مجله اینترنتی تخصصی نرم افزار

آشنایی کوتاه با استانداردهای تست نفوذ

امنیت
زمان مطالعه: 7 دقیقه

سالانه نقض اطلاعات و حریم خصوصی کاربران، ضررهای مالی و اعتباری هنگفتی به سازمان‌ها وارد می‌کند، که نیمی از این حوادث ناشی از وقوع حملات سایبری است.

شرکت‌ها با انجام تست نفوذ (آزمون نفوذ)، می‌توانند از نقض اطلاعات ناشی از حملات سایبری جلوگیری نمایند. زیرا پروژه های تست نفوذ شامل شبیه‌سازی حمله در کنار اجرای تکنیک‌های دیگر است. تست نفوذ که با عناوین “Penetration testing” و یا “Pentest” هم شناخته می‌شود، به مشاغل اجازه شناسایی آسیب‌پذیری‌های موجود در زیرساخت‌های فناوری اطلاعات خود را می‌دهد.

معرفی و بررسی پرکاربردترین استانداردهای تست نفوذ

Pentester های حرفه‌ای از روش‌ و استاندارهای تست نفوذ تایید شده، به منظور کشف آسیب پذیری‌ها بهره می‌گیرند که پنج مورد از محبوب ترین و شناخته شده‌ترین آن‌ها عبارت اند از:

  • OSSTMM
  • OWASP
  • NIST
  • ISSAF
  • PTES

برای انجام یک پروژه Pentest، هر کدام از این موارد به تنهایی کافی است ولی شرکت‌های باتجربه معمولا ترجیح می‌دهند از چندین استاندارد به صورت همزمان استفاده کنند. انتخاب دقیق این استاندارد‌ها به ویژگی‌ها و مشخصات شرکت مورد بحث، بستگی دارد.

برای دریافت مشاوره از متخصصان امنیتی ما می‌توانید از این صفحه دیدن فرمایید.

در ادامه نگاهی دقیق‌تر به هر یک از این 5 استاندارد خواهیم انداخت.

OSSTMM

استانداردهای تست نفوذ

OSSTMM مختصر Open Source Security Testing Methodology Manual توسط شرکت ISECOM، برای اولین بار در سال 2001 ارائه شد.

فریم‌ورک OSSTMM یکی از شناخته شده‌‌ترین استاندارد‌های تست‌ نفوذ می‌باشد. این استاندارد یک روش علمی برای آزمون نفوذ به شبکه و ارزیابی آسیب‌پذیری را ارائه می‌دهد که شامل یک راهنمای جامع برای Pentester ها به منظور شناسایی آسیب‌پذیری‌های امنیتی درون یک شبکه (و اجزای آن) از زوایای مختلف می‌باشد. این روش بر دانش و تجربه آزمون‌گیرنده نفوذ (Penetration Tester) و همچنین هوش انسانی برای تفسیر آسیب‌پذیری های شناسایی شده، متکی است.

متدولوژی OSSTMM برخلاف اکثر راهنمایان امنیتی، خصوصا برای پشتیبانی از تیم‌های توسعه شبکه نیز ایجاد گردیده و اکثر توسعه‌دهندگان و تیم‌های فناوری اطلاعات، فایروال‌ها و شبکات خود را براساس دستورالعمل‌های این استاندارد پایه‌گذاری می‌کنند. این درحالی است که این دفترچه راهنما از هیچ پروتکل و یا نرم افزار خاصی پشتیبانی نکرده و قادر به ارائه بهترین روش‌ها و مراحل، برای اطمینان از امنیت شبکه شما است.

این دفترچه راهنما برای تکمیل فرایند تست نفوذ، از 6 ماژول بهره می‌گیرد. که عبارت اند از:

  • information security (امنیت اطلاعات)
  • Process Security (امنیت فرآیند)
  • Internet technology Security (امنیت فناوری اطلاعات)
  • Communication Security (امنیت ارتباطات)
  • Wireless Security (امنیت بی‌سیم)
  • Physical Security (امنیت فیزیکی)

ماژول‌ها طوری ارائه شده‌اند که هر ماژول می‌تواند همه‌ی ابعاد امنیتی بخش مربوطه را پوشش دهند.

OSSTMM که می‌توان آن را به فارسی “کتابچه راهنمای مدتولوژی تست‌نفوذ منبع‌باز” نامید، به آزمایش‌کنندگان اجازه می دهد تا ارزیابی خود را متناسب با نیازهای خاص شرکت شما، سفارشی کنند.

با استفاده از این استاندارد، شما یک نمای دقیق از امنیت سایبری شبکه خود خواهید داشت. همچنین قادر خواهید بود راه حل‌های قابل اعتماد متناسب با تکنولوژی های استفاده شده در شبکه خود، داشته باشید و از این طریق به ذینفعان ایمن‌سازی شبکه‌های خود کمک کنید.

OWASP

استانداردهای تست نفوذ

OWASP مختصر Open Web Application Security Project شناخته شده‌ترین استاندارد برای همه مسائل مربوط به امنیت یک برنامه کاربردی می‌باشد. این متدولوژی که توسط یک جامعه ماهر ارائه شده، به سازمان‌های بیشماری کمک کرده تا آسیب‌پذیری‌های برنامه خود را مهار کنند. این روش نه تنها قادر به کشف آسیب پذیری‌های وب و موبایل می‌باشد، بلکه می‌تواند اشکالات منطقی و پیچیده‌ای را که از شیوه‌های توسعه ناامن ناشی می‌شود، شناسایی کند.

یکی از اهداف اصلی این استاندارد تمرکز بر روی “چیستی‌ها” به جای “چگونگی‌ها” است. در نسخ پیشین این استاندارد مشاهده می‌شد که واژگانی مانند پویش پویا، تحلیل ایستا، مدل سازی تهدید و بازبینی طراحی مورد استفاده قرار می‌گرفت که در نسخه های بعدی از این عبارات بهره گرفته شد.

آخرین نسخه این راهنما، دستورالعمل های جامعی را برای هر متد آزمایش نفوذ ارائه می‌دهد. این راهنمایی‌ها به آزمایش‌کننده این امکان را می‌دهد که توانایی کشف آسیب پذیری در طیف گسترده‌ای از برنامه‌ها با کاربرد‌های امروزی داشته باشد.

به کمک این متدولوژی، سازمان‌‌ها به خوبی می‌توانند برنامه‌های خود را (چه موبایل، چه وب)، در برابر اشتباهات متداولی که می‌تواند تاثیر‌های حاد روی تجارت آن‌ها داشته باشد، ایمن کند. OWASP برای هر پلتفرم مورد نیاز، راهنماهایی مجزا ارائه می‌دهد برای مثال راهنمای WSTG (در نسخ قبلی با نام OTG شناخته می‌شد) مختصر Web security Testing Guide، راهنمایی برای انجام آزمون نفوذ‌پذیری در برنامه‌های تحت وب می‌باشد. و یا برای مثال MSTG مختصر Mobile Security Testing Guide به منظور ارائه راهنما برای انجام آزمون نفوذ‌پذیری در برنامه های موبایل، ارائه شده است.

مطلب OWASP Top 10 را بخوانید تا با یکی از اسناد OWASP آشنایی پیدا کنید.

در طول ارزیابی امنیتی برنامه کاربردی، باید اطمینان حاصل کنید که استاندارد OWASP مورد استفاده قرار می‌گیرد تا هیچ آسیب پذیری‌ای پشت‌سر گذاشته نشود. بدین گونه سازمان شما توصیه هایی واقع‌بینانه، مطابق با فناوری‌های مورد استفاده قرار گرفته، دریافت خواهد کرد.

NIST

استانداردهای تست نفوذ

NIST مختصر National Institute of Standards and Technology که برای تضمین امنیت اطلاعات در صنایع مختلف با هدف‌گیری به آن صنعت (از جمله بانکداری، ارتباطات و انرژی) راهنمای کاملی در راستای ایمن سازی اطلاعات می‌باشد. شرکت های بزرگ و کوچک می‌توانند از این استانداردها با توجه به نیاز خود استفاده نمایند.

برای اجرای استانداردهای NIST، شرکت‌ها از طریق دستورالعمل‌های از پیش تعیین شده، آزمون نفوذ را در برنامه و شبکه های خود انجام می‌دهند.

فناوری‌ و راهنمایی‌های فنی ارائه شده در سند راهنمای این استاندارد، سازمان ها را قادر می‌سازد:

  • تعیین و تنظیم سیاست‌های ارزیابی امنیت اطلاعات، متدولوژی‌ها و نقش‌ها (roles)
  • برنامه‌ریزی‌های دقیق برای technical information security assessment (ارزیابی فنی امنیت اطلاعات). شما قادر خواهید بود، با استفاده از روش‌ها و تکنیک های ارائه شده، انجام ارزیابی فنی امنیت اطلاعات را به طور ایمن و موثر انجام دهید تا به راحتی، هرگونه حادثه احتمالی که ممکن است در طول ارزیابی رخ دهد را پاسخ دهید.
  • مدیریت داده به صورت مناسب (جمع آوری، ذخیره‌سازی، انتقال و تخریب) در طول فرایند ارزیابی.
  • گزارش‌دهی و انجام تجزیه و تحلیل به منظور تبدیل یافته‌های فنی به اقداماتی در راستای کاهش خطر به منظور بهبود وضعیت سازمان

این استاندارد فناوری اطلاعات آمریکایی، با تضمین انجام تعهدات، توسط شرکت‌ها در زمینه ارزیابی امنیت سایبری، خطرات احتمالی حملات را به هر طریق ممکنه کاهش می‌دهد و این کار را از طریق راهنمایی، در راستای شناسایی جنبه‌های فنی و اساسی ارزیابی امنیت اطلاعات انجام می‌دهد.

PTES

ptes

PTES مختصر Penetration Testing Methodologies and Standards که اولین بار در سال 2009 ارائه شد مهم‌ترین و اصلی‌ترین رویکردها را برای انجام تست نفوذ ارائه می‌دهد. این استاندارد، Pentester ها را در مراحل مختلف یک آزمایش‌ نفوذ شامل initial communication (ارتباط اولیه)، gathering information (جمع آوری اطلاعات) و  همچنین مرحله مدل سازی تهدید، راهنمایی می‌کند.

در انجام این استاندارد تست‌نفوذ، pentester ها قبل از تمرکز برای بهره برداری از مناطقی که به طور بالقوه آسیب پذیراند، خود را با سازمان و تکنولوژی های مورد استفاده آشنا می‌کنند. این موضوع به آن‌ها امکان کشف و پیاده‌سازی پیشرفته‌ترین سناریوهای نفوذ را می‌دهد.

دستورالعمل‌های این استاندارد به شش بخش تقسیم می‌شود که عبارت‌اند از:

  • ابزار مورد نیاز
  • جمع آوری اطلاعات
  • تجزیه و تحلیل آسیب پذیری
  • بهره‌ برداری (Exploitation)
  • پس بهره‌ برداری (Post Exploitation)
  • گزارش نویسی

هفت مرحله این استاندارد تست‌نفوذ، تضمین‌کننده یک تست نفوذ موفق است. PTES راهکار ها و توصیه‌های عملی را ارائه می‌دهد که شما و مدیرانتان می‌توانید برای تصمیم‌گیری‌های خود به آن‌ها اعتماد کنید.

ISSAF

استانداردهای تست نفوذ

ISSAF مختصر Information System Security Assessment Framework شامل یک رویکرد ساختار یافته‌تر از مورد قبلی می‌باشد. در صورتی که سازمان شما در وضعیتی منحصر به فرد و با ویژگی‌هایی خاص قرار دارد و مستلزم اجرای یک متدولوژی پیشرفته، متناسب با ساختار سازمان شما است، این دفترچه راهنما می‌تواند برای گیرنده‌ آزمون نفوذ یا پن تستر شما مفید باشد.

این استاندارد یک آزمایش‌کننده را قادر می‌سازد که تمامی مراحل تست نفوذ، از برنامه‌ریزی و ارزیابی تا گزارش و تخریب را با دقت برنامه‌ریزی و مستند‌سازی کند.

Pentester هایی که معمولا از ترکیب چندین ابزار استفاده می‌کنند ISSAF را، استاندارد کاملی می‌دانند. چرا که در این استاندارد می‌توانند در هر مرحله از یک ابزار خاص استفاده نمایند.

بخش ارزیابی، که جزئیات بیشتری دارد، بخش قابل توجهی از رویه را اداره می‌کند. برای هر قسمت آسیب‌پذیر سیستم شما، ISSAF اطلاعاتی تکمیلی از آسیب‌پذیری، انواع روش های حمله و  همچنین نتابج احتمالی در هنگام سوءاستفاده از این حمله را گزارش می‌دهد.

ISSAF در کنار این موضوعات از چندین بخش به منظور پيشبرد پروسه‌هاي امنيتي، بررسي و محكم سازي بهره می‌گیرد. اطلاعات در ISSAF بر اساس معيارها و محدوده هاي بررسي متفاوتی تقسیم‌بندی می‌شود. این بخش ها خود شامل بخش های زیر می‌باشند:

  • اهداف و آرمان‌ها
  • شرايط لازم براي انجام بررسي
  • مراحل و فرایند بررسی
  • عناوین نتايج مورد انتظار
  • پيشنهاد روش رفع و مقابله
  • افزودن ارجاعات به منابع خارجی

آزمون‌گیرنده‌ها ممکن است، اطلاعاتی در مورد ابزارهایی پیدا کنند که مهاجمان واقعی، در هنگام هدف قراردادن قربانیان استفاده می‌کنند و تمامی این اطلاعات برای برنامه‌ریزی و اجرای حمله‌ی پیشرفته مورد نیاز می‌‍‌باشد.

تمامی این‌ها باعث می‌شود که ISSAF بازگشت سرمایه خوبی را برای شرکت‌هایی که به دنبال حفاظت از سیستم‌های خود در برابر حملات سایبری اند، تضمین کند.

جمع‌بندی نهایی

با تکامل تهدیدها و فن‌آوری‌های نفوذ در صنایع مختلف، شرکت‌ها باید رویکرد آزمایش‌های امنیت سایبری خود را بهبود بخشند تا از آخرین فناوری‌ها و سناریو های حمله مطلع شوند.

اجرای تست‌نفوذ براساس این استانداردها و نصب فریم‌ورک‌های امنیتی گامی است در این راستا. این روش‌ها و استانداردهای تست‌نفوذ، معیاری عالی برای ارزیابی سطح امنیت سایبری شما است. این استانداردها توصیه‌هایی را متناسب با تکنولوژی‌های بکار رفته در برنامه کاربردی شما می‌دهند تا بتوانید خود را در برابر هکرها محافظت کنید.

منبع Isecom OWASP vumetric
شهریار شریفی

کارشناس امنیت سایبری و تست نفوذ پذیری، محقق و علاقمند به بخش وب اپلیکیشن.
امید دارم در این مسیر با تولید محتوا در راستای کمک به تقویت سواد عمومی، قدمی رو به جلو بردارم.

مطالب مشابه
کسب و کار الکترونیک

تکنیک‌ها و ابزارهای تحلیل فرآیند کسب و کار در سال 2024

کسب و کار الکترونیک

با روش های تحلیل فرآیند کسب و کار آشنا شویم

کسب و کار الکترونیک

صفر تا صد تجزیه و تحلیل فرآیند کسب و کار (BPA)

کسب و کار الکترونیک

7 مرحله برای ساخت خلاصه محصول

ارسال نظر

آدرس ایمیل شما منتشر نخواهد شد.