BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
چک لیست قبل از تست نفوذ

چک لیست قبل از تست نفوذ

54

این بلاگ پست شامل یک چک‌لیست جامع و راهنمای کاربردی است که در مسیر آماده‌سازی و اجرای یک تست نفوذ مؤثر به شما کمک می‌کند. این راهنما حاوی سوال‌هایی ضروری ست؛ سوال‌هایی که لازم است قبل از اقدام برای یک تست نفوذ و شروع آن، از خود بپرسید.

داخل پرانتز: آن‌چه در این بلاگ‌پست می‌خوانید، برگرفته و ترجمه‍ای از مطلب Pre-Pentest Checklist: Essential Questions to Answer Before Your Next Pentest از بلاگ hackerone به‌اضافه‌ی اندکی افزودنی از گفته‌های افراد است.  

آن‌چه در این بلاگ‌پست خواهید خواند:  

آمادگی برای تست نفوذ  چه؟ چه چیزی؟ (What) 

  1. دامنه‌ی موردنظرتان چیست؟ 
  2. معیارهای موفقیت تست نفوذ، برای شما چه مواردی هستند؟ 
  3. می‌خواهید تیم تست نفوذ بر روی چه مناطق کلیدی‌ای تمرکز کنند؟ 
  4. چه نوع تست نفوذی را ترجیح می‌دهید؟ 
  5. تست نفوذ باید در چه نوع محیطی انجام شود؟ 
  6. چه محدودیت‌هایی (در صورت وجود) باید اعمال شوند؟ 
  7. اعضای تیم تست نفوذ باید چه مدارک یا گواهینامه‌هایی داشته باشند؟ 
  8. به چه نوع خروجی‌هایی از این تست نفوذ نیاز دارید؟ 
  9. جدول زمانی داخلی شما برای رفع آسیب‌پذیری‌های بحرانی و با شدت بالا چیست؟  چرا؟ (Why)  
  10. چرا به تست نفوذ نیاز دارید؟ 
  11. چرا در چرخه‌ حیات امنیتی شما این زمان برای تست نفوذ مناسب است؟ 
  12. چرا این محدوده‌ی خاص را برای تست نفوذ انتخاب کرده‌اید؟  چه زمانی؟ (When)  
  13. انتظار دارید که تست نفوذ چه زمانی آغاز شود و چه زمانی به پایان برسد؟ 
  14. چه زمانی به گزارش نهایی نیاز دارید؟ 
  15. چه زمانی، بهترین زمان برای مشارکت تیم شما در تست نفوذ است؟  چه کسی؟ (Who)  
  16. چه کسانی باید از تست نفوذ مطلع شوند و در جریان قرار گیرند؟ 
  17. چه کسی نقطه‌ی اصلی ارتباط برای تیم تست نفوذ خواهد بود؟  
  18. چه کسی در سازمان شما مسئول رسیدگی به یافته‌ها خواهد بود؟  چگونه؟ (How)  
  19. ارائه‌دهنده‌ی تست نفوذ در طول، قبل و بعد از تست نفوذ چگونه با شما ارتباط برقرار کند؟ 
  20. تیم تست نفوذ چگونه به دارایی‌های درون محدوده دسترسی خواهد داشت؟ 
  21. نسخه‌ی نهایی گزارش‌ها چگونه با شما به اشتراک گذاشته خواهد شد؟ 

آمادگی برای تست نفوذ

با درک اهداف، محدودیت‌ها و انتظارات و تعریف قوانین می‌توانید تست نفوذ خود را از یک الزام روتین که صرفاً برای رعایت مقررات انجام می‌شود، به یک سرمایه‌گذاری امنیتی استراتژیک برای کسب‌وکار خود تبدیل کنید. راهنمای پیش‌رو به شما کمک می‌کند تا برای تست نفوذ آماده شوید. این چک لیست کاربردی و جامع به‌گونه‌ای طراحی شده که با انواع مختلف تست نفوذ، صرف‌نظر از اندازه یا پیچیدگی هدف، سازگار باشد.  

در چک‌لیست قبل از تست نفوذ، به بررسی جنبه‌های اساسی تست نفوذ می‌پردازیم. تمرکز ما بر سوال‌هایی درباره‌ی “چه چیزی، چرا، چه زمانی، چه کسی و چگونه” است. با این سوال‌ها می‌توانید اطمینان حاصل کنید که تست نفوذ شما، نه‌تنها استانداردهای انطباق را برآورده می‌کند، بلکه به‌عنوان یک دارایی استراتژیک در مجموعه‌ امنیتی شما عمل می‌نماید. ما با استفاده از یک چک‌لیست ساختارمند شما را راهنمایی می‌کنیم و بینش موردنیاز برای آغاز یک تست نفوذ متناسب با نیازها و اهداف امنیتی خاص سازمانتان را در اختیارتان قرار می‌دهیم. 

چه؟ چه چیزی؟ (What)

1. دامنه‌ی موردنظرتان برای تست نفوذ چیست؟

پیش از هر چیز، مشخص کنید که چه چیزی باید آزمایش شود. دارایی‌هایی که می‌خواهید آزمایش شوند را در نظر بگیرید. همچنین اجزا یا ویژگی‌هایی که خارج از دامنه‌ی تست هستند، را مشخص کنید. 

مثال‌ها: 

• ما قصد داریم یک تست نفوذ وب اپلیکیشن بر روی اپلیکیشن مالی مشتریان انجام دهیم. اما جریان پرداخت کارت اعتباری که توسط فروشندگان شخص ثالث مدیریت می‌شود، مستثنی باشد. 

• ما می‌خواهیم همه ی زیرشبکه‌ها را در تست نفوذ شبکه داخلی آزمایش کنیم، به‌جز زیرشبکه‌های 192.168.1.0/25 و 192.168.1.128/25 که متعلق به مدیران ارشد هستند. 

2. معیارهای موفقیت تست نفوذ، برای شما چه مواردی هستند؟

برای شما چه مواردی به عنوان موفقیت تست نفوذ معنا می‌شوند؟ پاسخ به این سؤال و بررسی آن با ذی‌نفعان داخلی ضروری است. پس از دستیابی به پاسخ، آن را با فرد یا گروهی که خدمت تست نفوذ را ارائه می‌دهند، به اشتراک بگذارید تا اطمینان حاصل کنید که اهداف شما محقق می‌شوند. 

برخی پاسخ‌های رایج: 

• “شناسایی حداکثر تعداد آسیب‌پذیری‌ها، به‌ویژه آسیب‌پذیری‌های بحرانی و با شدت بالا.” 

• “وجود تعداد کمی آسیب‌پذیری‌ یا اصلاً هیچ آسیب‌پذیری‌ای (برای تأیید این‌که ما امن هستیم).” 

• “شناسایی آسیب‌پذیری‌های جدیدی که ممکن است از زمان آخرین تست نفوذ اضافه شده باشند.” 

• “مستندکردن آسیب‌پذیری‌ها با جزئیات کامل برای رفع هرکدام."

• “ما ۱۰ هدف برای این مشارکت تعریف کرده‌ایم و باید حداقل ۴ مورد از آن‌ها محقق شود.” 

پیشنهاد خواندنی: مقایسه‌ تست نفوذ و باگ بانتی

3. می‌خواهید تیم تست نفوذ بر روی چه مناطق کلیدی‌ای تمرکز کنند؟

این سؤال ممکن است برای همه‌ی مشتریان یا برای هر تست نفوذی صدق نکند. با این حال، اگر اخیراً تغییراتی در مدل کنترل دسترسی اپلیکیشن خود ایجاد کرده‌اید، می‌توانید این تغییرات را مشخص کنید تا تیم تست نفوذ آن را در اولویت قرار دهند و براساس اولویت‌بندی‌ها عمل کنند. 

در یک تست نفوذ شبکه داخلی که تیم تست نفوذ دسترسی یک کارمند عادی را شبیه‌سازی می‌کنند، ممکن است ارزشمند باشد که زیرشبکه‌ها یا اطلاعاتی که معمولاً غیرقابل دسترسی هستند، را مشخص کنید. اگر یک متخصص تست نفوذ بتواند به این مناطق دسترسی پیدا کند، این اطلاعات به‌تنهایی ارزشمند خواهد بود. 

یکی دیگر از مناطق کلیدی رایج، اطلاعات شناسایی شخصی (PII) یا اطلاعاتی است که به‌تنهایی یا همراه با سایر اطلاعات برای شناسایی افراد قابل‌استفاده‌اند. 

شناسایی مناطق کلیدی برای آزمایش، تمرکز تیم تست نفوذ را در طول مشارکت هدایت می‌کند و کمک می‌کند تا تست نفوذ ارزش بیشتری برای کسب‌وکارتان به همراه داشته باشد. 

4. چه نوع تست نفوذی را ترجیح می‌دهید؟

به‌عنوان مثال؛ در تست نفوذ اپلیکیشن وب، آیا ترجیح می‌دهید آزمون به‌صورت احرازهویت‌شده (Gray-box) انجام شود، یا بدون احرازهویت (Black-box)؟ 

آزمون احرازهویت‌شده:

• حساب‌های کاربری چگونه ارائه خواهند شد؟ آیا نیاز است حساب‌ها توسط شما برای اعضای تیم تست نفوذ فراهم شوند، یا امکان ثبت‌نام توسط خودشان وجود دارد؟ 

• چه تعداد نقش (role) نیاز به تست دارند؟ مثلاً: نقش‌های مدیر، مدیر میانی، و کاربر. اطمینان حاصل کنید که حداقل دو حساب کاربری در اختیار تیم تست نفوذ قرار داده می‌شود تا بتوانند برای بررسی افزایش دسترسی افقی (هم سطح) آزمایش کنند. 

• اگر تصمیم به ارائه‌ی حساب‌های کاربری به تیم تست نفوذ دارید، به این موضوع فکر کنید که ممکن است چه اطلاعاتی از اعضای تیم تست نفوذ را نیاز داشته باشید. مانند: شماره تلفن همراه برای فعال‌سازی احراز هویت دو مرحله‌ای (2FA). 

آزمون بدون احراز هویت:

• ممکن است بخواهید این مسیر را برای آزمایش در شرایط واقعی برای دارایی‌های عمومی در اینترنت انتخاب کنید. با این حال، این احتمال وجود دارد که به آسیب‌پذیری‌هایی که برای کاربران با دسترسی‌های مناسب قابل‌بهره‌برداری هستند، دست نیابید. 

در اغلب موارد، کسب‌وکارها باتوجه به مورد استفاده‌شان و میزان بلوغ دارایی‌های مشمول آزمایش، ترکیبی از آزمون‌های احرازهویت‌شده و بدون احرازهویت، را انتخاب می‌کنند. 

5. تست نفوذ باید در چه نوع محیطی انجام شود؟

مثلا در تست نفوذ اپلیکیشن وب، باید تصمیم بگیرید که آیا محیط مرحله‌بندی (Staging) (که به آن محیط غیرتولیدی، QA یا تست نیز گفته می‌شود) که مشابه محیط تولید است، برای نیازهای آزمون مدنظر شما مناسب‌تر است، یا محیط تولیدی (Production).  

اگر یک فایروال اپلیکیشن وب (WAF) فعال است، اطمینان حاصل کنید که آدرس IP تیم تست نفوذ به فهرست مجاز اضافه شده باشد تا وضعیت امنیتی اپلیکیشن وب مورد آزمایش به‌صورت دقیق نمایش داده شود. مگر این که هدف شما آزمودن اثربخشی WAF باشد.

6. چه محدودیت‌هایی (در صورت وجود) باید اعمال شوند؟

• زمان انجام تست:

اگر دارایی مورد آزمایش بخشی از عملیات روزانه ی شما است، ممکن است ضروری باشد که تست نفوذ خارج از ساعات کاری انجام شود. برای اطمینان از این که تست، اختلالی در عملیات شما ایجاد نکند، توصیه می‌شود که یک یا چند نفر از اعضای تیم برای مواقعی که منابع عملیاتی در طول آزمون دچار اختلال شوند، در حالت آماده‌باش باشند. 

• روزهای انجام تست:

ممکن است نیاز باشد که تست تنها در روزهای کاری انجام شود تا تیم داخلی شما بتواند در صورت بروز مشکل از آن پشتیبانی کند. 

• مهارت‌های تخصصی:

شناسایی مهارت‌های تخصصی موردنیاز برای تست نفوذ از قبل، مانند Web 3.0، Azure، AWS، Google Cloud، و غیره بسیار مهم است. 

نکته جانبی: اگر پیش‌بینی می‌کنید که منابع ممکن است به اتمام برسند، از قبل محدودیت درخواست‌ در دقیقه (Requests Per Minute ؛RPM) را تعریف کنید تا تیم تست نفوذ پیش از شروع تست از آن مطلع باشند. 

7. اعضای تیم تست نفوذ باید چه مدارک یا گواهینامه‌هایی داشته باشند؟

ممکن است این موضوع از طریق بررسی‌های لازم جهت اطمینان خاطر پیش برده شود؛ اطمینان خاطر از این‌که اعضای تیم تست نفوذ با ویژگی‌های موردانتظار تطبیق دارند، واجد شرایط موردنیاز و تا حد کافی حرفه‌ای هستند یا نه.

معمولاً در این موقعیت، گواهینامه‌هایی مانند OSCP، OSCE، OSWA و سایر مدارک ارائه‌شده توسط OffSec، همچنین CREST Registered Penetration Tester (CRT) و CREST Certified Tester – Infrastructure (CCT-INF) مطرح می‌شوند. 

8. به چه نوع خروجی‌هایی از این تست نفوذ نیاز دارید؟

خروجی‌ها، محصولات ملموسی هستند که در پایان تست نفوذ دریافت می‌کنید. این موارد ممکن است شامل موارد زیر شوند: 

• گزارش تست نفوذ — اولیه در مقابل نهایی (شامل نتایج تست مجدد) 

• نامه‌ی تأیید 

• خلاصه‌ی اجرایی 

• ردیاب فرمت CSV برای تعداد آسیب‌پذیری‌های شناسایی‌شده 

نمونه خروجی‌های ارائه‌شده توسط ارائه‌دهنده‌ی تست نفوذ موردنظر خود را بررسی کنید تا متوجه شوید که آیا نیازهای مدنظر شما را برآورده می‌کند یا خیر. اگر موردی مطابقت ندارد، از پرسیدن این که "آیا می‌توانند نیازهای شما را تأمین کنند؟" دریغ نکنید. در بیشتر مواقع، درخواست‌های منطقی پذیرفته خواهند شد. 

9. جدول زمانی داخلی شما برای رفع آسیب‌پذیری‌های بحرانی و با شدت بالا چیست؟

تعیین جدول زمانی از قبل به موارد بسیاری کمک می‌کند، مواردی نظیر؛ تنظیم انتظارات با تیم داخلی و ذی‌نفعان، اجتناب از تأخیرها، و اطمینان از ارسال درخواست‌های تست مجدد به تیم تست نفوذ در زمان مناسب

چرا؟ (Why)

1. چرا به تست نفوذ نیاز دارید؟

شرکت‌ها به دلایل مختلفی تست نفوذ را انجام می‌دهند. لیستی از دلایل رایج در ادامه آورده شده است: 

• برای تطابق و نشان‌دادن انطباق با مقررات خاص مانند PCI DSS. 

• اطمینان خاطر از این که هر تغییری که در محصول ایجاد شده است، آسیب‌پذیری‌های جدیدی را وارد نکرده باشد. 

• اطمینان خاطر از این که ابزارهای شناسایی مانند IDS، IPS، SIEM، SOAR، و UEBA تست نفوذ در حال اجرا را به سرعت شناسایی و اعلام می‌کنند و (در صورت امکان) اقداماتی را انجام می‌دهند. 

• اعتبارسنجی نتایج حاصل از اسکنر آسیب‌پذیری. 

• دسترسی به مجموعه‌ای از استعدادها و دیدگاه‌های تازه برای ارزیابی دارایی‌های شرکت. 

پاسخ به این سؤال اهدافی که می‌خواهید از تست نفوذ به دست آورید را مشخص می‌کند. 

پیشنهاد خواندنی: استراتژی امنیت سایبری برای کسب و کارها

2. چرا در چرخه حیات امنیتی شما این زمان برای تست نفوذ مناسب است؟

پاسخ به این سؤال ارتباط نزدیکی با هدف تست نفوذ دارد. برخی از دلایل رایج عبارت‌اند از: 

• پیش از یک عرضه یا به‌روزرسانی مهم:

پیش از راه‌اندازی یک اپلیکیشن جدید، وب‌سایت، یا هر به‌روزرسانی قابل‌توجهی در یک سیستم موجود، انجام تست نفوذ می‌تواند حیاتی باشد. 

• پس از تغییرات عمده در کد:

تست نفوذ می‌تواند تأیید کند که تغییرات عمده در کد منبع یک اپلیکیشن، آسیب‌پذیری‌های جدیدی ایجاد نکرده‌اند. 

• بهبود مستمر:

تست نفوذ نباید فقط یک رویداد یک‌باره باشد. حالت ایده‌آل این است که این تست، بخشی از یک برنامه‌ی امنیتی باشد و به‌صورت منظم (برای مثال، سه‌ماهه یا سالانه) انجام شود تا آسیب‌پذیری‌ها شناسایی و رفع شوند. 

• پس از یک حادثه‌ی امنیتی:

اگر اخیراً یک حادثه‌ی امنیتی را تجربه کرده‌اید، تست نفوذ می‌تواند هر آسیب‌پذیری زیربنایی‌ که ممکن است به وقوع حادثه کمک کرده باشد، را شناسایی کند. 

3. چرا این محدوده‌ی خاص را برای تست نفوذ انتخاب کرده‌اید؟

با توجه به محدودیت زمان ارزیابی در تست نفوذ، تعیین محدوده دقیق هدف ضرورت دارد. همچنین این تعیین محدوده‌ی بررسی، تمرکز بیشتری را بر روی حوزه‌های کلیدی ای که نیاز به توجه ویژه دارند، معطوف می‌کند. 

 چند مثال: 

• اولویت‌بندی ریسک:

تمرکز بر دارایی‌ها یا ویژگی‌های مهم در یک اپلیکیشن یا آزمون دقیق دارایی‌های مورد تست سازمان. 

• پیاده‌سازی کنترل‌های امنیتی:

با راه‌اندازی یک راهکار SIEM جدید، ممکن است حملات سایبری خاصی را علیه زیرساخت شبکه اجرا کنید؛ حملاتی به منظور بررسی این که آیا این سیستم‌ها به درستی پاسخ می‌دهند و کار می‌کنند یا خیر. 

• رویکرد مرحله‌ای:

اگر تست نفوذ بخشی از یک ارزیابی امنیتی گسترده‌تر باشد، توضیح دهید که چگونه محدوده‌ی انتخاب‌شده، اساس کار را تشکیل داده است و در استراتژی کلی آزمون نفوذ شما جای می‌گیرد. 

چه زمانی؟ (When)

1. انتظار دارید که تست نفوذ چه زمانی آغاز شود و به چه زمانی پایان برسد؟

زمان‌بندی‌های مشخص برای رعایت ضرب‌الاجل‌ها حیاتی است. به‌ویژه زمانی که تست نفوذ بخشی از یک استراتژی مدیریت ریسک گسترده‌تر باشد و بر پروژه‌های بعدی تأثیر بگذارد. 

2. چه زمانی به گزارش نهایی نیاز دارید؟

مشابه سؤال قبلی، اطلاع‌رسانی به‌موقع به ارائه‌دهنده‌ی تست نفوذ، درباره هرگونه ضرب‌الاجل برای دریافت گزارش نهایی، بسیار مهم است. به‌طور معمول، گزارش نهایی ظرف یک هفته پس از پایان تست ارائه می‌شود. 

3. چه زمانی، بهترین زمان برای مشارکت تیم شما در تست نفوذ است؟

با توجه به محدودیت زمانی در تست نفوذ، حصول اطمینان خاطر از این که همه‌ی اعضای کلیدی و مرتبط تیم در دسترس هستند، وقت کافی برای اختصاص دادن دارند و می‌توانند به‌سرعت به هرگونه سؤالی پیش از آغاز و در طول آزمون پاسخ دهند، بسیار مهم است. 

چه کسی؟ (Who)

1. چه کسانی باید از تست نفوذ مطلع شوند و در جریان قرار گیرند؟

اگر مانند فرآیند Red Team، به دنبال یک آزمون سطح پایین (Low Profile) نیستید، توصیه می‌شود که تیم‌های دفاعی سازمان خود را از تست نفوذ مطلع کنید. این کار به آن‌ها اجازه می‌دهد تا بر تهدیدات واقعی تمرکز کنند، نه بر ترافیک ایجادشده توسط تست نفوذ مجاز. 

معمولاً تیم‌های تست نفوذ آدرس‌های IP مرتبط با تست را به اشتراک می‌گذارند تا شما بتوانید افراد مناسب در تیم‌های حفاظت از زیرساخت سازمان، مانند تیم‌های مرکز عملیات امنیتی (SOC)، را مطلع سازید. این یک روال متداول است. بنابراین به راحتی می‌توانید از تیم تست نفوذ بخواهید آدرس‌های IP مربوطه را در اختیار شما قرار دهند. 

2. چه کسی نقطه‌ی اصلی ارتباط برای تیم تست نفوذ خواهد بود؟

تعیین یک شخص به عنوان نقطه تماس اصلی (primary point of contact ) می‌تواند کارایی فرآیند را به‌طور قابل‌توجهی بهبود بخشد و همکاری را در طول تست نفوذ تقویت کند. 

ترجیحاً این شخص باید درخصوص محصول یا دارایی مورد تست، همه چیزدان ( SME: Subject Matter Expert) باشد، اما الزامی نیست. او مسئول پاسخ‌گویی به سؤالات تیم تست نفوذ درباره دارایی‌های درون محدوده و نحوه‌ی تعامل اجزای مختلف خواهد بود. فرد مسئول در این نقش، در صورتی که پاسخی ندارد، باید بداند که برای پاسخ در سازمان باید با چه کسی تماس گرفت. 

همچنین، این فرد می‌تواند در مواقعی که آسیب‌پذیری‌های حیاتی یا با شدت بالا کشف می‌شوند، ارتباط را برای تیم تست نفوذ به طور تصاعدی تسهیل کند. 

رامین اسدیان:

" در یک تست نفوذ خوب، شما معمولا به عنوان یک متخصص تست نفوذ با تیمی از یک کسب‌وکار طرف هستید که دوست دارند مشکلاتشان را بدانند. بدون هیچ قصد و غرض و فکر جانبی‌ای، با تیم تست نفوذ همکاری می‌کنند و مشکلات را با هم بررسی می‌کنند. در چنین شرایطی ما هم به عنوان تیم تست نفوذ در حین تست نفوذ با تیم پشتیبانی همکاری تنگاتنگ‌تری داریم؛ مشکلاتی که پیدا می‌شود را بلافاصله با آن‌ها در میان می‌گذاریم، در مورد مشکلات با هم صحبت می‌کنیم (اصلا در مورد یک مشکل شاید نیم یا یک ساعت صحبت کنیم تا ریشه‌ی مشکل را باهم پیدا کنیم) ، برای نحوه‌ی حل مشکل پیشنهاداتی می‌دهیم و ... . "

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با رامین اسدیان

3. چه کسی در سازمان شما مسئول رسیدگی به یافته‌ها خواهد بود؟

شناسایی مالکان محصولات و تیم‌های مسئول دارایی‌های مورد تست بسیار مهم است. چرا؟ تا به آسیب‌پذیری‌های گزارش‌شده در طول تست نفوذ رسیدگی شود، به‌ویژه به آسیب‌پذیری‌های حیاتی و با شدت بالا که نیازمند توجه فوری هستند.  

چگونه؟ (How)

1. ارائه‌دهنده‌ی تست نفوذ قبل، در طول، قبل و بعد از تست نفوذ چگونه با شما ارتباط برقرار کند؟

ایجاد کانال‌های ارتباطی باز و پاسخ‌دهی سریع به سؤالات تیم تست نفوذ، برای داشتن تجربه‌ای موفق با آن‌ها ضروری است. 

می‌توان کانال‌های ساده و مؤثری مانند کانال‌های Slack ایجاد کرد تا اعضای مرتبط با تست بتوانند به‌سرعت ارتباط برقرار کنند. این روش مؤثرترین راه برای ارتباط با تیم‌های تست نفوذ است و به هر دو طرف امکان ارتباط هم‌زمان (Synchronous) یا غیر هم‌زمان (Asynchronous) را می‌دهد. هم چنین، یک خط زمانی مستند ارائه می‌کند. بادرنظر گرفتن سرعتی که تست نفوذ در حال پیش رفتن است، ایمیل‌ها وسیله‌ی ارتباطی کندی محسوب می شوند. تماس‌های تلفنی نیز به محدودیت‌های از جنس دسترسی و زمان‌بندی بستگی دارند. 

2. تیم تست نفوذ چگونه به دارایی‌های درون محدوده دسترسی خواهد داشت؟

اطمینان از این که تیم تست نفوذ در روز اول تست بتواند به‌راحتی کار خود را شروع کند بسیار مهم است. در این راستا اعتبارسنجی این مورد که آن‌ها می‌توانند با موفقیت به دارایی‌های درون محدوده دسترسی داشته باشند، بسیار مهم است. 

• آیا دارایی‌ها اینترنت‌محور هستند یا فقط داخلی‌اند؟ 

• آیا اپلیکیشن‌های موبایل در فروشگاه‌های مربوطه موجود هستند؟ یا باید از طریق TestFlight یا فایل .apk ارائه شوند؟ 

• آیا تیم تست نفوذ برای دسترسی به دارایی‌ها نیاز به VPN دارد؟  

• آیا باید آدرس‌های IP آن‌ها در دستگاه‌های محیطی در فهرست مجاز قرار داده شود؟  

• آیا نیاز به اعتبارنامه (Credentials) برای آزمایش دارند؟ این اعتبارنامه‌ها چگونه تهیه خواهند شد؟  

3. نسخه‌ی نهایی گزارش‌ها چگونه با شما به اشتراک گذاشته خواهد شد؟

بسیار مهم است که به نحوه‌ی اشتراک‌گذاری گزارش نهایی تست نفوذ توجه ویژه‌ای داشته باشید. شما نمی‌خواهید گزارشی دریافت کنید که به شکل PDF محافظت‌نشده از طریق ایمیل ارسال شده باشد. 

• اطمینان حاصل کنید که گزارش به‌صورت ایمن به شما ارائه می‌شود. ارائه‌دهندگان تست نفوذ ممکن است این کار را به روش‌های زیر انجام دهند:

• میزبانی گزارش در پلتفرم تست نفوذ مورد اعتماد آن‌ها که شما بتوانید به آن دسترسی داشته باشید و دانلودش کنید.

• استفاده از یک پلتفرم اشتراک‌گذاری فایل امن که با توافق دوطرفه تعیین شده باشد.

• ارسال PDF رمزگذاری‌شده از طریق ایمیل یا کانال‌های دیگر که رمزعبور آن از طریق یک کانال جداگانه (Out-of-Band) ارسال شود.

سخن آخر:

پاسخ‌دادن به این چند دسته سوال به شما کمک می‌کند که بتوانید به تصویر واضح‌تری از یک تست نفوذ موردنیاز، مطلوب و متناسب با کسب‌وکار خود برسید. این تصویر واضح‌تر را، راحت‌تر می‌توانید با تیم تست نفوذ (در داخل یا خارج از مجموعه‌تان) نیز در میان بگذارید. در نهایت نیز، خروجی نزدیک‌تری به حالت مطلوب و نزدیک به انتظار خود را دریافت کنید.

بلاگ‌پست‌های مرتبط:

آیا قیمت خدمات امنیت سایبری می‌ارزد؟

۶ نکته برای مدیریت روابط عمومی پس از یک حمله سایبری

کتابچه‌ی راهنمای برنامه‌نویسی امن

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.