در این مقاله به توضیح دو سرویس ارزیابی امنینی و تست نفوذ خواهیم پرداخت تا شما را برای
جستجوی بهتر هر یک از سرویس آماده نماییم.
* لازم به ذکر است که منظور از ارزیابی امنیتی همان ارزیابی آسیب پذیری (Vulnerability Assessment) می باشد.
ارزیابی امنیتی
ارزیابی امنیتی در نظر دارد آسیب پذیری ها را در یک شبکه شناسایی کند. از این تکنیک برای تخمین
میزان حساس بودن شبکه در برابر آسیب پذیری های مختلف استفاده می شود. ارزیابی امنیتی شامل
استفاده از ابزار های خودکار پویشگر شبکه می باشد، که نتایج را به صورت یک گزارش ارائه می دهد.
از آنجایی که یافته های موجود در گزارش ارزیابی امنیتی برای بهره بردای (Exploit) پشتیبانی نمی شود، ممکن
است برخی از آنها مثبت های کاذب (false/positive) باشند.
تکنیک موثر برای مشتری آینده نگر: یک گزارش ارزیابی امنیتی مرغوب باید شامل، عنوان، توضیحات و
شدت (بحرانی، خطرناک، متوسط وپایین) هر آسیب پذیری کشف شده باشد. بسیاری از ضعف های امنیتی
بحرانی و غیر بحرانی آن بسیار نگران کننده است، زیرا نمی دانید ابتدا بر روی کدامیک وصله امنیتی را اعمال
کنید.
تست نفوذ
برخلاف ارزیابی امنیتی، تست نفوذ شامل شناسایی آسیب پذیری ها در یک شبکه خاص و تلاش برای بهره برداری
آن ها، جهت نفوذ به سیستم می باشد. هدف از تست نفوذ برای تعیین اینکه آسیب پذیری تشخیص
داده شده واقعی است یا خیر. اگر یک تیم تست نفوذ موفق به بهره برداری از یک نقطه آسیب پذیر شود،
این امر را واقعی دانسته و در گزارش منعکس می کند. همچنین این گزارش به عنوان یافته های نظری
می تواند آسیب پذیری های غیر قابل بهره برداری را نشان دهد.
این یافته های نظری را با مثبت های کاذب اشتباه نگیرید. آسیب پذیری های نظری شبکه را تهدید می کنند، اما
بهره برداری از آنها ایده جالبی نمی باشد، زیرا این امر منجر به DoS خواهد شد.
تکنیک موثر دیگر برای مشتری آینده نگر: در مرحله اولیه، یک شرکت معتبر ارائه دهنده خدمات تست نفوذ از
ابزار های خودکار به صورت کم استفاده می کند. تحقیقات نشان می دهد که یک تست نفوذ دقیق، باید عمدتاً
دستی باشد.
در مرحله بهره برداری، تیم تست نفوذ تلاش می کند به شبکه هدف آسیب برساند ( سرور را از دسترس
خارج کند، نرم افزار های مخرب را روی آن نصب کند، بدون مجوز به سیستم دسترسی پیدا کند) اما ارزیابی
امنیتی شامل این مرحله نمی شود.
تفاوت میان ارزیابی امنیتی و تست نفوذ
تفاوت اول : وسعت در مقابل عمق
تفاوت اصلی بین ارزیابی امنیتی و تست نفوذ، میزان آسیب پذیری یعنی وسعت و عمق آن است.
ارزیابی امنیتی بر روی شناسایی هرچه بیشتر ضعف های امنیتی تمرکز دارد ( رویکرد وسعت) این امر
باید به طور منظم برای حفظ وضعیت امن شبکه بکار گرفته شود، به خصوص زمانی که تغییرات شبکه معرفی
می شوند (برای مثال تجهیزات جدید نصب شده، سرویس های افزوده شده، باز شدن پورت یا درگاه)،
همچنین، برای سازمان هایی که از نظر امنیتی بالغ نیستند و می خواهند همه ضعف های امنیتی احتمالی را
بدانند، رویکرد مناسبی خواهد بود.
تست نفوذ به نوبه خود، هنگامی که مشتری ادعا کند که سیستم های امنیتی شبکه قوی هستند، ترجیح
داده می شود که در اینجا نفوذ پذیری بررسی می شود. (رویکرد عمق)
تفاوت دوم: درجه اتوماسیون
تفاوت دیگر که به دنبال تفاوت قبلی می آید، میزان اتوماسیون می باشد. ارزیابی امنیتی معمولاً خودکار
می باشد که امکان پوشش گسترده آسیب پذیری را فراهم می کند و تست نفوذ ترکیبی از تکنیک های
خودکار و دستی است که به شناسایی عمیق تر نقاط ضعف کمک می کند که در تست نفوذ از پویشگر های خودکار
نسبت به ارزیابی امنیتی، کمتر استفاده می شود و جهت بالا بردن سرعت و کارایی تست نفوذ استفاده می شود.
تفاوت سوم: انتخاب حرفه ای ها
تفاوت سوم در انتخاب متخصصان برای انجام تکنیک های امنیتی، نهفته است. آزمایش خودکار، که به طور
گسترده در ارزیابی امنیتی مورد استفاده قرار می گیرد، به مهارت های زیادی احتیاج ندارد، بنابراین می تواند
توسط اعضای بخش امنیتی انجام شود. با این حال کارمندان امنیتی شرکت ممکن است برخی از آسیب
پذیری هایی را پیدا کنند که قادر path کردن آسیب پذیری ها نباشند و آن ها را در گزارش ذکر نکنند. بنابراین
در این حالت یک ارائه دهنده سرویس ارزیابی امنیتی ممکن است بهتر ظاهر شود.
تست نفوذ به نوبه خود به سطح قابل توجهی از تخصص ( به عنوان آزمایش دستی) نیاز دارد و این مسئولیت
خطیر همیشه باید به یک ارائه دهنده خدمات تست نفوذ محول شود.
تفاوت میان ارزیابی امنیتی و تست نفوذ در یک نگاه
پرسشنامه زیر، تفاوت های میان این دو سرویس را به صورت اجمالی نشان می دهد:
چه مدت یک بار باید سرویس انجام شود؟
ارزیابی امنیتی: یکبار در ماه، بعلاوه زمانی که تغییراتی در شبکه اعمال شود.
تست نفوذ: حداقل هر سال یکبار
گزارش چیست؟
ارزیابی امنیتی: لیستی جامع از آسیب پذیری ها که می تواند موارد مثبت های کاذب باشد.
تست نفوذ: یک مستند که شامل لیستی از آسیب پذیری های بهره برداری شده می باشد که در مقاله گزارش تست نفوذ به تشریح آن پرداخته شده است.
چه کسی سرویس را انجام می دهد؟
ارزیابی امنیتی: کارمندان امنیتی داخل شرکت یا یک ارائه دهنده سرویس ارزیابی امنیتی
تست نفوذ: ارائه دهنده سرویس های تست نفوذ.
ارزش سرویس ها چه میزان می باشد؟
ارزیابی امنیتی: طیف گسترده ای از آسیب پذیری های احتمالی.
تست نفوذ: آسیب پذیری های قابل بهره برداری.
منبع خبر: