تست نفوذ یا Penetration Test چیست؟
در دنیای امروز که همه اطلاعات، داده ها و اسناد شرکت ها و سازمان ها به شکل سیستماتیک در آمده و روی شبکه قرار گرفته است، یک اشتباه کوچک و یک ضعف امنیتی می تواند زمینه نفوذ هکر ها و خراب کاران را فراهم کرده و منجر به دسترسی به کل اسناد، اعتبارات و موارد محرمانه شود و مشکلات زیادی به وجود آورد. در واقع بایستی میزان نفوذ پذیری شبکه و تجهیزات مربوط به آن مانند سرور، نرم افزارها و سرویس های نصب شده روی آن مورد ارزیابی قرار گیرند و مشکلات امنیتی پیدا شوند قبل از آن که هکرها این کار را انجام دهند و به اطلاعات و داده های ما دست پیدا کنند.
تست نفوذ یا Penetration Test به معنای شبیه سازی حملات واقعی به منظور ارزیابی خطرات، آسیب پذیری و حفره های امنیتی می باشد. در این تست، تسترها نقاط ضعف و آسیب پذیری هایی که ممکن است توسط هکرها مورد استفاده قرار گیرد را کشف می کنند.
سیستم هایی که در سازمان ها توسط عموم مورد استفاده می گیرند، قبل از این که شروع به کار کنند، بایستی تست نفوذ یا Penetration Test روی آن ها انجام گیرد تا در آینده به مشکل برنخورند. برای مثال همه ی وب سایت ها، خدمات دهندگان پست الکترونیک، فایل سرور ها و به عبارتی همه ی سیستم هایی که به نوعی در بستر شبکه خدماتی ارائه می دهند، باید تست نفوذ روی آن ها انجام گیرد.
آیا تست نفوذ می تواند مشکل ساز شود؟
همان طور که گفته شد تست نفوذ یا Penetration test یک تست مهم و کارآمد است که می تواند موجب پیدا شدن حفره های امنیتی شده و از دسترسی هکر ها به داده ها و اطلاعات جلوگیری کند، اما این تست گاهی اوقات ممکن است خطراتی را به دنبال داشته باشد. این خطرات زمانی به وجود می آیند که انجام تست را به افراد غیر قابل اطمینان واگذار کنیم و این افراد خودشان عامل نفوذ باشند.
یکی دیگر از مشکلاتی که ممکن است در زمان انجام تست به وجود آید، ایجاد فشار زیاد روی سیستم به منظور انجام تست نفوذ می باشد که این فشار می تواند موجب بروز مشکلات و حتی کاهش سرعت سرور شود. برای کاهش این فشارها می توان از تست جعبه سیاه یا تست جعبه خاکستری (Gray Box Testing Strategy) استفاده نمود.
انواع تست نفوذ یا Penetration Test
- تست شفاف
- تست جعبه سیاه
- تست جعبه خاکستری(Gray Box Testing Strategy)
در تست جعبه سیاه، تست کننده هیچ گونه اطلاعاتی در مورد سیستم ندارد اما در تست شفاف، تست کننده مشخصات کامل سیستم را در دست داشته و حملات شبیه سازی شده را انجام می دهد. در تست جعبه خاکستری هم تست کننده تنها برخی از اطلاعات سیستم را در دست دارد که اطلاعات جامعی نیست.
تست نفوذ یا Penetration test بر اساس میزان حساسیت و امنیت سیستم ها صورت می گیرد. اگر به دنبال امنیت بسیار زیاد برای سیستم خود هستید باید Test شفاف را انجام دهید اما اگر امنیت سیستم اهمیت کمتری دارد، تست جعبه سیاه یا تست جعبه خاکستری کفایت می کند.
در آخر باید بگوییم که تست نفوذ بایستی با هماهنگی صاحب سیستم و به صورت برنامه ریزی شده باشد در غیر این صورت می تواند مشکل ساز شود، چون ممکن است تجهیزات و یا سیستم شبکه در حین انجام تست دچار مشکل شده و از کار بیفتند، از این رو لازم است که کارمندان را پیش از انجام تست در جریان عملیات قرار دهیم.