفاوت است، پاسخ آن این است که به صورت کلی تست خودکار که در عملیات ارزیابی آسیب پذیری مورد استفاده قرار میگیرد، به مهارت بالایی نیاز ندارد.
از این رو ممکن است که اعضای بخش امنیت مجموعه شما بتوانند چنین تست خودکاری را پیاده سازی نمایند ولی باید دانست که ممکن است با تحلیل نادرست گزارش تولید شد سامانه شما همواره در خطر باشد.
در تست نفوذ، متخصصان لزوما باید سطح قابل توجهی از مهارتها و تکنیکها را کسب کرده باشند ( زیرا بخش زیادی از آن روی تست دستی تمرکز دارد ).
تفاوت در عمق و وسعت آزمون
یکی از مهم ترین تفاوت های تست نفوذ و اسکن آسیب پذیری در وسعت و عمق این دو عملیات است.
در اسکن یا ارزیابی آسیب پذیری تمرکز بر کشف هرچه بیشتر نقاط ضعفهای امنیتی میباشد. این موضوع سبب میشود که شاهد وسعت بیشتر آزمون باشیم. این آزمون باید به صورت منظم مخصوصا پس از تغییرات احتمالی اعمال شده، صورت گیرد تا بتوان وضعیت ایمن شبکه را همواره حفظ نمود.
همچنین انجام این آزمون به سازمانهایی که از نظر امنیتی بالغ نیستند توصیه میشود زیرا از این طریق قادر خواهند بود تمام نقطه ضعفهای امنیتی احتمالی را بدانند.
ولی معمولا زمانی تست نفود ارجحیت دارد که مشتری ادعا کند که دارای برنامه کاربردی یا شبکه ای با سطح ایمنی بالا است و بخواهد بررسی کند که آیا میتواند به ادعای خود اعتماد نماید یا خیر.
تفاوت در درجه خودکار سازی عملیات
تفاوت دیگر تست نفوذ و اسکن آسیب پذیری که به مورد قبلی هم مرتبط میباشد، در درجه خودکار سازی این دو آزمون است. ارزیابی آسیب پذیریها معمولا به صورت خودکار صورت میگیرد و این موضوع سبب میشود امکان پوشش گستردهتر آسیب پذیریها فراهم باشد.
این در حالی میباشد که تست نفوذ ترکیبی از تکنیکهای خودکار و دستی است که به کشف دقیق تر آسیب پذیری کمک مینماید.
تفاوت در سرعت
با توجه به مواردی که تا به الان ذکر شد کاملا قابل پیش بینی میباشد که اسکن آسیب پذیری با در نظر گرفتن خودکار بودن بدنه آن، با سرعت بیشتر انجام و گزارش گیری میشود. این در حالی است که در تست نفوذ به دلیل ملزم بودن تستر به گرفتن آزمونی دقیق و عمیق، شاهد فرایند زمان گیری باشیم.
یکی از دلایل نیاز سازمانها به ارزیابی آسیب پذیری به صورت منظم، سرعت بسیار بیشتر این آزمون میباشد.
تفاوت در هزینه عملیات
نتیجه دیگری که میتوان از تفاوتهای ذکر شده در بالا بدست آورد تفاوت در هزینه این دو عملیات به دلیل تفاوت در زمان مورد نیاز، سطح و مهارت نیروها، عمق و وسعت برنامه کاربردی یا شبکه، میباشد.
ارائه دهندگان خدمات تست نفوذ نیازمند نیروهای متخصصتری میباشند تا با توجه به پیچدگیهایی که ممکن است در برنامه کاربردی یا شبکه وجود داشته باشد، بتوانند هرچه عمیقتر دارایی شمارو مورد بررسی قرار دهند. این درحالی است که سازمانها برای ارائه خدمات اسکن آسیب پذیری نیازی به نیروهایی با چنین مهارتهایی ندارند.
تفاوت در میزان امنیت داراییها
از مشکلاتی که همیشه در ابزارهای خودکار سازی شده با آن روبرو هستند، توانایی درک مسائل است و این عدم توانایی میتواند در مواردی باعث بوجود آمدن مشکلاتی شود. به عنوان مثال فرض نمایید در برنامه کاربردی شما آدرسی با عملکرد حذف حساب کاربری وجود دارد و از طرفی برنامه کاربردی شما در این نقطه دچار ضعف امنیتی باشد، در این شرایط ممکن است با استفاده از ابزارهای خودکارسازی شده، اقدام به حذف تمامی حساب های کاربری خود در یک سامانه عملیاتی نمایید.
این نوع از مشکلات در تست نفوذ دیده نمیشود زیرا معمولا فرد متخصصی در حال انجام فرایندها میباشد و طبیعتا توانایی درک این نوع از مسائل را دارا است.
نتیجه:
با توجه به انواع متفاوت سرویسهای امنیتی باید دانست که هر یک از این سرویسها به چه شکلی قرار است به برنامه کاربردی و شبکه ما کمک نماید.
ضعفها و مزایای هر یک از این خدمات دلیلی بر بهتر بودن و یا نبودن آن نسبت به دیگر خدمت نمیباشد و ما باید یاد گیریم که هر کدام از آنان در شرایطی خاص مناسب ما خواهند بود.
در کنار این موضوع باید مراقب باشیم که شرکتهای خدمت دهی میتوانند از نا آگاهی ما نسبت به این مسائل سوء استفاده نمایند و با دریافت هزینههای بالا خدماتی را که به زمان و نیروی کمتری نیاز دارد، به ما ارائه دهند. و این دلیل دیگری برای دانستن تفاوت این خدمات میباشد.