تست نفوذ چیست؟
در جوامع امروزی، تلاش برای بهبود وضعیت کنونی (در هر زمان و مکان و هر موقعیتی) به یک اصل تبدیل شده است. در واقع یکی از اصول مهم در تمامی سطوح و گرایشهای کلیه استانداردها، در پیش گرفتن فرآیندهایی است که بهبود وضعیت را در پی داشته باشد. بخصوص این امر در تکنولوژی اطلاعات یکی از اصول تخطی ناپذیر و غیر قابل اجتناب است. حال اگر وارد حیطه شبکه های کامپیوتر و نیز نرم افزارهای گوناگون شویم، باید برای این فرآیند، راههای متناسب با آن را در اتخاذ کنیم. یکی از عمومی ترین و مهمترین ای راه حلها در این بخش ،استفاده از فرآیند تست نفوذ است. نفوذ کردن به شبکه های کامپیوتری و دسترسی به منابع یک شبکه، در حالت معمول، امری غیر قانونی تلقی می شود. اما یک متخصص امنیت، با بستن قراردادی با صاحبان و مدیران شبکه و یا یک نرم افزار ، علاوه بر قانونی کردن آن، نتایج آن را به نفع شما باز می گرداند. او از دید یک هکر به برنامه یا شبک شما نگریسته و تلاش می کند تا کلیه مشکلات و شکافهای امنیتی آن را شناسایی و به شما ارائه دهد. بدین وسیله، شما با رفع این معایب،علاوه بر بالابردن میزان امنیت سرویسهای خود و جلب رضایت بیشتر مشتریان، راه را بر نفوذگران مخرب سد می کنید.
استانداردهای تست نفوذموسسه نورانت برای انجام تست نفوذ از استاندارد های زیر استفاده می کند
- ISO/IEC 27001
- ISO/IEC 27002
- OSTTMM (Open Source Security Testing Methodology Manual)
- OWASP (Open Web Application Security Project) 2013
- LPT (Licensed Penetration Tester methodology from EC-Council)
کلیه ابزارهای که در طول پروژه از آنها استفاده می شود ابزارهای استاندارد بوده و به هیچ عنوان آسیبی به سیستم ها وارد نخواهد نکرد .
روش های تست نفوذ
White Box : در این حالت تیم تست نفوذ اطلاعات کامل در باره موضوع مورد تست دارد و همچنین دسترس به منابع داخلی شبکه نیز دارد. معمولا از این نوع تست برای ارزیابی آسیب پذیری های داخل شبکه استفاده می شود .
Gray Box : در این حالت دسترسی به منابع داخلی محدود می باشد و اطلاعات کاملی در اختیار تیم قرار نمی گیرد.
Black Box: در این حالت هیچ گونه دسترسی و اطلاعاتی به تیم تست نفوذ داده نمی شود .معمولا این نوع تست نفوذ برای وب سرور ها و برنامه های کاربردی تحت وب انجام می شود .
آخرین دیدگاهها