تجربیات و نکات تست نفوذ؛ با امید شجاعی
در این بلاگپست، به سراغ یک متخصص تست نفوذ در دنیای امنیت سایبری رفته ایم تا با او گپوگفت کوتاهی دربارهی تجربیاتش در تست نفوذ داشته باشیم؛ امید شجاعی (@dmitriy_area51)
امید 8 سال است که در حوزه ی امنیت سایبری فعالیت میکند. کارشناس ارشد تست نفوذ است. آسیب پذیری موردعلاقهاش، آسیب پذیری هایی اند که کمتر در دید بقیه هستند؛ آن جاهایی که معمولا کمتر کسی واردش میشود.
ما مصاحبهی دیگری هم با امید داشتهایم:
گپوگفتی با شکارچی آسیبپذیری؛ امید شجاعی
_ به نظر شما چه مواردی یک تست نفوذ خوب را از یک تست نفوذ بد جدا میکند؟
به نظر من یک تست نفوذ خوب تاحد زیادی به کارشناس تست نفوذی که آن را انجام میدهد، بستگی دارد. به این بستگی دارد که یک کارشناس تست نفوذ بتواند: فراتر از چکلیستی که برای تست نفوذ وجود دارد اقدام کند، کسبوکار را به خوبی درک کند، بتواند با آن ارتباط برقرار کند و بر آن مسلط شود، بتواند سناریوهای لاجیک و منطقی را بهخوبی بررسی کند. به نظر من چنین تستنفوذی، یک تست نفوذ خوب است و کیفیت خوبی دارد.
نکتهای که میخواهم اضافه کنم این است که اگر چند کارشناس تست نفوذ بر روی یک سامانه کار کنند، خیلی بهتر از این حالت است که صرفا فقط یک کاشناس تست نفوذ ( هر چه قدر هم که باتجربه باشد) کار تست نفوذ یک سامانه را انجام دهد. افکار افراد مختلف، خیلی متفاوت و متنوع هستند و نتیجهی بهتری حاصل میشود.
_ آیا نکتهای در رابطه با تست نفوذ و امنیت سایبری وجود دارد که به نظر شما سازمانها باید به آن توجه کنند، ولی این اتفاق نمیافتد؟
یک مورد که به نظر من وجود دارد به این نکته مرتبط است که طبیعتا امنیت لایهبهلایه است و ما باید در هر لایه و در هر بخش امنیت را رعایت کنیم. برای هر بخش استانداردهای مختلفی وجود دارد؛ چه در شبکه چه در لایه داخلی شبکه. مثلا؛ سازمانی را میبینیم که چند سامانهاش را روی شبکهی اینترنت و در دسترس قرار داده است. که سامانههایشان امن است. ولی متاسفانه شبکه در داخل سازمان فلت است، بدون هیچ کنترل دسترسی و هیچ چیزی. خب اگر اتفاقی بیفتد و دسترسیای از داخل سازمان گرفته شود، میتواند در روند کار آن سازمان و امنیت اطلاعات تاثیرگذار باشد.
یک مورد دیگر هم به سیستمهای تشخیص مربوط میشود. در حال حاضر SOCها ( سیستم های تشخیص تهدید) در این بخش فعال هستند و فعالیت میکنند. به نظر من این بخش جای بزرگترشدن، فعالیت و پیشرفت بیشتری دارد.
مورد دیگر این است که لازم است در زمینهی امنیت سایبری، نیروی متخصص آن کار را در سازمان به کار بگیرند؛ نیروی متخصصی که تجربه و دانش مرتبط دارد و در همان زمینه مطالعه و کار کرده است. نه این که صرفا نیرویی از بخش آیتی را به عنوان نیروی امنیت assign کنند تا به این کار بپردازد.
پیشنهاد خواندنی: چرا کسبوکارهای ایران امنیت اطلاعات را جدی نمیگیرند؟
_ در سامانههای مختلفی که تا با حال در باگ بانتی و تست نفوذ بررسی کردهای، چه نقطههایی بیشتر آسیب پذیر بودهاند؟
اگر بخواهیم به صورت کلی نگاه کنیم: معمولا سامانههای درونسازمانی (آنهایی که در شبکهی داخلی سازمان هستند) نسبت به سامانههایی که از بیرون سازمان هستند، آسیب پذیری های بیشتری دارند. چون معمولا این طور است که سامانههای در دسترس توسط اسکنرها، ابزارها، رباتها و موارد دیگر، به طور مداوم اسکن میشوند. در چنین روالی اگر هم آسیب پذیری ای بر روی سامانههای بیرونی باشد، معمولا اکسپلویت میشود. بعدش به سراغ داخل میآیند و فرآیند را ادامه میدهند. درکل معمولا سامانههای داخلی خیلی آسیب پذیرتر هستند.
مورد دیگر، کسبوکارهایی هستند که برای سامانهی خود از تکنولوژیهای قدیمیتر استفاده میکنند. آنهایی که از وباپلیکیشن ها با فناوری روز استفاده میکنند، خب طبیعتا آسیب پذیری های خیلی کمتری نسبت به سامانههای با فناوری قدیمی دارند.
من فکر میکنم میزان وجود آسیب پذیری در یک سامانه، تا حد زیادی به تجربهی کسی یا تیمی که برنامهنویسی آن وبسایت را انجام داده است، بستگی دارد. بهعنوان مثال: من داخل سازمانی بودهام که مدیر آیتی، خودش، سه سامانه را برای آن سازمان نوشته و بالا آورده بود. خب آن سامانهها، آسیب پذیری های زیادی داشتند. از آن طرف هم مثلا سامانهای هم وجود دارد که یک تیم و یک شرکت مشخص با یک رزومهی خیلی خوب، مسئول کارهایش هستند و کل کشور و بسیاری از از شرکتها هم از آن استفاده میکنند. خب نمیشود این دو حالت را با هم مقایسه کرد. خیلی با هم فرق میکنند.
اگر هم بخواهیم عمیقتر نگاه کنیم، جریان بیشتر سمت موضوعهای فنی میرود.
_ انگار روالی که برای برنامهنویسی در نظر گرفته میشود هم موثر است. ممنون که وقتت را در اختیار ما قرار دادی و تجربیاتت در خصوص تست نفوذ را به اشتراک گذاشتی امید جان.
بلاگپستهای مرتبط:
تجربیات و نکات تست نفوذ؛ با رامین اسدیان