تست نفوذ (Penetration test) یک فرآیند سیستماتیک و برنامه ریزی می باشد که آسیب پذیری ها و حفره های امنیتی سرور، شبکه و منابع و برنامه های متصل به آن را از طریق شبیه سازی یک حمله هکرhacker، بررسی می نماید.
حال که تمام اطلاعات و اسناد شرکت ها و ارگان های مهم، سیستمی شده و روی شبکه قرار دارد. حتی اگر برای یک لحظه شبکه مورد نفوذ و حمله هکر ها شود، کل اسناد و اعتبارات و موارد محرمانه، مورد نفوذ شده و مشکل ساز می گردد. همچنین نیاز داریم تا هر از گاهی میزان نفوذ پذیری شبکه و هر آن چه مربوط به آن می باشد، از قبیل تمام سیستم و سرور هایی که از شرکت آرسس پارت تهیه شده ، نرم افزارها و سرویس های نصب شده روی آن را برای یافتن مشکلات امنیتی بررسی کنیم تا سور پرایز نشویم.
(Penetration test)یک فرآیند سیستماتیک و برنامه ریزی شده است که آسیب پذیری ها و حفره های امنیتی سرور، شبکه و منابع و برنامه های متصل به آن را از طریق شبیه سازی یک حمله هکر، چک می کند. به صورتی که test نفوذ می تواند با استفاده از منابع داخلی مثل سیستم امنیتی میزبان و یا منابع خارجی، کنترل و سازماندهی شود. بنابراین از این تست که حمله شبیه سازی شده است، برای یافتن مشکلات و سنجش میزان امنیت سرور و شبکه های متصل به آن استفاده می شود.
در هر سازمان، هر سیستمی که برای استفاده عموم آماده شده است، قبل از شروع به کار، باید روی آن تست نفوذ پذیری (Penetration test) گردد تا بعدا دچار مشکل نشود. به عنوان مثال تمامی وب سایت ها، شبکه های بانکی، فایل سرور ها و خدمات دهندگان پست الکترونیک و در واقع همه سیستم هایی که به نوعی از طریق شبکه خدمات ارائه می دهند، باید تست نفوذ پذیری (Penetration test) روی آن انجام شود.
آیا تست نفوذ (Penetration test)خطراتی به همراه دارد؟
اگرچه تست نفوذ(Penetration test) بسیار کارآمد میباشدولی بعضی مواقع ممکن مخاطراتی داشته باشد . چرا که دادن اطلاعات به گروهی غیر قابل اطمینان برای انجام test، خود می تواند خطراتی به همراه خود بیاورد. چرا که همان گروه تست کننده خود می تواند عامل نفوذ شود. همچنین ایجاد فشار زیاد روی سیستم برای انجام test نفوذ، می تواند باعث مشکلات و حتی کند شدن سرور گردد. لذا برای کاهش این فشارها، می توان از test جعبه سیاه یا Gray Box Testing Strategy) استفاده میشود.
انواع تست نفوذ (Penetration test)
test شفاف
test جعبه سیاه
test جعبه خاکستری(Gray Box Testing Strategy)
در test جعبه سیاه، تست کننده هیچ گونه اطلاعات قبلی در مورد سیستم را دارا نمی باشد و به تست می انجامد. اما در test شفاف، تست کننده مشخصات کامل و اطلاعات جامعی از سیستم را دارا ست و بر اساس آن حمله شبیه سازی شده را انجام میگردد و در تست جعبه خاکستری تست کننده تنها به برخی اطلاعات دسترسی دارد و دارای اطلاعات جامعی نیست.
با توجه به نوع حساسیت سیستم ها و مراتب امنیت آنها، باید test صورت پذیرد. در صورتی که امنیت بسیار بالایی را می خواهیم حفظ کنیم، باید testشفاف انجام گرددو اگر سیستم و امنیت آن از اهمیت کمتری برخوردار می باشد، تست جعبه خاکستری و جعبه سیاه کافی است . در واقع test نفوذ باید به صورت برنامه ریزی شده و با هماهنگی قبلی با صاحب آن سیستم انجام گردد و نمی تواند یک اقدام هماهنگ نشده باشد چرا که ممکن است حین انجام test، برخی تجهیزات یا سیستم شبکه از کار بیفتد. بنابراین کارمندان می بایست از قبل در جریان گیرند .