در این بلاگ‌پست، به سراغ یک متخصص تست نفوذ در دنیای امنیت سایبری رفته‌ایم تا با او گپ‌وگفت کوتاهی درباره‌ی تجربیاتش در تست نفوذ داشته باشیم؛ ندا (nedved@ https://www.ravro.ir/fa/hunter/nedved)

ندا تجربه‌ی کاری در زمینه‌های مختلفی را داشته و حدود 2 سال است که امنیت سایبری را انتخاب کرده است. تنها فعالیتی که می‌تواند او را ساعت‌ها پای سیستم بنشاند، شکار آسیب پذیری است. از دست‌وپنجه نرم‌کردن با چالش‌ها لذت می‌برد. مهم‌ترین ویژگی برای یک شکارچی آسیب پذیری، را صبر می‌داند. به نظرش امنیت سایبری، هرچند کند، اما دارد مسیرش را پیدا می‌کند.

ما مصاحبه‌ی دیگری هم با ندا داشته‌ایم: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ ندا

_ بیش‌تر به تست نفوذ می‌پردازی یا باگ بانتی؟ یا سایر موارد در زمینه‌ی امنیت سایبری؟

من در حال حاضر و در شغل فعلی‌ام، به ارزیابی امنیتی و تست نفوذ می‌پردازم. می‌شود گفت که کار روزمره‌ام کارکردن با چک‌لیست‌های OWASP و این‌هاست.

حدود 1سال است که جدی‌تر وارد باگ بانتی شده‌ام؛ سعی کرده‌ام باگ بانتی و پیش‌نیازهایش را بیشتر بشناسم و کم‌کم وارد بازارکارش شوم.

_ بیشتر تجربه‌ی تست نفوذ تیمی را داشته‌ای یا تست نفوذ فردی؟

متاسفانه فردی. می‌گویم "متاسفانه" چون فکر می‌کنم که در تست نفوذ تیمی، مطمئنا یک تارگت آن‌قدر از ویژن و چشم‌اندازهای مختلف بررسی می‌شود، که خیلی متفاوت است.

در تست نفوذ فردی، فرد بالاخره یک جایی یک چیزی از دستش درمی‌رود. ولی در تست نفوذ تیمی این مورد خیلی کمتر می‌شود.

پیشنهاد خواندنی: چرا تست نفوذ تیمی؟

_ از نگاه شما، تفاوت یک تست نفوذ خوب و یک تست نفوذ بد در چیست؟

به نظر من چسبیدن، اکتفا و پافشاری به یک چک‌لیست خاص می‌تواند یکی از معضلات باشد. من در بین بچه‌هایی که تست نفوذ کار می‌کنند، دیده‌ام که فقط یک چک‌لیست دارند و فقط به همان اکتفا می‌کنند. در کنارش، نگاهی مشابه نگاهی که یک شکارچی آسیب پذیری و باگ هانتر دارد، خیلی می‌تواند کمک کند؛ این‌که فقط Top10 OWASP را چک نکنی، یک مقدار بچرخی، ببینی دیگر چه کارهایی می‌شود کرد.

یک مورد دیگر هم فقط ابزارمحوربودن هست. مثلا من صرفا به یک ابزار تکیه کنم و اگر ابزار بگوید "نه" ، خب من دیگر مهارت و کاری برای انجام‌دادن نداشته باشم.

یک مورد که معمولا در تست نفوذهای برون‌سپاری‌شده بیشتر اتفاق می‌افتد، نپرداختن درست‌وحسابی به آسیب‌پذیری‌های بیزینس لاجیک است. به این خاطر که شرکت یا تیم تست نفوذ، وقتی را برای شناخت بهتر و بیشتر کسب‌وکار اختصاص نمی‌دهند. شناختی از این جنس که: Work Flowهای این کسب‌وکار چگونه است؟ فیچرهای سامانه‌اش از چه قرارند؟ اصلا چه مواردی برای آن کسب‌وکار محرمانه و مهم محسوب می‌شوند؟ زمانی را اختصاص نمی‌دهند تا ببینند که این بیزینس اصلا دارد چه‌کار می‌کند. که بعدش بیایند و منطق بیزینس را دور بزنند. درحالی‌که در حال حاضر ترندترین چیزها هم همین دور زدن work flowها ست. و برایش لازم است که خیلی قشنگ بیزینس را بشناسی و ببینی چه می‌گوید. و بعدش سعی کنی دورش بزنی. نمی‌شود فقط به استانداردهای OWASP اکتفا کرد و فقط آسیب پذیری‌های معروف را چک کرد. شاید یک سری فیچرهایی که در کسب‌وکار X محرمانه است، در حالت عادی و برای یک کسب‌وکار دیگر محرمانه محسوب نشود.

پیشنهاد خواندنی: تست نفوذ خوب و تست نفوذ بد

_ در تجربه‌ی تست نفوذهایی که داشته‌ای، شاهد چه نگاهی از سمت کسب‌وکارهای مختلف نسبت به تست نفوذ بوده‌ای؟

شاهد این بوده‌ام که باتوجه به اتفاقات اخیری که افتاده، یک مقدار نگاه‌ها بهتر شده است. کسب‌وکارها متوجه شده‌اند که لازم است برای امنیتشان هزینه کنند.

در برخی موارد، شاهد عدم درک و نگاه تکنیکال در برخی مدیران سنتی بوده‌ام. گاهی برخی مدیران سنتی وقتی بهشان می‌گویی آسیب پذیری دارند، در جواب می‌گویند:" خب اگر آسیب پذیری داریم، سایتمان را بزن دیگر. برو توی سرور." یعنی فردی که نسبت به موضوع اصلا دید تکنیکالی ندارد، مدیر یک بخش تکنیکال شده است. فعلا این مهم‌ترین مشکلی ست که به ذهنم می‌آید.

_ ممنون که در این گپ‌وگفت همراه ما بودی و تجربیاتت در خصوص تست نفوذ را به اشتراک گذاشتی، ندا عزیز.

بلاگ‌پست‌های مرتبط:

تجربیات و نکات تست نفوذ؛ با آیلین همایونی

تجربیات و نکات تست نفوذ؛ با زهرا