تست نفوذ، مدیریت سطح حمله خارجی و مدیریت رخنه‌ها

یک کارشناس امنیت برای موفقیت در کار باید به چه نکاتی دقت کند؟

16/12/1401 - 12:20

امروزه در دنیای سایبری، هکرها پیوسته در حال به‌روزرسانی دانش خود درباره آسیب‌پذیری‌ها و تکنیک‌هایی هستند که شرکت‌ها و کارشناسان امنیتی برای مقابله با تهدیدات از آن‌ها استفاده می‌کنند. با توجه به حمله‌های سیل‌آسای هکرها به زیرساخت‌ها و شبکه‌های سازمانی، رخنه‌های اطلاعاتی، کلاهبرداری‌های دیجیتال و حمله‌های باج‌افزاری، حفظ امنیت سایبری زیرساخت‌ها کار چندان ساده‌ای نیست. به‌طوری‌که در برخی موارد، کارشناسان امنیتی از شغل خود استعفا می‌دهند و به سراغ کار دیگری می‌روند، زیرا در صورت بروز یک حمله موفقیت‌آمیز، اولین بخش سازمان که نکوهش شده و بازخواست می‌شود، بخش امنیت و در ادامه شبکه است. برای رفع این مخاطرات، قبل از هر چیز باید با اصول اولیه و مهم امنیت سایبری آشنا شویم تا بتوانیم راه‌حل‌ها را به‌دقت ارزیابی کنیم. همچنین، باید به دنبال استفاده از راهکارها و تکنیک‌هایی باشیم که بهترین نتایج را ارائه می‌کنند. آسیب‌پذیری، تهدید، ریسک و تدابیر امنیتی، از اصطلاحات مهم امنیت سایبری هستند که هر کارشناس امنیتی باید در مورد آن‌ها اطلاع داشته باشد. بنابراین، اگر به دنبال ورود به دنیای امنیت هستید، پیشنهاد می‌کنم این شماره مجله و این مقاله را به‌عنوان راهنما نزد خود نگه دارید، زیرا قرار است به نکات مهمی در حوزه امنیت سایبری اشاره کنیم.

آشنایی با مفاهیم پایه

یکی از اولین مفاهیمی که یک کارشناس امنیت سایبری باید در مورد آن اطلاع دقیقی داشته باشد، «آسیب‌پذیری» (Vulnerability) است. آسیب‌پذیری به نقطه ضعفی اشاره دارد که هکرها می‌توانند از آن برای دسترسی غیرمجاز به دارایی‌های دیجیتال یک سازمان یا کاربران عادی استفاده کنند. هکرها با این دسترسی می‌توانند کدهای مخرب را اجرا کنند، بدافزارها را نصب کنند، داده‌ها را تحریف کنند یا داده‌های حساس را سرقت کنند. در مورد آسیب‌پذیری نکته ظریفی وجود دارد؛ در بیشتر موارد، آسیب‌پذیری‌ها در اصل درهای پشتی هستند که برنامه‌نویسان و شرکت‌های نرم‌افزاری برای انجام تغییرات ضروری یا مدنظر خود در نرم‌افزارها قرار می‌دهند. با این‌حال، گاهی‌اوقات هکرها موفق می‌شوند این درهای پشتی را شناسایی کرده و به سوء‌استفاده از آن‌ها بپرداند. بنابراین، به‌عنوان یک کارشناس امنیتی باید روزانه گزارش‌های منتشرشده درباره آسیب‌پذیری‌های مهم را بررسی کنید تا اگر وصله‌ای برای نرم‌افزاری که سازمان از آن استفاده می‌کند منتشر شد، آن ‌را دانلود کرده و پس از بررسی و انجام ارزیابی‌های فنی آن ‌را نصب کنید.

مطلب پیشنهادی

انواع مختلف تهدیدات امنیت سایبری

امنیت سایبری چیست ؟

دومین اصطلاح مهم دنیای امنیت، «تهدید» (Threat) است. تهدید در ساده‌ترین تعریف، به فعالیت یا مجموعه فعالیت‌های مخربی اشاره دارد که از آسیب‌پذیری‌ها برای آسیب رساندن، افشا یا سرقت داده‌های حساس یا اختلال در دسترسی به دارایی‌های دیجیتال سوءاستفاده می‌کند. تهدیدها به درجات مختلفی تقسیم می‌شوند، اما همه آن‌ها برای سازمان خطر جدی به‌شمار نمی‌روند. به‌طور مثال، هشداری که سیستم‌عامل ویندوز مبنی بر به‌روزرسانی یا عدم نصب وان‌درایو ارائه می‌کند، در صورتی که از این زیرساخت ابری استفاده نمی‌کنید، مشکل خاصی برای شما به‌وجود نمی‌آورد.

سومین مفهوم مهم در حوزه امنیت، «مخاطره» (Risk) است. مخاطره به احتمال وقوع آسیب یا ضرر در صورت بهره‌برداری از یک آسیب‌پذیری توسط هکرها اشاره دارد. علاوه بر این، مخاطره به‌عنوان حاصل ضرب تاثیر و امکان‌پذیری هم تعریف می‌شود.

«تدابیر امنیتی» (Security Measures) یا به عبارت دقیق‌تر، کنترل‌های امنیتی، راهکارهای مورد استفاده برای کاهش مخاطره‌ها هستند که دارایی‌های دیجیتال سازمان را نشانه می‌روند. کارشناسان امنیتی و مدیران بخش امنیت سازمان برای ایمن‌سازی فضای سایبری و کاهش مخاطره‌ها باید از روش‌ها و ابزارهای امنیتی مختلفی استفاده کنند تا سطح تهدیدات را به پایین‌ترین میزان ممکن برسانند. اکنون که اطلاعات کلی درباره مفاهیم کلیدی دنیای امنیت به‌دست آوردیم، وقت آن رسیده با مفاهیم پیشرفته‌تر در این زمینه، یعنی مدیریت آسیب‌پذیری (Vulnerability Management)، تست نفوذ (Penetration Testing) و مدیریت سطح حمله خارجی (External Attack Surface Management) آشنا شویم. سپس شباهت‌ها، تفاوت‌ها و راهکارهایی را که ارائه می‌کنند بررسی کنیم.

مدیریت آسیب‌پذیری چیست؟

فرآیند مدیریت آسیب‌پذیری به‌شکل مستمر و به‌منظور شناسایی، ارزیابی، اولویت‌بندی، مدیریت و کاهش تاثیر آسیب‌پذیری‌های امنیتی به مرحله اجرا گذاشته می‌شود. در فرآیند فوق، کارشناسان امنیت سایبری به‌شکل مستمر پویش آسیب‌پذیری‌ها را انجام می‌دهند تا آسیب‌پذیری‌های جدید را شناسایی کرده و برای رفع آن‌ها وصله‌های امنیتی و اقدامات لازم را انجام دهند. به‌طور معمول، کارشناسان امنیت سایبری برای اولویت‌بندی وصله‌های امنیتی از طرح‌های رتبه‌بندی آسیب‌پذیری مثل سیستم مشترک رتبه‌بندی آسیب‌پذیری CVSS سرنام Common Vulnerability Scoring System و محاسبه مخاطره (Risk Calculations) استفاده می‌کنند. در مدیریت آسیب‌پذیری، محدوده هر دارایی مشخص می‌شود و هیچ دارایی جدیدی فراتر از این محدوده قرار نمی‌گیرد. اصل مهمی که در این زمینه وجود دارد این است که باید از مجموعه آی‌پی‌های شناخته‌شده سازمان استفاده شود تا محدوده دارایی‌ها به بهترین شکل تعریف شود. در ادامه، مرحله شناسایی آسیب‌پذیری‌ها است که مانع از آن می‌شود تا هکرها موفق به بهره‌برداری از آسیب‌پذیری‌ها بپردازند. در این زمینه، به این نکته دقت کنید که ممکن است برخی از آسیب‌پذیری‌های شناسایی‌شده قابل بهره‌برداری نباشند، در نتیجه احتمال تشخیص مثبت کاذب وجود دارد که باید مدنظر قرار دهید. در مجموع، مدیریت آسیب‌پذیری قابلیت دید بلادرنگ را برای دارایی‌های ازقبل‌شناخته‌شده ایجاد می‌کند.

مطلب پیشنهادی

راهنمای گواهی‌نامه‌ها و دوره‌های آموزشی امنیت سایبری

تست نفوذ چیست؟

تست نفوذ به مجموعه‌ اقدامات در راستای شبیه‌سازی حمله‌ها برای تشخیص آسیب‌پذیری‌هایی اشاره دارد که امکان بهره‌برداری از آن‌ها توسط هکرها و دسترسی غیرمجاز به سیستم‌ها یا داده‌ها وجود دارد. این تست، در یک محدوده خاص و بر مبنای مجوزهایی مشخص و ازقبل‌هماهنگ‌شده با مدیریت سازمان اجرا می‌شود. مشابه مدیریت آسیب‌پذیری، تست نفوذ نیز حوزه و مجوزهای مشخصی دارد، اما محدوده‌ای که پوشش می‌دهد نسبت به مدیریت آسیب‌پذیری محدودتر است. به بیان دقیق‌تر، بر مبنای دانش قبلی موجود درباره سامانه یا سامانه‌هایی که قرار است آزمایش شوند، این تست طبقه‌بندی‌های مختلفی دارد که از مهم‌ترین آن‌ها باید به تست‌های جعبه سیاه، جعبه سفید و جعبه خاکستری اشاره کرد. در فرآیند آزمون جعبه سیاه، کارشناسان امنیتی هیچ اطلاعی درباره سامانه ندارند، اما در آزمون جعبه سفید اطلاعات دقیقی درباره سامانه‌ای که قرار است حمله هکری شبیه‌سازی‌شده به آن انجام شود، در اختیار کارشناسان امنیتی قرار می‌گیرد. سومین آزمون تاثیرگذار در این زمینه، جعبه خاکستری است. در آزمون مذکور ممکن است هکرها از قبل برخی دسترسی‌ها و امتیازها را داشته باشند. در تمامی این موارد، اجراکنندگان تست نفوذ سعی می‌کنند امنیت سیستم را با استفاده از ابزارها و تکنیک‌های مشابه آن‌چه هکرها در اختیار دارند، نقض کنند.

علاوه بر این، کارشناسان امنیتی ممکن است از ابزارهای خودکار یا دستی استفاده کنند. در هر سه آزمون، اجرا کنندگان تست نفوذ سعی می‌کنند به بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده بپردازند تا اطلاعات دقیقی درباره مسیرهای حمله به زیرساخت‌های سازمان را ترسیم کنند. از این‌رو، در روش مذکور، تشخیص مثبت کاذب در پایین‌ترین سطح قرار دارد. کارشناسان امنیت سایبری پیشنهاد می‌کنند تست نفوذ هر شش ماه تا یک سال تکرار شود تا دید بلادرنگی درباره سطح حمله به‌دست آید. در مجموع، تست نفوذ، عملکرد موثر سازوکارهای دفاعی را بررسی می‌کند و فرآیند مقابله با آسیب‌پذیری‌های شناخته‌شده و به‌روزرسانی خط‌مشی‌های امنیتی را دقیق‌تر می‌کند.

مدیریت سطح حمله خارجی

سطح حمله اشاره به هر ماهیتی دارد که هکرها می‌توانند در زمان تحقیق در اینترنت درباره هدف که همان سازمان است، کشف کنند و به بهره‌برداری از آن بپردازند. ما می‌توانیم با نقشه‌برداری فعالانه از ردپای دیجیتال، نظارت بر کانال‌های آنلاین برای تشخیص علائم حمله، خنثا‌سازی سریع تهدیدات شناخته‌شده، حفاظت از مشتریان، کارمندان و شبکه‌ها سطح حمله را کاهش دهیم.

مدیریت سطح حمله خارجی یک کار پیوسته است که مخاطره‌های موجود در دارایی‌های متصل به اینترنت را شناسایی و مدیریت می‌کند. در فرآیند مذکور، تمامی دارایی‌های شناخته‌ شده یا نشده در سازمان، محیط ابر، زیرمجموعه‌های شرکت، زنجیره تامین و شرکا از دید یک هکر و به‌شکل فراسازمانی بررسی می‌شوند. ذکر این نکته مهم است که کارشناسان امنیتی تنها با مشاهده تمامی دارایی‌های قابل مشاهده برای هکرها قادر به کاهش سطح حمله هستند. بر خلاف تست نفوذ و مدیریت آسیب‌پذیری، مدیریت سطح حمله خارجی منوط به شناسایی دقیق تمامی دستگاه‌های مستقر در شبکه سازمانی است. در این مرحله، کارشناسان امنیتی می‌توانند دستگاه‌های شناخته‌نشده را پیدا کنند. از این‌رو، محدوده دارایی‌ها تنها شامل آن‌چه که از قبل شناسایی شده نیست، بلکه دارایی‌های شناسایی‌نشده و جدید را نیز شامل می‌شود. شبیه به مدیریت آسیب‌پذیری، در این مرحله نگاه ما معطوف به بهره‌برداری از یافته‌ها نیست. از این‌رو، امکان وجود تشخیص‌های مثبت کاذب وجود دارد، اما می‌توان از این تشخیص‌های مثبت کاذب با توجه به هدف اصلی یعنی رسیدن به دید کامل چشم‌پوشی کرد. نظارت بر سطح حمله خارجی، دارایی‌های دیجیتال شناخته‌شده و ناشناس تحت مدیریت سازمان یا اشخاص ثالث مجاز را پوشش می‌دهد، اما سطح حمله فراتر از این است و شامل دارایی‌های مخرب یا جعلی ایجادشده توسط مهاجمان و داده‌های حساس فاش‌شده توسط کارمندان یا مشتریان نیز می‌شود. به همین دلیل، در مدیریت سطح حمله خارجی، باید به موارد زیر نیز دقت کنیم:

دارایی‌هایی که ممکن است جعل شوند و برای فیشنگ و جعل برند مورد استفاده قرار گیرند.
اطلاعات به‌سرقت رفته و فاش‌شده از حساب‌ها یا داده‌های حساس مشتریان یا کارمندان.

در مجموع باید بگوییم از طریق مدیریت آسیب‌پذیری در دارایی‌های شناسایی‌شده، قادر هستیم مخاطرات پیرامون دارایی‌های دیجیتالی را به پایین‌ترین سطح ممکن برسانیم.

مطلب پیشنهادی

شغلی جذاب در حوزه امنیت

چگونه به یک مهندس امنیت سایبری تبدیل شویم

شباهت‌ها و تفاوت‌ها

به‌عنوان یک کارشناس امنیت سایبری به این نکته دقت کنید که ابزارهای ارزیابی و اسکن آسیب‌پذیری را می‌توان در فرآیند مدیریت آسیب‌پذیری، تست نفوذ و مدیریت سطح حمله خارجی مورد استفاده قرار داد.

مدیریت آسیب‌پذیری و مدیریت سطح حمله خارجی عملکرد مشابهی در تشخیص، ارزیابی، اولویت‌بندی و مقابله با هم دارند، اما ویژگی متمایز اصلی مدیریت سطح حمله خارجی، شناسایی مستمر دارایی‌ها است.

مدیریت آسیب‌پذیری و مدیریت سطح حمله خارجی فعالیت‌هایی مستمر هستند، در حالی‌که تست نفوذ، شش ماه یا یک‌بار در سال انجام می‌شود. از این‌رو، مدیریت آسیب‌پذیری و مدیریت سطح حمله خارجی قابلیت دید بلادرنگ ارائه می‌کنند، اما تست نفوذ خیر.

در مدیریت آسیب‌پذیری و تست نفوذ سامانه از منظر شبکه داخلی یا خارجی یا حالت بین این دو ارزیابی می‌شود، اما در مدیریت سطح حمله خارجی، سامانه از دید یک مهاجم یا فردی در خارج از سازمان ارزیابی می‌شود. در مدیریت آسیب‌پذیری و مدیریت سطح حمله خارجی هیچ تلاشی برای بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده انجام نمی‌شود، اما در تست نفوذ ارزیابی از طریق بهره‌برداری از آسیب‌پذیری‌ها انجام می‌شود. ما در تست نفوذ قادر به بهره‌برداری از آسیب‌پذیری‌ها با هدف شناسایی آسیب‌پذیری‌ها هستیم. از این‌رو، تشخیص‌های مثبت در این روش نسبت به دو مورد دیگر کمتر است.

در مدیریت سطح حمله خارجی، محدود به دارایی‌های شناخته‌شده نیستیم و وظیفه داریم دارایی‌های ناشناخته را هم پیدا می‌کنیم، اما در مدیریت آسیب‌پذیری و تست نفوذ تلاشی برای یافتن دارایی‌ها انجام نمی‌دهیم.

همان‌گونه که در شکل ۱ که بیان‌گر کاهش سطح حمله است مشاهده می‌کنید، تنها دارایی‌های شناخته‌شده در مدیریت آسیب‌پذیری و تست نفوذ مورد بررسی قرار می‌گیرند، اما مدیریت سطح حمله خارجی علاوه بر دارایی‌های شناسایی‌شده، دارایی‌های شناسایی‌نشده، شخص ثالث، جعل هویت و دارایی‌های به‌سرقت‌رفته یا فاش‌شده را مدنظر قرار می‌دهد. خلاصه‌ای از شباهت‌ها و تفاوت‌های مفاهیمی که در این مقاله مورد بررسی قرار گرفتند، در جدول 1 ارائه شده است.

جدول 1

شکل 1

کلام آخر

همان‌گونه که ممکن است حدس زده باشید، هر یک از روش‌های مذکور مزایای خاص خود را دارند، در نتیجه به‌کارگیری همزمان هر سه مورد، برای تقویت امنیت سایبری ضروری است. به‌طور مثال، مدیریت آسیب‌پذیری، متمرکز بر آسیب‌پذیری‌های شناخته‌شده است، اما تست نفوذ می‌تواند آسیب‌پذیری‌های ناشناخته در محصولات مورد استفاده سازمان را شناسایی کند، در شرایطی که مدیریت سطح حمله خارجی قادر به شناسایی دارایی‌های آسیب‌پذیر ناشناخته است. به‌طور معمول، بخش امنیت سازمان با توجه به محدودیت در بودجه، اولویت‌بندی را بر مبنای فرمول مخاطره انجام می‌دهند، به این معنا که تاثیر در احتمال ضرب می‌شود. در این‌جا باید به این نکته مهم دقت کنید که در صورت عدم محاسبه کامل مخاطره، قادر به انجام اقدامات مناسب نیستیم. دقت کنید که ما باید در مدیریت سطح حمله خارجی، نمره مخاطره تمامی دارایی‌های قابل مشاهده یا مواردی را که قابل مشاهده نبودند مشخص کنیم.

با افزایش قابلیت دید بر سطح حمله، ضریب تاثیر مخاطره هم بیشتر می‌شود؛ به این معنا که هکرها برای ورود به سازمان قادر به شناسایی مسیری با کمترین سطح مقاومت هستند، از این‌رو، احتمال حمله به دارایی‌های در تماس با اینترنت بیشتر است. با این توصیف باید بگوییم از میان سه روش فوق، مدیریت سطح حمله خارجی اولین موردی است که باید مدنظر قرار دهید.