تست نفوذ داخلی چیست و چگونه انجام می‌شود؟

این مقاله به بررسی مفهوم تست نفوذ پرداخته و نوع تست نفوذ داخلی را به طور کامل توضیح می‌دهد. هدف اصلی از انجام تست نفوذ و همچنین انواع دیگر آن را نام برده و در نهایت نحوه انجام تست نفوذ داخلی را شرح خواهد داد.
تصویر شاخص مقاله تست نفوذ داخلی چیست؟

در این مقاله می‌خوانیم

تست نفوذ داخلی چیست و چگونه انجام می‌شود؟

در سال 2011، مشاور امنیتی به نام راجر گرایمز (Roger Grimes)، مقاله‌ای با عنوان ” برای شکست دادن‌ هکرها باید مثل آن‌ها فکر کرد” را منتشر نمود. در این مقاله، گرایمز به نکته جالبی اشاره می‌کند؛ او باور داشت که متخصصان امنیت سایبری، باید سیستم‌ها را از منظر هکرها ببینند.

به‌ این معنی که، به دنبال پیدا کردن راه‌های نفوذ به سیستم و شناسایی نقاط ضعف آن باشند. درنهایت، متناظر با این یافته‌ها، اقدامات امنیت سایبری متقابلی را اتخاذ کنند. چنین رویکردی در واقع همان هدف نهایی در طراحی و اجرای تست نفوذ داخلی است.

internal Penetration Testing Hacker
تست نفوذ

منظور از تست نفوذ (Penetration Testing) چیست؟

درک تست نفوذ و ارزشی که برای امنیت مجموعه دارد، از اصلی‌ترین مولفه‌های استراتژی جامع مدیریت ریسک هر سازمان است. برخلاف روش‌های سنتی، در امنیت سایبری، که بر اصلاح یک چهارچوب امنیتی و کاهش آسیب‌های ورودی از آن ناحیه متمرکز هستند، تست نفوذ یک استراتژی تهاجمی است که بر پیشگیری از وقوع رویدادهای خطرآفرین تمرکز دارد.

آیا انواع چارچوب‌های امنیت سایبری را می‌شناسید؟

اصول تست نفوذ متفاوت از اسکن‌ کشف نقاط آسیب‌پذیر سیستم است. اسکن‌ها در واقع ارزیابی‌های امنیتیِ خودکار و سطح بالایی هستند که به‌منظور شناسایی آسیب‌های ازپیش شناخته‌‌شده‌، فقدان کنترل‌های امنیتی و همچنین وجود خطاهای رایج در پیکربندی سیستم اجرا می‌شوند.

همچنین برای آشنایی بیشتر با مفهوم SAST، می‌توانید مقاله تست استاتیک امنیت اپلیکیشن چیست را مطالعه کنید.

تست نفوذ (Pentest) را تحت عنوان حمله هکر کلاه سفید یا هک اخلاقی نیز می‌شناسند. در این آزمون که توسط یک پن‌تستر متخصص انجام می‌شود، از تکنیک‌ها و ابزارهای دقیق، به‌صورت دستی، برای شبیه‌سازی یک حمله سایبری استفاده می‌شود. هکر، سیستم هدف و برنامه‌های کاربردی آن، دستگاه‌های متصل، سرویس‌ها و رفتارهای کاربری را تجسس می‌کند تا نقاط ضعف و آسیب‌پذیر از لحاظ امنیتی را شناسایی کند.

وظیفه هکر تست نفوذ (پن‌تستر) چیست؟

هکر تست نفوذ، تاثیرات بالقوه‌ ایجاد شده توسط این نقص‌ها و همچنین عواقب بروز آن‌ها در سیستم را  بررسی می‌کند. علاوه‌براین، پن‌تستر موارد زیر را نیز بررسی خواهد کرد:

  • یافتن خطاهای موجود در فرآیند سیستم
  • تشخیص ضعف‌های سیستم در هنگام تشخیص تهدیدها و کنترل‌های امنیتی
  • بررسی میزان آگاهی سازمان درباره امنیت سایبری
  • بررسی میزان انطباق با استاندارها یا مقررات مربوطه مانند HIPAA، PCI DSS، GDPR 
حفاظت از اطلاعات کاربر در امنیت سایبری با کمک تست نفوذ داخلی (Internal Pentest)
برای برقراری امنیت سایبری خود، به حادث اعتماد کنید!

هدف اصلی تست نفوذ چیست؟

هدف اصلی متخصص تست نفوذ، تشخیص ضعف‌های امنیتی یا آسیب‌پذیر سیستم در مقابل عامل تهدیدکننده، مجرمان سایبری یا سارقان داده‌های باارزش است، که می‌توانند برای سیستم خطرآفرین باشند، در عملیات اختلال ایجاد کنند، باج‌خواهی کنند یا داده‌های حیاتی سازمان را از دسترس آن خارج کنند.

انواع روش‌‌های تست نفوذ

روش‌هایی که ممکن است در این راه یک متخصص تست نفوذ به‌ کار گیرد عبارتند از:

  • مهندسی اجتماعی، برای متقاعد کردن نیروی انسانی سازمان و برای افشای اطلاعات حساس مانند رمز ورود به بخش‌های مختلف سیستم
  • ارسال ایمیل‌های فیشینگ برای دسترسی به حساب‌های حیاتی یا آزمودن میزان آگاهی کارکنان درباره امنیت سایبری
  • استفاده از رمزهای سرقت‌شده یا رمزگذاری نشده برای ورود به سیستم‌های حیاتی و دسترسی به داده‌های مهم سازمان

در پایان یک تست نفوذ، آزمونگر گزارشی کامل تهیه می‌کند که در آن، به تیم‌های امنیتی و مدیران شبکه درباره نقاط آسیب‌پذیر و پتانسیل‌های سوء‌ استفاده توضیح داده شده است. همچنین، راه‌های کاهش خطرات و برطرف کردن نقص‌ها را پیشنهاد می‌دهد.

انواع مختلف آزمون‌های نفوذ کدامند؟

متناظر با سیستم مورد آزمایش، انواع مختلفی از تست نفوذ وجود دارد.

1. تست نفوذ به شبکه

با استفاده از موارد زیر، هکر اجتماعی به امنیت شبکه حمله می‌کند و اجزای آن را مورد آزمایش قرار می‌دهد:

  • ایمیل‌های فیشینگ
  • نرم‌افزار شخص ثالث
  • حدس رمز‌های عبور

تست نفوذ را می‌توان در محل یا از راه دور انجام داد.

2. تست نفوذ سخت‌افزاری

در این نوع تست، هکر دستگاه‌های فیزیکی مانند دوربین‌های امنیتی، چاپگرهای تحت شبکه و سیستم‌های مستقر در خانه هوشمند را از نظر امنیتی بررسی می‌کند.

3. آزمون نفوذ برای وب اپلیکیشن‌ها

هکرها سطح ایمنی وب اپلیکیشن‌های سازمان، APIها و نرم‌افزارهای آنها را بررسی می‌کنند.

4. تست نفوذ اپلیکیشن‌های موبایل

در این نوع از تست نفوذ، اپلیکیشن‌های موبایلِ مربوط به سازمان از نظر آسیب‌پذیری تحقیق می‌شوند. برای آشنایی با کامل‌ترین تعریف تست نفوذ اپلکیشن موبایل، این مقاله را حتما مطالعه فرمایید.

Protection of user information in cyber security with the help of internal penetration test

5. آزمون نفوذ بی‌سیم

هدف از این آزمون، اتصال به هات‌اسپات‌های باز و با امنیت پایین، یا شبکه‌های وایرلس است. در این تست مشخص می‌شود که عوامل تهدید کننده دستگاه بی‌سیم، تا چه حدی می‌توانند شبکه کلی و فعالیت‌های آنلاین سازمان را تهدید کنند.

6. تست نفوذ فیزیکی

در چنین آزمون‌هایی، هکر سعی خواهد کرد به یک فضای فیزیکی نفوذ کند تا امکان دسترسی غیرمجاز به سیستم‌های فناوری اطلاعات را بررسی کند؛ آزمونگر برای چنین ورودی معمولا خود را به عنوان یک پیمانکار یا تکنسین خدمات به سیستم معرفی می‌کند.

جعبه‌های تست نفوذ

بسته به هدفی که آزمونگر به دنبال تحقق آن است، آزمون نفوذ را می‌توان تحت انواع جعبه سیاه، جعبه سفید یا جعبه خاکستری طبقه‌بندی کرد.

1. آزمون نفوذ جعبه سیاه

در این نوع تست، آزمونگر اطلاعات دقیقی در مورد سیستم هدف ندارد، تنها به اطلاعات سطح بالایی، مثل نام شرکت، دسترسی دارد که در هر جایی و برای هرکسی یافت می‌شود. هکر یا آزمونگر شناسایی دقیقی از سیستم خواهد داشت تا سطوح مختلف آسیب‌پذیری آن را تحقیق کند. از آنجا که اطلاعات چندانی به او داده نمی‌شود، این نوع از تست، زمان زیادی را به خود اختصاص خواهد داد. این آزمون‌ها شباهت بسیار زیادی به فعالیت‌های هکرهای غیرقانونی دارند.

2. آزمون نفوذ جعبه سفید

در این نوع آزمون، اطلاعاتی چون IP آدرس‌ها، شماتیک‌های زیرساخت شبکه، سیستم عامل، کد منبع و …، از ابتدا در اختیار آزمونگر قرار می‌گیرند. در این روش، هکر از اطلاعات موجود برای شبیه‌سازی یک حمله سایبری داخلی استفاده می‌کند. اگرچه این نوع آزمون نفوذ به دقت و جزئیات جعبه سیاه نیست، اما بینش‌های ارزشمندی درباره امنیت سیستم ارائه می‌دهد.

3. آزمون نفوذ جعبه خاکستری

آزمونگر این نوع از نفوذ، یک هکر اخلاقی است که دانشی در سطح یک کاربر با سطح سازمانی بالا دارد. این نوع از آزمون برای تهدیدهایی مناسب است که در آنها هکر داخلی، دسترسی‌های مدت‌داری به شبکه و قابلیت‌های آن داشته باشد.

تفاوت آزمون نفوذ داخلی و خارجی

هر تست نفوذ یک فرایند چندمرحله‌ای شامل مراحل زیر است:

  • تعیین حوزه فعالیت
  • شناسایی (جمع‌آوری اطلاعات)
  • مدل‌سازی تهدید
  • مرحله بهره‌برداری و پسا-بهره‌برداری
  • تحلیل و گزارش‌دهی
  • تکرار آزمون

با این حال، متناظر با خارجی یا داخلی بودن آزمون، هدف‌گذاری‌ها، روش‌های اجرا، شرایط و اهداف  آزمون اندکی متفاوت خواهند بود.

در آزمون نفوذ خارجی، هدف آزمونگر، شبیه‌سازی امکان نفوذ یک عامل خارجی است که دسترسی و مجوزهای معمول سازمانی را ندارد. در این نوع، هکر به‌عنوان یک هکر مخرب و بیرونی سیستم را مورد بررسی و آزمایش قرار می‌دهد.

این در حالی است که تست نفوذ داخلی با هدف بررسی امکان ایجاد تهدید و صدمه به سیستم توسط یک عامل داخلی انجام می‌گیرد. به‌طور ویژه، آزمونگر به نوع و میزان اطلاعاتی می‌پردازد که در معرض این تهدید داخلی قرار می‌گیرند.

برای ایجاد درکی کامل از نقاط ضعف در سیستم امنیتی و تلاش برای تقویت آن، بهتر است از هر دو نوع آزمون خارجی و داخلی استفاده شود.

آزمون نفوذ داخلی چیست؟

تست نفوذ داخلی معمولا پس از انجام انواع خارجی به‌وقوع می‌پیوندد. در این نوع شبیه‌سازی امنیتی، یک تهدید داخلی در کانون توجه است و میزان آسیب‌پذیری سیستم و داده‌ها در حضور این تهدید داخلی بررسی می‌شوند. به‌طور معمول، در نقطه شروع آزمون داخلی، سطح دسترسی هکر مشابه یک کاربر سازمان با دسترسی استاندارد است. سناریوهایی که آزمونگر (هکر) در نظر دارد شامل موارد زیر هستند:

  • امکان وجود یک کارمند ناراضی که سعی دارد امنیت سیستم را با اختلال مواجه کند و به‌ نوعی از آن انتقام بگیرد (مخرب خودی)
  • امکان وجود یک هکر خارجی که با استفاده از اصول مهندسی اجتماعی، فیشینگ یا اطلاعات کاربری فاش شده، اقدام به ورود به سیستم می‌کند.

تمرکز بیشتر سازمان‌ها بر تهدیدات خارجی است. با وجود این، تهدیدات داخلی که نتیجه انتقام‌گیری خودی‌ها، بی‌دقتی کارمندان و حتی از جانب مشتریان است، به‌همان میزان جدی و قابل‌توجه هستند.

تحقیقات نشان می‌دهند که از سال 2018 تا سال 2020، تعداد تهدیدات سایبری داخلی 47 درصد افزایش یافته است. علاوه‌براین، در سال 2020، میانگین کل ضررهای حاصل از تهدیدات داخلی رقم 11.45 میلیون دلار بود که 8.7 درصد بیشتر از معادل آن در سال 2018 است. همچنین، سال 2021 رشد دوباره‌ای، به میزان حدود 7 درصد، در تعداد و میزان ضرر حاصل از این تهدیدات اضافه شده است. منشاء این تهدیدات می‌تواند موارد زیر باشد:

  • وجود رمزهای عبور ضعیف یا مشترک
  • کنترل‌های ضعیف بر دسترسی‌های
  • به اشتراک‌گذاری فایل‌های ناامن یا داده‌های رمزگذاری نشده
  • تنظیمات اشتباه در شبکه
  • عدم آگاهی اجزای سازمان درباره مهندسی اجتماعی و فیشینگ
  • حملات باج‌افزار
  • شبکه‌ها و دستگاه‌های راه‌دور ناامن

 اولویت امنیتی هر سازمان باید رسیدگی به این تهدیدات و رفع نواقص موجود باشد. تست نفوذ داخلی از جمله پرکاربردترین روش‌ها برای برطرف کردن این مشکلات است.

مدیریت داده ها و اطلاعات کاربران در امنیت سایبری
با تست نفوذ داخلی، از امنیت سامانه خود اطمینان حاصل کنید!

نحوه انجام آزمون نفوذ داخلی

در یک تست نفوذ داخلی، آزمونگر ممکن است موراد زیر را به آزمایش بگذارد:

  • سیستم‌های کامپیوتری، ایستگاه‌های کاری و دستگاه‌های تلفن همراه
  • سرورها
  • شبکه‌های بی‌سیم
  • نقاط دسترسی کاربری
  • فایروال
  • سیستم تشخیص نفوذ IDS و سیستم پیشگیری از نفوذ  IPS
  • سیستم‌های HVAC متصل به اینترنت
  • دوربین‌ها
  • کارکنان (رفتارها و رویه‌ها)

پس از بررسی این موارد توسط آزمونگر، تلاش برای درک احتمال دسترسی و آسیب پذیری سیستم شروع می‌شود. گزارش مفصلی از تهدیدات با پتانسیل تخریب به مدیران سازمان ارائه می‌شود و راهکارهای برخورد با آنها توضیح داده می‌شوند.

روش‌های زیادی برای انجام تست نفوذ داخلی وجود دارند. آزمونگر ممکن است از ارتقاء دسترسی، سرقت اطلاعات کاربری، انتشار بدافزار یا افشای اطلاعات برای سنجش استفاده کند. MITM یا حمله مرد میانی نیز روشی برای انجام تست نفوذ داخلی است. از رایج‌ترین روش‌های پیاده‌سازی تست نفوذ خودکار عبارت‌اند از:

  • اسکن شبکه داخلی
  • اسکن پورت‌ها
  • انگشت‌نگاری سیستم
  • آزمودن فایروال
  • آزمون دستی آسیب‌پذیری
  • آزمون قدرت رمزهای عبور
  • آزمون کنترل پایگاه‌های داده
  • آزمون امنیت تجهیزات شبکه

همچنین، آزمونگر از اسکن شبکه‌های داخلی برای یافتن تروجان‌های شناخته شده و بررسی پیکربندی‌های امنیتی شخص ثالث استفاده می‌کند تا ریسک آسیب از حملات به زنجیره تامین را به حداقل برساند.

برای پیاده‌سازی این آزمون‌ها، هکرهای کلاه سفید می‌توانند از ابزارهای زیادی بهره ببرند که در ادامه برخی از آنها را ارائه می‌دهیم:

  • Nmap: یک ابزار اسکنر پورت منبع باز برای کشف شبکه و ممیزی‌های امنیتی
  • Rapid 7Metasploit یک چهارچوب هوشمند برای بررسی و تایید میزان آسیب‌پذیری سازمان
  • Wireshark: استفاده از یک تحلیلگر پروتکل شبکه منبع باز برای ارزیابی میزان آسیب‌پذیری‌ها در شبکه
پیمایش به بالا