شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
نگاه کسب‌وکارها نسبت به تست نفوذ

نگاه کسب‌وکارها نسبت به تست نفوذ

۶۶

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با متخصصین تست نفوذ ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. این‌طور فکر می‌کنیم که جمع‌بندی و درکنارهم قراردادن پاسخ‌هایی به هریک از این پرسش‌ها داده شده، در یک متن جدید می‎‌تواند ارزش‌مند و دارای پیامی جدید باشد.پاسخ‌هایی که شامل نکاتی هستند که هم می‌توانند به کار کسب‌وکارها بیایند و هم به کار متخصصین تست نفوذ. 

آن‌چه در این بلاگ‌پست خواهید خواند: 

تفاوت نگاه نسبت به تست نفوذ در بین کسب‌وکارها و متخصصین تست نفوذ

در این بلاگ‌پست گفته‌هایی از 6 متخصص تست نفوذ را خواهید خواند که تجربیات خود درخصوص تست نفوذ را به اشتراک گذاشته‌اند و از نگاه خود راجع به نگاه کسب‌وکارها نسبت به تست نفوذ گفته‌اند.  

گفته‌هایی از:  

رامین اسدیان، آیلین همایونی، مجید موسوی، زهرا، پیمان زینتی، ایلیا کشتکار  

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست. 

تفاوت نگاه نسبت به تست نفوذ در بین کسب‌وکارها و متخصصین تست نفوذ

ما از متخصصین تست نفوذ پرسیدیم: 

شما شاهد چه نگاهی نسبت به تست نفوذ در بین کسب‌وکارها بوده‌اید؟ 

آیا تابه‌حال در پروژه‌های تست نفوذ با کسب‌وکارها، به چالش‌هایی از جنس تفاوت نگاه سمت شما و کسب‌وکار برخورد کرده‌اید؟ 

چه چالش‌هایی؟  

رامین اسدیان:

به نظرم بزرگترین چالش تست نفوذ و متخصصین تست نفوذ این است که در خیلی از سازمان‌ها یا حتی شرکت‌های خصوصی، تست نفوذ را صرفا جهت رفع تکلیف انجام می‌دهند و اصلا تمایلی ندارند که بهشان گزارش پروپیمان‌تری داده شود. یعنی هرچقدر گزارش تست نفوذ خالی‌تر باشد، آن‌ها خوشحال‌تر می‌شوند. با این که اتفاقا باید به دنبال این باشند که آسیب پذیری ها و مشکلاتشان در بیاید. امثال این موارد، چندین بار برایم اتفاق افتاده است. مثلا یک بار یک سرور را تست نفوذ کردم که دیتابیسش را disable کرده بودند. یعنی کلا لاگین هم نمی‌کرد، هیچ دیتایی از دیتابیس لود نمی‌کرد و فقط فایل‌هایش بودند. حالا با وجود این‌ها، ما یک آسیب پذیری کریتیکال از آن سامانه پیدا کردیم. ولی خب آن طراح سایت آمده بود دیتابیس را disable کرده بود. مثلا آن چیزی که داشت و ما کشف کرده بودیم، تنها یک آسیب پذیری SQL Injection بود که می‌گفت اگر دیتابیس disable شود، دیگر اینجا SQL Injection نمی‌خورد، پس اوکی است. این خیلی برای من عجیب بود. درست است که به هر حال ما کارمان را انجام می‌دهیم و همان هزینه‌ای هم که قرار است را می‌گیریم ، ولی خب کار باید به خود آدم هم بچسبد. یعنی کاری که انجامش می‌دهی، ارزشش را داشته باشد. من بعدا به خودشان هم گفتم که این کار از نظر من هیچ ارزشی ندارد. ولی خب به هر حال چیزی بود که خودشان می‌خواستند. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با رامین اسدیان 

آیلین همایونی:

اکثر کسب‌وکارها فکر می‌کنند که وقتی یک بار تست نفوذ را انجام دادند، دیگر برای همیشه امن هستند. حتی گاهی بابت امنیتشان، انتظار ضمانت هم دارند. در حالی که تست نفوذ باید به صورت دوره‌ای انجام شود. یک کسب‌وکار بعد از یک تست نفوذ، حتی وقتی آسیب پذیری هایش را پچ می‌کند، از آن طرف راه‌های حمله‌ جدیدی برای آن پچ هم ممکن است، بیاید. فقط چند مدل ثابت و همیشگی آسیب پذیری وجود ندارند که با یک بار تست نفوذ تمام شوند و سامانه ی کسب‌وکار کاملا امن شود. به همین دلیل است که افرادی که تست نفوذ انجام می‌دهند هم باید به صورت دوره‌ای اطلاعات خود را به‌روزرسانی کنند.    

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با آیلین همایونی  

مجید موسوی:

بله، هنوز هم تصور برخی افراد از تست نفوذ این است که یک هکر نشسته است و دارد سامانه‌شان را هک می‌کند! در حالی که تست نفوذ یک فرآیند قانونی و منطقی است که بر اساس توافق دو طرف انجام می‌شود. هدف این است که سازمان‌ها از ضعف‌های امنیتی‌شان آگاه شوند و آن‌ها را برطرف کنند تا جلوی حملات واقعی گرفته شود.   

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی 

زهرا:

در تست نفوذهایی که ما به‌صورت تیمی تا‌به‌حال انجام داده‌ایم، چالش‌های زیادی وجود داشته است.   

تست نفوذ در سه نوع رایج انجام می‌شود: Black Box (جعبه سیاه)، White Box (جعبه سفید) و Grey Box (جعبه خاکستری). یکی از چالش‌هایی که تقریبا همیشه با آن روبه‌رو شده‌ایم این است:   

سازمان‌ها نسبت به این‌که سورس کد و Credential یا اطلاعات دسترسی را در اختیار تیم تست نفوذ قرار دهند، مقاومت دارند. معمولا از روی ترس با خودشان می‌گویند :" اطلاعات کمی به تیم تست نفوذ دهیم. اگر اطلاعات بیشتر یا سورس‌کد را در اختیارشان قرار دهیم، ممکن است تغییراتی در سورس کد ایجاد کنند، آسیبی بزنند و ... " در حالی‌که نیاز است اعتماد دوطرفه‌ای بین کسب‌وکار و تیم تست نفوذ وجود داشته باشد که البته با امضای قراردادها و NDAها فراهم می‌شود. به خاطر همین ترس و نگرش کسب‌وکارها، اکثر تست نفوذهایی که ما تابه‌حال انجام داده‌ایم به صورت Black Box (جعبه سیاه) و بدون در اختیار داشتن مواردی مانند سورس‌کد برای بررسی، بوده است. درست است؛ در حالت Black Box هم آسیب پذیری هایی پیدا می‌شوند. ولی این نیاز همچنان وجود دارد که سازمان برای تست سورس کد و موارد دیگر، هم کارهایی بکند و از آن‌ها نگذرد.  

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با زهرا 

پیمان زینتی:

یک مورد کمک‌کننده این است که کسب‌وکارها قبل از فرآیند تست نفوذ، جلسه‌‌ای در جهت شناخت برای تیم تست نفوذ، ترتیب دهند؛ بیزینس را توضیح دهند، یا اگر API دارد، مستندات API را در اختیار تیم تست نفوذ قرار دهند. تیم تست نفوذ را به‌عنوان دشمنشان نبینند. به‌عنوان دوستی ببینند و همراهی کنند تا روند راحت‌تر و با کیفیت بالاتری انجام شود.   

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ و امنیت سایبری؛ با پیمان زینتی 

ایلیا کشتکار:

یکی از چالش‌های رایجی که در پروژه‌ی تست نفوذ تجربه می‌کنیم، این است که گزارش آسیب پذیری را برای کسب‌وکار می‌فرستیم. بعد دولوپر در پاسخ می‌گوید: " نه، این آسیب پذیری نیست. فیچر است. " یک مکالمه‌ی تکرارشونده و رایج که معمولا در اکثر مواقع پیش می‌آید، همین است. در چنین شرایطی که طرف مقابل  آسیب پذیر بودن را نمی‌پذیرد و فکر می‌کند که چیز خاصی نیست، ما باید اثبات کنیم که این آسیب پذیری است. معمولا برای اثباتش یک جلسه PoC ترتیب می‌دهیم و سعی می‌کنیم برایشان مواردی را از سمت خودمان توضیح دهیم؛ از گزارش و روشی کشف آسیب پذیری برایشان بگوییم. یا برایشان توضیح دهیم که از دید یک مهاجم چه استفاده‌ای ممکن است از آن شود و چه خطری سامانه را تهدید می‌کند. معمولا هم جلسه‌ی PoC جواب می‌دهد و طرف مقابل آسیب پذیری را می‌پذیرد و قبول می‌کند که لازم است ایمن شود. در مواقعی هم که نمی‌پذیرد، سامانه‌اش را به خدا می‌سپاریم و امیدواریم که کسی آن آسیب پذیری را پیدا نکند و مورد سوءاستفاده قرار ندهد. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با ایلیا کشتکار و مهدی حسینی 

سخن آخر: 

در این بلاگ پست دیدگاه 6 متخصص تست نفوذ را درمورد نگاه کسب‌وکارها نسبت به تست نفوذ، براساس تجربیاتشان شنیدیم. متخصصینی که در یک سمت ماجرا قرار داشته‌اند. شاید بتوانم این گفته‌ها را از جنس آرزو هم ببینیم؛ این‌که متخصصین تست نفوذ آرزو دارند که نگاه کسب‌وکارها نسبت به تست نفوذ چه تغییری بکند؟ قطعا این نگاه هنگامی دقیق‌تر و چندجانبه‌تر می‌گرد که از سمت دیگر ماجرا، یعنی تجربیات کسب‌وکارها هم نگاهی به آن انداخته شود. 

دیدگاه شما راجع به تست نفوذ خوب و تست نفوذ بد، چیست؟ 

بلاگ‌پست‌های مرتبط:  

نکاتی درباره تست نفوذ که کسب‌وکارها معمولا به آن‌ها توجه نمی‌کنند 

تست نفوذ خوب و تست نفوذ بد  

چرا تست نفوذ تیمی؟  

چک لیست قبل از تست نفوذ

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.