شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
چرا تست نفوذ تیمی؟

چرا تست نفوذ تیمی؟

۶۳

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با متخصصین تست نفوذ ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. این‌طور فکر می‌کنیم که جمع‌بندی و درکنارهم قراردادن پاسخ‌هایی به هریک از این پرسش‌ها داده شده، در یک متن جدید می‎‌تواند ارزش‌مند و دارای پیامی جدید باشد.پاسخ‌هایی که شامل نکاتی هستند که هم می‌توانند به کار کسب‌وکارها بیایند و هم به کار متخصصین تست نفوذ.  

آن‌چه در این بلاگ‌پست خواهید خواند: 

تست نفوذ تیمی یا فردی؟ 

چرا تست نفوذ تیمی؟  

نکاتی در مورد تست نفوذ تیمی 

در این بلاگ‌پست گفته‌هایی از 6 متخصص تست نفوذ را خواهید خواند که به پرسش‌های بالا پاسخ داده‌اند، تجربیات خود درخصوص تست نفوذ را به اشتراک گذاشته‌اند و از نگاه خود راجع به تست نفوذ تیمی گفته‌اند. 

گفته‌هایی از: 

امید شجاعی، آیلین همایونی، مجید موسوی، محمدرضا عمرانی، زهرا، ایلیا کشتکار و مهدی حسینی 

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.  

تست نفوذ تیمی یا فردی؟ 

ما از متخصصین تست نفوذ پرسیدیم: تست نفوذ تیمی را ترجیح می‌دهید یا تست نفوذ تیمی؟ 

امید شجاعی: 

من فکر می‌کنم اگر چند کارشناس تست نفوذ بر روی یک سامانه کار کنند، خیلی بهتر از این حالت است که صرفا فقط یک کاشناس تست نفوذ ( هر چه قدر هم که باتجربه باشد) کار تست نفوذ یک سامانه را انجام دهد. افکار افراد مختلف، خیلی متفاوت و متنوع هستند و نتیجه‌ی بهتری حاصل می‌شود. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با امید شجاعی 

آیلین همایونی: 

من بهترین حالت تست نفوذ را، تست نفوذی می‌دانم که به صورت تیمی انجام شود. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با آیلین همایونی 

مجید موسوی: 

من هم تجربه‌ی کار فردی دارم و هم کار تیمی؛ ولی قطعاً پروژه‌های تیمی را ترجیح می‌دهم. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با مجید موسوی 

محمدرضا عمرانی: 

در حال حاضر بین تست نفوذ تیمی و فردی، ترجیح من تست نفوذ به‌صورت تیمی است. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با محمدرضا عمرانی 

زهرا: 

در تجربه‌ی من تست نفوذهایی که خیلی خوب جواب داده‌اند، اکثرشان تست نفوذهای تیمی بوده‌اند. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با زهرا 

ایلیا کشتکار: 

در پروژه‌های تست نفوذ، CTF، باگ بانتی، باگ پارتی و ... . معمولا در هر موردی، کار تیمی بهتر از کار انفرادی جواب می‌دهد. 

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با ایلیا کشتکار و مهدی حسینی 

چرا تست نفوذ تیمی؟ 

کنجکاو بودیم که بدانیم "چرا؟"؛ چرا این افراد تست نفوذ تیمی را انتخاب می‌کنند؟ در پشت جواب‌های بالا، چه دلایلی وجود داشته است؟ تست نفوذ تیمی، چه مزایایی دارد؟ 

آیلین همایونی: 

مثلا: من برخی آسیب پذیری ها را خیلی راحت پیدا می‌کنم و بر آن‌ها تسلط بیشتری دارم. در کنارش برخی آسیب پذیری های دیگر را اصلا نمی‌توانم پیدا کنم یا کمتر حوصله‌شان را دارم. ولی خب وقتی در یک تیم با یک فرد دیگر هم‌تیمی می‌شویم، هر کداممان به برخی آسیب پذیری هایی که تسلط بیشتری داریم، می‌پردازیم و اتفاق کامل‌تری می‌افتد. 

برخی آسیب پذیری ها به طور قطعی مشخص نیستند. هیچ زمانی یک فرد نمی‌تواند به طور صددرصد بگوید : "من اطمینان دارم که این آسیب پذیری وجود دارد. " ولی در حالتی که تعداد افراد و دیدگاه‌هایشان بیشتر می‌شود، احتمال اشتباه هم پایین می‌آید. 

مجید موسوی: 

چون وقتی یک تیم متخصص دور هم جمع می‌شوند، دیدگاه‌های متفاوتی روی یک پروژه اعمال می‌شود. ممکن است من در یک بخش تجربه‌ی کافی نداشته باشم، اما فرد دیگری در تیم بتواند آن را پوشش دهد. این همکاری باعث می‌شود که سامانه به‌طور جامع‌تری تست شود. 

البته چالش‌هایی در کار تیمی وجود دارد، اما در نهایت باعث رشد و هم‌افزایی می‌شود. 

محمدرضا عمرانی: 

فرصت اشتراک دانش، در تست نفوذ تیمی، خیلی خوب فراهم می‌شود. بر اساس تجربه‌ای که داشتم، کار گروهی تاثیر زیادی بر روی پیشبرد اهداف دارد؛ من به دیگران مطالبی یاد می‌دهم و به همان اندازه از آن‌ها یاد می‌گیرم. برخلاف گذشته که خیلی اهل کار تیمی نبودم و ترجیح می‌دادم همه چیز را به‌صورت فردی جلو ببرم، الان خوشبختانه واقعاً از کار کردن کنار دوستان و همکارانم لذت می‌برم. بازدهی و عملکردم هم نسبت به قبل خیلی بهتر شده است.    

زهرا: 

امکان تقسیم بعضی کارها، در تست نفوذ تیمی فراهم است. می‌شود بعضی موارد را به آن عضوهایی که تخصص و تجربه‌ی بیشتری در آن دارند، سپرد. مثلا ما در تجربه‌های تیمی تست نفوذهای مختلف این‌طور عمل کرده‌ایم: بعضی افراد تیم بیشتر روی کلاینت ساید تمرکز کرد‌ه‌اند و بعضی افراد تیم روی سرور ساید. وقتی پروژه‌ی تست نفوذ سامانه‌ای را داشته‌ایم که مثلا تکنولوژی خاصی داشته است، این‌طور فکر کرده‌ایم: " به فلانی که بیشتر در حوزه‌ی این تکنولوژی (مثلا ASP.Net ) کار کرده است و شناخت بیشتری دارد، بگوییم که بر تست نظارت داشته باشد."    

ایلیا کشتکار: 

حالت انفرادی زمان بیشتری هم می‌برد. در کار تیمی تمرکزت بالاتر می‌رود. اگر در موقعیتی خسته هستی و نمی‌توانی تمرکز کنی، می‌دانی که هم‌تیمی‌ات کار را پیش می‌برد. تو هم اگر نکته‌ای یادت افتاد، می‌توانی به کار اضافه کنی. معمولا اگر بحث جمع‌آوری اطلاعات و تست پیلودها برای این‌که گزارش اولیه دستمان بیاید، باشد، هم‌تیمی‌ام، مهدی حسینی، در این مورد خیلی سریع‌تر از من عمل می‌کند. عادت من این‌گونه است که وقتی چیزی را پیدا می‌کنم، حتما باید روی آن خیلی ریز شوم؛ تا چیزی را پیدا نکنم، بی‌خیال آن موضوع نمی‌شوم. این عادت در بعضی موقعیت‌ها می‌تواند به کار بیاید و در بعضی موقعیت‌ها می‌تواند بد باشد. مثلا؛ من نمی‌توانم تارگت گسترده‌ای را به‌سرعت و به‌راحتی چک کنم. ولی خب مهدی دقیقا برعکس من است. خیلی راحت و سریع پیلودها را ارسال می‌کند، بدون این که بررسی عمیقی کند که در آن‌جا چه خبر است. ممکن است که در مواقعی هم یک سری موراد از زیر دستمان در برود. ولی خب معمولا به‌خوبی نتیجه می‌دهد و با همین روشی که پیش گرفته است، اکثر اوقات خیلی سریع‌تر از من نقاط آسیب پذیری را پیدا می‌کند.   

مهدی حسینی: 

در پروژه‌های تست نفوذ، معمولا کارها را تقسیم می‌کنیم. مثلا می‌گوییم: این بخش را شما انجام بده و آن بخش را من انجام می‌دهم. در مواقعی که ایلیا مشغول کارهای خودش است، من کارهای تست نفوذ را انجام می‌دهم و در مواقعی که من مشغول کار هستم، او کارهای تست نفوذ را انجام می‌دهد.    

نکاتی در مورد تست نفوذ تیمی 

محمدرضا عمرانی: 

ترکیب اعضای تیم در کار تیمی و تست نفوذ تیمی خیلی اهمیت دارد. کار تیمی یعنی این‌که افراد با مهارت‌ها، تجربه‌ها و دیدگاه‌های متفاوت کنار هم قرار بگیرند تا به یک هدف مشترک برسند. بعضی وقت‌ها آدم‌ها فکر می‌کنند چون در تخصص خودشان حرفه‌ای هستند، پس در بقیه‌ی زمینه‌ها هم خیلی خوب عمل می‌کنند. اما به نظر من، این‌طور نیست؛ حرفه‌ای بودن فقط به مهارت فنی محدود نمی‌شود. اخلاق حرفه‌ای هم به همان اندازه مهم است. حتی اگر در تخصصت خیلی هم قوی باشی، ولی روی مهارت‌های نرم مثل ارتباط موثر، همکاری و احترام به بقیه کار نکنی، نمی‌توانی از آن مهارت‌ فنی به بهترین شکل ممکن استفاده کنی.   

زهرا: 

این‌که هد تیم، بتواند مجموع تست‌های افراد را به‌صورت کاستومایز‌شده مدیریت کند، خیلی خوب است. ما در دوره‌ای از فعالیت تیمی‌مان، داشتیم این موارد را در تجربه یاد می‌گرفتیم. در مسیر تجربه‌هایمان به چالش‌ها و مشکلات زیادی هم برمی‌خوردیم. مثلا کل سامانه را به افراد مختلف می‌سپردیم که هر کدام تمامش را بررسی و تست کنند. وقتی چند نفر تست می‌کردند، آسیب پذیری های بیشتری هم پیدا می‌شد و این خوب بود. در عین حال، رفته‌رفته به این دید هم رسیدیم که می‌توانیم با سازمان‌دهی دقیق‌تر، به‌طور بهینه‌تری پیش برویم؛ به این شکل که در تقسیم کار، به تخصص و تجربه‌ی افراد توجه کنیم. اگر می‌خواهیم کار یک بخش مشخص را به چند نفر از اعضای تیم بسپاریم، به کاردان‌های آن بخش بسپاریمش. خوشبختانه الان در تیممان، به جریان و هماهنگی روانی در این خصوص رسیده‌ایم. صد البته که برای آموزش هم در کنار تست نفوذ برنامه ریزی می‌شود تا سطح دانش افراد محدود نماند.   

سخن آخر: 

در این بلاگ پست دیدگاه 6 متخصص تست نفوذ را درمورد تست نفوذ تیمی براساس تجربیاتشان شنیدیم. 

دیدگاه شما راجع به تست نفوذ تیمی چیست؟ چه خوشایندی‌ها و ناخوشایندی‌هایی را در آن می‌بینید؟ چه مزایا و چالش‌هایی را در آن تجربه کرده‌اید؟ 

بلاگ‌پست‌های مرتبط: 

تست نفوذ خوب و تست نفوذ بد 

چک لیست قبل از تست نفوذ

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.