فرآیند تست نفوذ پذیری ( Penetration Testing ) و یا ارزیابی امنیتی در واقع یک راه پیشگیری قبل از درمان است که به طبع هزینه پیشگیری بسیار پایین تر از درمان می باشد.
یک مجموعه یا سازمان با انجام این آزمون بطور واضح از تمامی نقاط ضعف و قدرت خود مطلع میگردد و می تواند طی یک برنامه ریزی مدون نقاط ضعف خود را پیش از آن که مورد سوء استفاده مهاجم قرار گیرد و باعث ایجاد خسارت های سنگین و در برخی مواقع جبران ناپذیر شود، برطرف نماید. از طرفی انجام عملیات پویش آسیب پذیری ها و تست نفوذپذیری به عنوان یک الزام در بسیاری از استانداردهای امنیت اطلاعات نظیر ISO 27001 آورده شده است به طوری که کسب گواهینامه ISMS منوط به آن است. (برای اطلاعات بیشتر در این خصوص به مقاله تست نفوذپذیری یا پویش آسیب پذیری فنی؛ کدامیک الزام سیستم مدیریت امنیت اطلاعات است؟ رجوع شود)
براساس برخی تصورات اشتباه و رایج مهاجم همیشه یک عامل بیرونی نیست، بلکه میتواند یک عامل درون شبکه و یا فردی مجاز باشد که به قصد تخریب و یا سرقت اطلاعات اقدام به حمله کند که در این شرایط می تواند بسیار خطرناک تر از یک مهاجم خارجی باشد. به همین دلیل یک عملیات تست نفوذ بهینه زمانی انجام می شود که یک شبکه و یا سیستم اطلاعاتی از خارج و داخل بصورت هر دو روش جعبه سیاه و جعبه سفید (بر اساس میزان اطلاعات قابل دسترس برای تیم تست نفوذ قبل از انجام تست) بطور کامل بررسی شود. یعنی تیم تست نفوذ در تست به روش جعبه سیاه بدون داشتن اطلاعاتی از شبکه و بدون هیچ گونه دسترسی مجاز آزمون های نفوذپذیری را از بیرون و داخل شبکه انجام دهند. در مرحله بعد این آزمون با داشتن یک سطح دسترسی کاربر عادی از داخل و خارج شبکه مجددا انجام پذیرد. هر کدام از روش های جعبه سیاه، سفید و یا حتی خاکستری که همان طور که پیش تر به آنها اشاره شد، مبنای میزان اطلاعات مهاجم ازسیستم را نشان می دهند، در جایگاه خود دارای مقاصد، مزایا و معایب مختلفی هستند. به عنوان مثال در تست نفوذپذیری به روش جعبه سیاه، با تیم تست نفوذپذیری به عنوان یک کاربر عمومی (بدون هیچ گونه اطلاعات بیشتر) برخورد می شود، بدین ترتیب ممکن است زمان عملیات تست برای استخراج آسیب پذیری ها افزایش یابد، از طرفی در تست نفوذپذیری به روش جعبه سفید ممکن است بسیاری از کنترل های امنیتی بکارگرفته شده در زمان تست غیر فعال گردند و حتی اطلاعاتی خاص به تیم تست نفوذپذیری اعلام شود تا در کمترین زمان، آن دسته از آسیب پذیری هایی که ممکن است در تست به روش جعبه سیاه کشف نشوند، مورد توجه قرار گیرند.
پس از انجام آزمون نفوذ، در مرحله بعد شما می بایست براساس گزارش های تهیه شده توسط تیم ارزیاب اقدام به برطرف کردن آسیب پذیری ها و حفره های امنیتی در مجموعه خود کرده و پس از اتمام تیم تست نفوذ برای اطمینان از برطرف شدن حفره های امنیتی مجددا اقدام به تست نماید.
تنها در این صورت شما می توانید از انجام یک تست نفوذ با بالاترین سطح کیفی اطمینان حاصل کنید و از این موضوع آسوده خاطر باشید که شبکه شما تا سطح مناسبی از امنیت منطقی برخوردار میباشد. باید این نکته بسیارمهم را به عنوان یکی از اصول امنیتی در نظر داشت که همواره قوی ترین زنجیرها از ضعیف ترین حلقه قابل گسستن می باشند. شما هرچقدرهم که برای امنیت و شبکه خود امنیت منطقی و فیزیکی برقرار کنید اما برای کارمندان خود آموزش های امنیتی لازم (هم از منظر آگاهی رسانی امنیت و هم آموزش های تخصصی) را برگزار نکنید یک ریسک بالای نفوذ را برای مجموعه خود پذیرفته اید.
امروزه یکی از رایج ترین راه های نفوذ به سیستم ها از راه مهندسی اجتماعی صورت میگیرد. برای نفوذ به سیستم کافیست یک کارمند یک ایمیل را در سیستم خود باز نماید و یا یک فلش مموری بصورت هدفمند هنگام صبح و ورود کارمندان به مجموعه بر سر راه یک کارمند یا کارمندی خاص قرار گیرد. شما میتوانید تقریبا اطمینان داشته باشید که آن کارمند فلش مموری را به سیستم خود وصل خواهد کرد تا از محتویات آن آگاه شود. بسیاری از کارمندان و حتی مدیران در صورت نداشتن استانداردهای تعیین رمز عبور از رمزهای بسیار ساده نظیر تاریخ تولد، شماره ملی، نام اعضای خانواده و غیره استفاده میکنند و یا اگر شما از استانداردهای تعیین رمز عبور استفاده کرده باشید بدلیل درگیر نشدن با مشکلات ناشی از فراموشی کلمه عبور و یا راحتی کار، کلمات عبور را یادداشت میکنند که امکان دیده شدن و به سرقت رفتن آن بسیار بالا می باشد.
بنابراین شما پس از انجام یک تست نفوذ استاندارد، برای بالا بردن سطح امنیت مجموعه خود نیاز مبرم به بالا بردن دانش امنیتی افراد شاغل در مجموعه خود را دارید، تا بدین وسیله از تهدیدات ناشی از خطای نیروی انسانی ایمن بمانید.
با توجه به پیشرفت تکنولوژی و تلاش برای نفوذ به سیستم ها همه روزه تعداد افرادی که بخواهند با مقاصد مختلف به سیستم ها حمله کرده و نفوذ داشته باشند، بیشتر می شود. از همین رو روزانه به تعداد زیادی آسیب پذیری کشف شده و شرکت های سازنده نرم افزار و سیستم عامل اقدام به انتشار وصله های امنیتی کرده و شما باید از آنها استفاده نموده و همواره شبکه خود را بروز نگه دارید.
برای داشتن این اطمینان که شبکه شما به طور مستمر در برابر فضای مخاطره ای موجود تا حد مناسبی ایمن می باشد و با بروز آسیب پذیری های جدید و یا تغییرات در تنطیمات سیستم های مستقر دچار خلل نمی شود، شما نیازمند انجام تست نفوذ به صورت دوره ای خواهید بود. معمولا این دوره زمانی با توجه به حساسیت سیستم های مدنظر از 3 ماه و نهایتا تا 1 سال درنظر گرفته می شود تا بدینوسیله از اعمال کنترل های امنیتی اطمینان حاصل گردد.