تفاوت تست نفوذ و ارزیابی آسیب پذیری

تفاوت تست نفوذ و ارزیابی آسیب پذیری

آیا تا بحال برایتان اتفاق افتاده که از شرکت یا سازمانی درخواست عملیات تست نفوذ نمایید و با توجه به پرداخت هزینه‌های سنگین، صدها صفحه گزارش شامل آسیب پذیری‌های شناسایی شده روی برنامه کاربردی یا شبکه تان را دریافت نمایید؟ این مشکل بسیار رایج است و به کررات دیده می‌شود که شرکت یا سازمان ارائه دهنده خدمات تست نفوذ یا penetration testing بجای انجام این عملیات با انجام ارزیابی آسیب پذیری یا vulnerability assessment باعث آسیب زدن به مجموعه‌ها می‌شوند. در این مطلب قصد داریم تا با تشریح این دو خدمت شما را با ارائه دهندگان خدمات تست نفوذ و ارزیابی آسیب پذیری با کیفیت بالاتر آشنا کنیم.

برای فهم بهتر موضوع، مطلب را با توضیح کوتاهی در مورد این دو سرویس شروع می‌کنیم تا در ادامه، با شناختن تفاوت‌های آن‌ها، با ارائه دهندگان حرفه‌ای خدمات امنیتی آشنا شویم.

توضیح کوتاهی بر چیستی تست نفوذ

تست نفوذ شامل شناسایی آسیب پذیری‌ها در یک شبکه یا برنامه کاربردی خاص می‌باشد و در واقع تلاشی برای بهره برداری از این آسیب پذیری‌ها به منظور نفوذ است.

هدف از تست نفوذ این است که مشخص شود آیا آسیب پذیری کشف شده واقعی است یا خیر. در صورتی که تستر (Pentester) موفق شود از یک نقطه آسیب پذیر سوء استفاده نمایید آن واقعی میداند و این نقطه و مشکل آن را در گزارش مشاهده خواهید کرد. همچنین در این گزارش شما می‌توانید آسیب پذیری‌های غیرقابل بهره برداری را به عنوان یافته‌های نظری مشاهده نمایید. توجه داشته باشید که این یافته ها مثبت کاذب (False positive) نیستند و صرفا تستر موفق به بهره برداری از آن نشده.

نیاز است بدانید که بخش کوچکی از یک تست نفوذ جامع را اسکن آسیب پذیری در بر می‌گیرد. ولی تجربیات نشان می‌دهد که یک تست نفوذ با کیفیت باید عمدتا دستی باشد.

در مرحله بهره برداری از آسیب پذیری ‌ها تستر تلاش می‌کند تا امکان آسیب رساندن به شبکه و برنامه‌های کاربردی را بررسی نمایید. این مرحله به طور کلی در اسکن آسیب پذیری وجود ندارد

توضیح کوتاهی بر چیستی ارزیابی آسیب پذیری

اسکن آسیب پذیری یا ارزیابی آسیب پذیری صرفا به دنبال یافتن آسیب پذیری‌ها در یک برنامه کاربردی یا شبکه می‌باشد. این تکنیک برای تخمین میزان و حجم آسیب پذیری‌های مختلف مورد استفاده قرار می‌گیرد. ارزیابی آسیب پذیری شامل استفاده از ابزار‌های خودکار ( مانند Burp suite، nessus و .. )به منظور یافتن آسیب پذیری‌ها می‌باشد که نتایج آن در قالب یک گزارش (معمولا خودکار تولید شده) به شما ارائه می‌شود. از آنجایی که آسیب پذیری‌های کشف شده بدون تلاش برای بهره برداری در گزارش ثبت می‌شوند، طبیعتا ممکن است برخی از آن‌ها مثبت کاذب (false positive) باشد.

یک گزارش ارزیابی آسیب پذیری باید شامل عنوان آسیب پذیری‌ها، توضیحات و شدت آن‌ها (بالا، متوسط و پایین) باشد. شما به محض مطالعه گزارش، با تعداد زیادی ضعف‌های امنیتی مهم و غیر بحرانی روبرو می‌شوید و با توجه به اینکه این آسیب پذیری‌ها مورد تایید قرار نگرفته اند و معمولا حجم بالایی دارند بسیار گیج کننده خواهد بود، زیرا شما نمی‌دانید کدام آسیب پذیری را باید رفع نمایید.

تفاوت در سطح و مهارت نیروهای مورد نیاز

اولین تفاوت سطح و مهارت مورد نیاز برای نیروهایی انتخابی در شرکت‌ها ارائه دهنده است. شاید برایتان سوال باشد که چرا مهارت افراد متخصص در این دو عملیات متفاوت است، پاسخ آن این است که به صورت کلی تست خودکار که در عملیات ارزیابی آسیب پذیری مورد استفاده قرار می‌گیرد، به مهارت بالایی نیاز ندارد.

از این رو ممکن است که اعضای بخش امنیت مجموعه شما بتوانند چنین تست خودکاری را پیاده سازی نمایند ولی باید دانست که ممکن است با تحلیل نادرست گزارش تولید شد سامانه شما همواره در خطر باشد.

در تست نفوذ، متخصصان لزوما باید سطح قابل توجهی از مهارت‌ها و تکنیک‌ها را کسب کرده باشند ( زیرا بخش زیادی از آن روی تست دستی تمرکز دارد ).

تفاوت در عمق و وسعت آزمون

یکی از مهم ترین تفاوت های تست نفوذ و اسکن آسیب پذیری در وسعت و عمق این دو عملیات است.

در اسکن یا ارزیابی آسیب پذیری تمرکز بر کشف هرچه بیشتر نقاط ضعف‌های امنیتی می‌باشد. این موضوع سبب می‌شود که شاهد وسعت بیشتر آزمون باشیم. این آزمون باید به صورت منظم مخصوصا پس از تغییرات احتمالی اعمال شده، صورت گیرد تا بتوان وضعیت ایمن شبکه را همواره حفظ نمود.
همچنین انجام این آزمون به سازمان‌هایی که از نظر امنیتی بالغ نیستند توصیه می‌شود زیرا از این طریق قادر خواهند بود تمام نقطه ضعف‌های امنیتی احتمالی را بدانند.

ولی معمولا زمانی تست نفود ارجحیت دارد که مشتری ادعا کند که دارای برنامه کاربردی یا شبکه ای با سطح ایمنی بالا است و بخواهد بررسی کند که آیا می‌تواند به ادعای خود اعتماد نماید یا خیر.

تفاوت در درجه خودکار سازی عملیات‌

تفاوت دیگر تست نفوذ و اسکن آسیب پذیری که به مورد قبلی هم مرتبط می‌باشد، در درجه خودکار سازی این دو آزمون است. ارزیابی آسیب پذیری‌ها معمولا به صورت خودکار صورت می‌گیرد و این موضوع سبب می‌شود امکان پوشش گسترده‌تر آسیب پذیری‌ها فراهم باشد.

این در حالی می‌باشد که تست نفوذ ترکیبی از تکنیک‌های خودکار و دستی است که به کشف دقیق تر آسیب پذیری کمک می‌نماید.

تفاوت در سرعت

با توجه به مواردی که تا به الان ذکر شد کاملا قابل پیش بینی می‌باشد که اسکن آسیب پذیری با در نظر گرفتن خودکار بودن بدنه آن، با سرعت بیشتر انجام و گزارش گیری می‌شود. این در حالی است که در تست نفوذ به دلیل ملزم بودن تستر به گرفتن آزمونی دقیق و عمیق، شاهد فرایند زمان گیری باشیم.

یکی از دلایل نیاز سازمان‌ها به ارزیابی آسیب پذیری به صورت منظم، سرعت بسیار بیشتر این آزمون می‌باشد.

تفاوت در هزینه عملیات‌

نتیجه دیگری که می‌توان از تفاوت‌های ذکر شده در بالا بدست آورد تفاوت در هزینه این دو عملیات به دلیل تفاوت در زمان مورد نیاز، سطح و مهارت نیرو‌ها، عمق و وسعت برنامه کاربردی یا شبکه، می‌باشد.

ارائه دهندگان خدمات تست نفوذ نیازمند نیرو‌های متخصص‌تری می‌باشند تا با توجه به پیچدگی‌هایی که ممکن است در برنامه کاربردی یا شبکه وجود داشته باشد، بتوانند هرچه عمیق‌تر دارایی شمارو مورد بررسی قرار دهند. این درحالی است که سازمان‌ها برای ارائه خدمات اسکن آسیب پذیری نیازی به نیرو‌هایی با چنین مهارت‌هایی ندارند.

تفاوت در میزان امنیت دارایی‌ها

از مشکلاتی که همیشه در ابزار‌های خودکار سازی شده با آن روبرو هستند، توانایی درک مسائل است و این عدم توانایی می‌تواند در مواردی باعث بوجود آمدن مشکلاتی شود. به عنوان مثال فرض نمایید در برنامه کاربردی شما آدرسی با عملکرد حذف حساب کاربری وجود دارد و از طرفی برنامه کاربردی شما در این نقطه دچار ضعف امنیتی باشد، در این شرایط ممکن است با استفاده از ابزارهای خودکارسازی شده، اقدام به حذف تمامی حساب های کاربری خود در یک سامانه عملیاتی نمایید.

این نوع از مشکلات در تست نفوذ دیده نمی‌شود زیرا معمولا فرد متخصصی در حال انجام فرایند‌ها می‌باشد و طبیعتا توانایی درک این نوع از مسائل را دارا است.

نتیجه:

با توجه به انواع متفاوت سرویس‌های امنیتی باید دانست که هر یک از این سرویس‌ها به چه شکلی قرار است به برنامه کاربردی و شبکه ما کمک نماید.
ضعف‌ها و مزایای هر یک از این خدمات دلیلی بر بهتر بودن و یا نبودن آن نسبت به دیگر خدمت نمی‌باشد و ما باید یاد گیریم که هر کدام از آنان در شرایطی خاص مناسب ما خواهند بود.

در کنار این موضوع باید مراقب باشیم که شرکت‌های خدمت دهی می‌توانند از نا آگاهی ما نسبت به این مسائل سوء استفاده نمایند و با دریافت هزینه‌های بالا خدماتی را که به زمان و نیروی کمتری نیاز دارد، به ما ارائه دهند. و این دلیل دیگری برای دانستن تفاوت این خدمات می‌باشد.