انواع تست نفوذ

شکل ۱ متدلوژی ارزیابی امنیتی و تست‌نفوذ مرکز فناوری های ارتباطات و اطلاعات بیژیسم
در ادامه‌ی مستند به تشریح تک‌تک مراحل نمایش داده‌شده و چگونگی پیاده‌سازی مراحل موجود در این شکل می‌پردازیم.
۱ .تشریح مراحل ارزیابی و تست‌نفوذ
همان طور که در تصویر شماره‌۱ مشخص است، مهاجمین جهت نفوذ به سرورهای یک سازمان مراحل خاصی را به صورت چرخشی دائماً تکرار می‌کنند. در تدوین متدلوژی ارزیابی و تست‌نفوذ به این چرخه توجه فراوانی شده و سعی گشته تا با تلفیق آن‌ها با استاندارد‌های امنیتی مانند OWASP و ISSAF و یا OSSTMM یک روند مناسب جهت تشخیص، اثبات و امحای حد‌اکثری آسیب‌پذیری‌ها ایجاد کرد.

۱-۱ مرحله‌ی اول : نقشه‌کشی

در این مرحله تمامی مراحل کوکچکتر مربوط به آماده‌سازی شرایط جهت شروع ارزیابی امنیتی و تست نفوذ انجام می‌گیرد.

۱-۱-۱ جمع‌آوری اطلاعات

جهت اجرای یک تست نفوذ تمام‌عیار تیم ارزیاب باید تمامی اطلاعات مربوط به سازمان، افراد مسئول، شبکه‌ی سازمان، اطلاعات مربوط به برنامه‌های کاربردی مورد استفاده و فعال در سازمان و به طور کلی هر نوع اطلاعاتی که به شناخت بیشتر سازمان هدف کمک کند، مورد نیاز است. این مرحله از کار در واقع شبیه‌سازی همان چیزی است که یک رخنه‌گر مهاجم در ابتدای عملیات نفوذ خود انجام می‌دهد. در این مرحله رخنه‌گر سعی در شناخت هرچه بیشتر سازمان هدف می‌کند تا بتواند دامنه‌ی وسیع‌تری را جهت کشف آسیب‌پذیری در اختیار داشته باشد. همواره شناخت بیشتر از یک سازمان برابر است با آسیب‌پذیری‌های احتمالی بیشتری از آن.

۱-۱-۲ جدول‌بندی مراحل پروژه

تمامی مراحل پروژه در این قسمت جدول‌بندی شده و نقشه‌ای از هر فاز پروژه و مراحل مربوط به هر کدام در آن قرار می‌گیرد. این جدول به تیم ارزیاب و کارفرما کمک خواهد کرد تا بدانند در هر مرحله چه فرآیندهایی باید طی شود، در کجای پروژه قرار دارند و همچنین سرعت و کارایی انجام مراحل را می‌توان با استفاده از این جدول اندازه‌گیری و کنترل کرد. لذا در ابتدای هر پروژه ارزیابی امنیتی و تست نفوذ جدول فازهای پروژه به همراه زیر مراحل هر کدام طراحی‌شده و تیم ارزیاب و کارفرما از آن جهت کنترل روند کار و نحوه‌ی پیشرفت در پروژه استفاده می‌کنند.

۱-۱-۳ شناسایی منابع

نوع منابع در هر پروژه ارزیابی امنیتی مشخص می‌گردد. این منابع شامل افراد متخصص درگیر در پروژه، بودجه‌ی کارفرما، نوع ابزارهای مجاز و تکنیک‌های نفوذ مجاز، نوع تست اعم از تست جعبه‌سفید(White test)، جعبه خاکستری(Gray test) و جعبه سیاه(Black test)، هدف پروژه، دامنه‌ی پروژه و همه‌ی اطلاعاتی این‌چنینی می‌شود.
در برخی از پروژه‌ها ممکن است نیاز به استفاده از شرکت سوم جهت انجام برخی از فعالیت‌ها در فرآیند تست نفوذ باشد، لذا این موارد در ابتدای پروژه باید مشخص گردند.
زمان در اختیار پروژه یکی از مهم‌ترین منابع تیم ارزیاب تلقی می‌گردد. در برخی پروژه‌ها ممکن است کارفرما بیشتر از ۱ هفته زمان برای پروژه ندهد و در برخی دیگر امکان وجود زمان ۶ ماه برای انجام کار وجود دارد. مسلماً زمان بیشتر برابر است با تست‌نفوذ و ارزیابی امنیتی عمیق‌تر و کامل‌تر و متعاقباً آزمون‌های با زمان کمتر شرایط خاص خود را داشته و به ضروری‌ترین و حیاتی‌ترین موارد آسیب‌پذیری و امنیتی خواهد پرداخت.
تمامی این‌گونه موارد در RFP ارائه‌شده از کارفرما مشخص خواهند شد.

۱-۱-۴ تخصیص بودجه

میزان بودجه و سرمایه‌ای که کارفرما جهت انجام ارزیابی امنیتی و تست‌نفوذ سازمان خود در نظر می‌گیرد تأثیر مهمی در نوع تست و چگونگی آن دارد. مسلماً در صورت وجود بودجه‌ و منابع بیشتر، خصوصاً زمان بیشتر، تیم ارزیاب قادر خواهد بود موارد بیشتری را پوشش داده و درصد امنیت سازمان را افزایش بیشتری دهد. همچنین تخصیص بودجه‌ی بالاتر باعث استفاده از ابزارها و متخصصین حرفه‌ای تری در پروژه شده و طبیعتاً خروجی آن نیز کامل‌تر و تأثیرگذارتر خواهد بود.

۱-۱-۵ خروجی – نقشه‌ی کار

تمامی موارد بالا به صورت مستندی با عنوان proposal یا همان نقشه‌ی راه تولیدشده و کارفرما را از تمام موارد بالا مطلع خواهد ساخت. این مستند همچنین در طول پروژه به تیم ارزیاب کمک خواهد کرد تا روند ارزیابی و تست نفوذ خود را مدیریت و پایش نمایند.

۱-۲ مرحله‌ی دوم: شناخت و آماده‌سازی

در این مرحله تیم ارزیاب تمامی اطلاعات مورد نیاز خود را از سازمان کسب کرده و بنا به نوع تست که در مراحل قبل مشخص شده است کار را شروع خواهد کرد.

۱-۲-۱ شناسایی سایبری

تیم ارزیاب در این مرحله به شناسایی سایبری سیستم‌های هدف خواهد پرداخت. تک‌تک سرورهای موجود در دامنه‌ی پروژه دارای پرونده‌ی خاص خود شده و تمامی اطلاعات اعم از نشانی آی‌پی، نوع سیستم، فنّاوری‌های مورد استفاده‌ی آن، زبان‌های برنامه‌نویسی مورد استفاده، نوع تجهیزات موجود در شبکه و توپولوژی شبکه، مسئولین هر سرور و شماره‌ تماس آن‌ها، اطلاعات موجود در منابع عمومی و به طور کلی هر نوع اطلاعات دیگر که با یا بدون تعامل با کارفرما می‌توان آن‌ها را به دست آورد.
همان طور که پیش‌تر توضیح داده شد این مرحله شبیه‌سازی کاری است که یک مهاجم در ابتدای نفوذ به یک سازمان انجام می‌دهد. توجه به این نکته ضروری است که تیم ارزیاب در تمام مراحل به شبیه‌سازی عملکرد رخنه‌گر خواهد پرداخت تا آسیب‌پذیری‌های واقعی سازمان در سناریو‌های نفوذ به دست آید.

۱-۲-۲ ارزیابی امنیتی

تمامی دارایی‌ها و اطلاعاتی که از سرور استخراج‌شده مورد ارزیابی امنیتی قرار خواهد گرفت. به این معنی که یک تحقیق جامع بر روی آن‌ها انجام خواهد گرفت تا مشخص شود وضعیت کلی آسیب‌پذیری‌ها در سازمان چگونه است. همچنین به صورت غیرعامل تمامی آسیب‌پذیری‌ها و نقاط ضعف سیستم‌های هدف استخراج خواهد شد. به این صورت تیم ارزیاب می‌داند که دارایی‌های سازمان به طور کامل دارای چه نوع آسیب‌پذیری‌ها و نقاط ضعفی است.

۱-۲-۳ آماده‌سازی ابزارها و منابع

با توجه به مرحله‌ی قبل تیم ارزیاب به آماده‌سازی ابزارها و افراد متخصص مرتبط با پروژه می‌پردازد. همچنین نحوه‌ی تقسیم شدن کار بین اعضا و نقشه عملکردی آن‌ها مشخص خواهد شد. به عنوان مثال اگر در یک پروژه تماماً از زبان برنامه‌نویسی جاوا جهت نوشتن برنامه‌های کاربردی استفاده شده است، افراد متخصص در امنیت جاوا و همچنین ابزارهای تست نفوذ این زبان برنامه‌نویسی و فریم‌ورک‌های آن آماده خواهد شد.
در واقع در این مرحله تیم ارزیاب پیش‌قراولان ارزیابی امنیتی و تست‌نفوذ سازمان هدف را کاملاً آماده کرده و زمان‌بندی انجام کار برای متخصصین و رخنه‌گرهای کلاه سفید تیم مشخص خواهد شد.
بسته به نوع تست تیم ارزیاب یک یا چند سرور حمله (Attack Server) در خارج از شبکه‌ی داخلی کارفرما و یا در داخل آن جهت اجرای شبانه‌روزی آزمون‌ها آماده‌سازی می‌کند. نشانی این سرورها به کارفرما اعلام‌شده تا تمامی شرایط لازم جهت دسترسی آن‌ها به سرورهای هدف آماده گردد.

۱-۳ مرحله‌ی سوم: ارزیابی امنیتی و تست‌نفوذ

در این مرحله فرآیند‌های تست‌نفوذ با استفاده از ابزار و یا به صورت دستی بر روی سرورهای هدف انجام خواهد شد. تمامی مراحل موجود در این قسمت بر روی شناخت آسیب‌پذیری و یا شناخت نقاط ضعف سیستم کار خواهند کرد و هدف نهایی در آن نفوذ به سیستم‌ یا شبکه‌ی سازمان هدف و کشف آسیب‌پذیری‌های مرتبط با آن است.

۱-۳-۱ ارزیابی فعال و غیرفعال

با استفاده از پرونده‌ی ساخته‌شده در مراحل قبل، درگاه‌ها و سرویس‌های فعال بر روی هر سرور مورد پویش قرارگرفته و ریز‌پارامترهای آن کشف می‌شود. همچنین جست‌وجوهایی در سطح منابع عمومی در اینترنت جهت کشف اطلاعات و آسیب‌پذیری از سرور انجام خواهد شد. به عنوان مثال google-hacking یکی از تکنیک‌هایی است که به صورت غیرفعال به کشف آسیب‌پذیری روی سازمان هدف خواهد کرد. در بخش اسکن‌ها و ارزیابی‌های فعال تیم ارزیاب به ارسال بسته‌های شبکه‌ای و شناسایی به صورت مستقیم با سرور خواهد پرداخت تا بتواند موارد بیشتری را علاوه بر تکنیک‌های غیرفعال به پرونده‌ی سرور مورد تست اضافه نماید. در پایان این مرحله تمام اطلاعات سرور که می‌توان به صورت فعال و غیرفعال از آن بیرون کشید در پرونده‌ی سرور مورد ارزیابی قرار خواهد داشت.

۱-۳-۲ شناسایی و پویش آسیب‌پذیری‌ها

حال که تمامی اطلاعات مورد نیاز از سرور و سرویس‌ها و درگاه‌های آن در اختیار تیم ارزیاب قرار دارد، با استفاده از ابزارهای شناسایی آسیب‌پذیری به صورت فعال خواهد پرداخت. شناسایی آسیب‌پذیری‌ها با استفاده از نسخه‌ی سرویس‌ها، نوع پاسخ آن‌ها به بسته‌های ارسالی و تکنیک‌های دیگر انجام می‌گردد. این بخش یکی از اساسی‌ترین مراحل کار است که در آن تیم ارزیاب سعی در شناخت حداکثری آسیب‌پذیری‌های موجود در سرورها از تمام ابزارها و تکنیک‌های کشف آسیب‌پذیری استفاده می‌نماید.

۱-۳-۳ پیاده‌سازی سناریو‌ی نفوذ

در این مرحله که تیم ارزیاب حداکثر آسیب‌پذیری‌های ممکن را در سرورهای سازمان هدف کشف کرده است سعی در نفوذ به آن‌ها با استفاده از آسیب‌پذیری‌های خطرناک و نفوذ‌ساز می‌کند. این آسیب‌پذیری‌ها در واقع مواردی هستند که با استفاده از آن‌ها امنیت سازمان به حداقل ممکن رسیده و در واقع نابود خواهد شد. این کلاس از آسیب‌پذیری‌ها که به نفوذ کامل به سرور می‌انجامند مواردی هستند که تحت هر شرایطی در سرور باید اصلاح‌شده و حذف گردند. چراکه وجود آن‌ها هر نوع فعالیت امنیتی دیگر را نقض کرده و امنیت سیستم را به حداقل خواهند رساند.
در صورت نفوذ موفق تیم ارزیاب تمامی در اولی مرحله سعی در مستند کردن تمامی مراحل و چگونگی آن خواهد کرد. در مواردی کلی سناریو‌ی نفوذ فیلم گرفته‌شده تا در آینده در اختیار کارفرما قرار داده شود. تصاویر و اطلاعاتی که در این بخش از ارزیابی وجود دارد در واقع ما‌حصل کار تیم ارزیابی امنیتی و تست‌نفوذ است و کارفرما نیز همین بخش را مهم می‌داند. چراکه از بین صدها آسیب‌پذیری تنها مواردی که منجر به نفوذ به سازمان می‌گردند برای سازمان force-module خواهد بود و سریعاً اصلاح خواهند کرد.
نهایتاً در صورت نفوذ موفق به سازمان تیم ارزیاب به مستندسازی کل سناریوی نفوذ پرداخته و به مرحله‌ی بعد می‌روند.

۱-۳-۴ پاک‌سازی ردپای نفوذ

در این مرحله سعی به پاک‌سازی تمامی مواردی خواهد شد که به مدیران سرور و توسعه‌دهندگان آن وقوع نفوذ سایبری را اطلاع می‌دهد. در واقع به دلیل شبیه‌سازی بودن مراحل تست‌نفوذ با یک نفوذ واقعی همانند یک رخنه‌گر تمامی ردپاها از سرور پاک خواهد شد تا کارفرما تا پایان کار از وقوع آن اطلاع نیابد.

۱-۳-۵ افزایش و نگه‌داری سطح دسترسی

در این گام رخنه‌گرهای کلاه سفید به افزایش سطح دسترسی‌های حاصل از نفوذ خواهند پرداخت و درعین‌حال سعی در نگه‌داری دسترسی‌های فعلی خواهد شد. کاشت درهای پشتی، نصب اسب‌های تراوا و نصب بد افزارهای پیشرفته‌ی سطح کرنل به دلیل حفظ دسترسی فعلی مهاجمین به سرورهاست، لذا تیم نفوذ با رعایت سطح ریسک موجود برای سرور به اجرای همین موارد خواهد پرداخت تا دسترسی‌های خود را حفظ کند.

۱-۳-۶ چرخش دوباره و تکرار

در این مرحله دوباره مراحل شناسایی، ارزیابی، پرونده‌سازی، شناسایی آسیب‌پذیری و تست‌نفوذ و … اجرا خواهد شد، با این تفاوت که این مراحل همه از سرور نفوذ شده و با سطح دسترسی‌های بیشتر در شبکه‌ی سازمان و سرورهای آن انجام می‌گردد. این چرخه آن‌قدر ادامه پیدا می‌کند تا تمامی سرورها و شبکه‌های موجود در دامنه‌ی پروژه پوشش داده‌شده و ارزیابی امنیتی و تست نفوذ کامل گردد.

۱-۴ ارائه‌ی گزارش و مستندات

در این مرحله تمامی موارد موجود در فازهای پیشین پروژه از شناسایی گرفته تا نفوذ و پاک‌سازی ردپاها همه و همه مستند شده و در گزارشی کامل در اختیار کارفرما قرار خواهد گرد. این گزارش خروجی تمامی تلاش‌های تیم ارزیاب در نفوذ و ارزیابی امنیتی سرورها و شبکه‌ی سازمان خواهد بود. کارفرما در این گزارش از تمام اطلاعاتی که تیم ارزیاب دارند باخبر شده و شناخت خود را نسبت به دارایی‌های سایبری سازمان خود و همچنین تهدیدات و آسیب‌پذیری‌های آن افزایش خواهد داد.

۱-۵ ارائه‌ی راهکار و ممیزی

در این بخش مستند دوم به کارفرما ارائه خواهد شد. حال که نسبت به دارایی‌ها و آسیب‌پذیری‌های هر کدام شناخت به عمل آمد، مستند دوم به مشتری کمک خواهد کرد که هر کدام از تهدیدات را چگونه خنثی کرده و آسیب‌پذیری را از میان بردارد.
همچنین پس از اعمال موارد موجود در مستند راه‌کارها تیم ارزیاب به ممیزی موارد پرداخته تا مطمئن گردد موارد آسیب‌پذیری به درستی و به صورت استاندارد اصلاح‌شده‌اند.
پس از طی موفقیت‌آمیز تمامی مراحل ، تأییدیه‌ی امنیتی به کارفرما داده خواهد شد و تضمین نفوذ‌ناپذیری با درصد معینی به او داده خواهد شد.

۲ جمع‌بندی و خلاصه

در این مستند مراحل کار و جریان عملیاتی آزمون‌های نفوذ و ارزیابی امنیتی به طور کلی آورده شده و درعین‌حال از جزئیات صرف‌نظر شده است چراکه ارائه‌ی جزئیات در هر گام به مستندی چند صد صفحه‌ای خواهد انجامید که از حوصله‌ی این بحث خارج است. اما به هر صورت به این نکته دقت گردد که هر کدام از فازها و مراحل ارائه‌شده در این مستند خود شامل ده‌ها و یا صدها ریز مرحله بوده که تیم ارزیاب تمامی آن‌ها را جهت تکمیل فرآیند طی ‌می‌کند.