تست نفوذپذیری یا آزمون نفوذ (به انگلیسی: Penetration test) روشی برای محاسبه تخمین میزان سکیوریتی یک کامپیوتر عموما سرور یا یک شبکه است که با شبیهسازی نفوذ یک حملهکننده (Hacker) انجام میگیرد. تو این روش نفوذ پذیری تمامی آزمایش ها و مشکلات برای کشف حفره های امنیتی تست میشود و سرانجام اقدام به رفع میکند.
تست نفوذ پذیری (Penetration Test)
در حوزه امنیت فضای تبادل اطلاعات به دلیل وجود راههای مختلف برای انتقال اطلاعات حیاتی و مهم کاربران در زمینههای مختلف نظیر اطلاعات مهم افراد بر روی موبایل آنها، همچنین دادهها و اسرار مهم سازمانها بر روی اینترنت، امنیت برنامههای كاربردی، شبکههای موجود در سازمانها، زیرساختهای شبکه و تجهیزات ذخیرهسازی اطلاعات از اهمیت ویژهای برخوردار شده است چرا كه وجود آسیب پذیری در هر حوزهای میتواند منجر به دور زدن تمامی مكانیزمهای امنیتی (فایروالها، سیستمهای جلوگیری و تشخیص از نفوذ) شود.
یک نفوذگر با استفاده از یک آسیب پذیری، پس از طراحی سناریوهای سلسله مراتبی و بالا بردن سطوح دسترسی میتواند مکانیزمهای قوی امنیتی را دور زده و تهدیدات جدی را برای اطلاعات حساس و بعضاً شبکههای داخلی و شبکه بیسیم و دادههای مبادله شده از این طریق در سازمانها ایجاد نماید.
اگرچه راههای گوناگونی برای امن سازی وجود دارد اما بهترین روش پس از ارزیابی حفرههای امنیتی حاصل میشود و در انتهای این روند میبایست تمهیدات لازم برای از بین بردن این ضعفها اجرا شود.
گروه تست نفوذ امن شبکه در قالب چارچوب های استاندارد موجود، اقدام به انجام آزمون نفوذ بر روی برنامه های کاربردی، زیرساختهای شبکه، تجهیزات ذخیرهسازی اطلاعات و… نموده و با ارائه گزارش مخاطرات کشف شده و راهکارهای برطرف سازی آنها نسبت به امن سازی زیرساخت های اطلاعاتی اقدام مینماید.
رویکرد یا رویداد آزمون نفوذ
تست نفوذ به روشهای متفاوتی قابل انجام است. بیشترین تفاوت میان این روشها، در میزان اطلاعات مرتبط با جزییات پیادهسازی سیستم در حال تست میباشد که در اختیار تیم تست نفوذ قرار داده میشود. با توجه به این موضوع تست نفوذ را میتوان به چهار دسته Covert،Black-Box ، White – Box و Gray-Box ، تقسیم نمود.
Black-Box
تست Black-Box ( جعبه سیاه ) با فرض فقدان دانش قبلی از زیر ساختهایی است که قرار است مورد تست قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا مکان و گستره سیستمها را بطور دقیق مشخص کنند. تست Black-Box در واقع شبیهسازی کردن حملهای است که توسط نفوذگری انجام میشود که در ابتدا با سیستم آشنایی ندارد.
White-Box
تست White-Box ( جعبه سفید یا تست شفاف ) اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور،در اختیار تیم ارزیابی امنیتی قرار میگیرد. تست White-Box حملهای را شبیه سازی میکند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. تست White-Box دارای گستردگی وسیعی میباشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیبپذیریهایی که تا کنون از دید برنامه نویسان مخفی مانده است، میباشد.
Gray-Box
روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار میگیرند که معمولا از آنها به تست های Gray-Box ( جعبه خاکستری )تعبیر میشود.
Covert
این نوع تست که به تست نفوذ double-blind نیز مشهور است اشاره به زمانی دارد که تقریباً هیچکس از جمله افراد متخصص امنیت شبکه در شرکت مورد هدف اطلاعی از این حملهی کنترل شده ندارند. در این نوع تست نفوذ بسیار اهمیت دارد که متخصصین امنیت اجراکنندهی تست اطلاعاتی پایهای دربارهی موضوع داشته باشند که از مشکلات قانونی جلوگیری شود.
تست نفوذ External و Internal
به انواع تستهایی اطلاق میشود که در خارج از محدوده سازمانی که قرار است مورد تست نفوذ قرار بگیرد، انجام میشود
در واقع سناریویی را بررسی میکند که مهاجم با دسترسی داشتن به منابع مورد نیاز خود، از جمله آدرس های IP که از سازمان مورد نظر در اختیار دارد و یا با در اختیار داشتن کد منبع نرم افزارهایی که در سازمان استفاده میشوند و در اینترنت موجود می باشند اقدام به پویش و کشف آسیبپذیری نماید.
Internal
در حوزه مکانی آن سازمان و در میان افرادی که آن سازمان فعالیت میکنند انجام میشود.
سناریویی بررسی میشود که مهاجم به هر طریق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوری داده های مورد نظر اقدام به حمله میکند. با ورود به محدوده مکانی یک سازمان مهاجم می تواند سناریوهای مختلفی را پیاده سازی نماید. برای نمونه با استفاده از شبکه بیسیم داخلی و بررسی دادههای به اشتراک گذاشته شده که می تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلی برای مهاجم سادهتر خواهد شد.
در آخر امن شبکه مشاور و کمک کننده خوبی برای تست نفوذ پذیری می باشد.