با مطالعه استانداردهای تست های امنیتی که در مقاله قبل به آنها اشاره شد، متوجه خواهید شد که بر خلاف باور بسیاری، دو فرآیند ارزیابی امنیتی و تست نفوذ، با یکدیگر یکسان در نظر گرفته میشوند، که در همند به بررسی آن خواهیم پرداخت.
اما ارزیابی امنیتی مفهومی گستردهتر بوده و تست های امنیتی نفوذ یکی از زیر مجموعههای آن است. در این مقاله با مفهوم و روشهای ارزیابی تست های امنیتی آشنا خواهید شد و متوجه میشوید که یک ارزیابی امنیتی خوب باید دارای فرآیندی باشد که به خوبی برنامهریزی و طراحی گردیده است.
مطالعهی این مقاله برای مدیران شرکتها، مدیران امنیت اطلاعات، مدیران فناوری اطلاعات، مشاوران امنیت اطلاعات و تیمهای ارزیابی امنیت اطلاعات توصیه میشود.
ارزیابی امنیتی به فرآیندی گفته میشود که طی آن مشخص میشود موجودیتهای مورد ارزیابی تا چه حد فاکتورهای امنیتی را رعایت کردهاند. موجودیت مورد ارزیابی میتواند شامل سیستمها، شبکه، رولها و دستورات، نیروی انسانی و… باشد، که به آن شیء مورد ارزیابی نیز گفته میشود.
در راستای ارزیابی امنیتی از 3 روش استفاده میشود:
1 . تست | تست های امنیتی :
به فرآیندی گفته میشود که یک یا چند شیء مورد ارزیابی، در شرایط معین به کار گرفته شوند و رفتار آنها با رفتار مورد انتظار، مقایسه گردد. مثلا در یک فرآیند ثبتنام انتظار بر این است که یک کاربر بیاید و ثبتنام کند و وارد سیستم شود، در حالیکه در واقع این اندازه منطقی و راحت برخورد نمیشود. نفوذگر هرگز اینگونه عمل نمیکند. ارزیاب برخلاف توسعهدهنده با نگاه مخاطره و تهدید به سیستم نگاه میکند.
2 . بازرسی :
به فرآیندی اطلاق میشود که یک یا چند شیء توسط بازرس، مشاهده، مطالعه و تحلیل گردد تا شناخت بهتری از سیستم به دست آید. رول بازرس در این مرحله وظیفه دارد تا سیستم و ابعاد آن را به طور کامل تحلیل نماید و چارچوب کلی آن را درک نماید.
3 . مصاحبه | تست های امنیتی :
به فرآیندی گفته میشود که با فرد یا افرادی در سازمان مورد نظر مصاحبه شوند تا با استفاده از اطلاعات بدست آمده، اینبار درک بهتری از سازمان به دست آید.
تا اینجا حتما متوجه این نکته شدهاید که نتایج ارزیابی امنیتی برای تشخیص این که آیا کنترلهای امنیتی، در طول زمان کارایی لازم را دارا هستند یا نه، مورد استفاده قرار میگیرند.
در ادامه روشهای انجام تست و بازرسی که در ارزیابی امنیتی یک سازمان مورد استفاده قرار میگیرند معرفی شده اند. فرآیندها و راهنماییهایی که در این مقاله معرفی شدهاند،
سازمانها را قادر خواهد ساخت تا امور حیاتی زیر را انجام دهند:
1 . سیاست نامه ارزیابی امنیتی حوزه IT را به همراه متدولوژی و تعیین وظایف و مسئولیتهای افراد مرتبط با جنبههای مختلفِ ارزیابی را تدوین نمایند.
2 . برای ارزیابی امنیتی به طور دقیق برنامهریزی کنند.
3 . چگونه یک ارزیابی امنیتی مطمئن و کارا توسط روشهای ارائه شده انجام دهند و چگونه با حوادثی که ممکن است طی ارزیابی به وجود آیند، برخورد نمایند.
4 . یافتههای حاصل از ارزیابی را تحلیل کرده و در جهت کاهش ریسکهای امنیتی اقدام نمایند.
ساختار مستندات ارزیابی شامل بخشهای زیر میباشد:
فصل 1 : مقدمه
توضیحات کلی پروژه و نحوه عملکرد ما به اختصار در این بخش آورده میشود.
فصل 2 : تعریف نقشها، وظایف و متدها
در این فصل از مستند، دورنمایی از ارزیابی امنیتی در حوزه IT شامل خط مشیها، نقشها و وظایف، متدولوژیهاو روشهای ارزیابی ترسیم میشود.
فصل 3 : تکنیکها و روشها
این فصل شامل فنون استفاده شده در بازرسی شامل بازبینی مستندات، بازبینی وقایع ثبت شده، Network Sniffing File Integrity Checking میشود.
فصل 4 : کشف آسیبپذیری | تست های امنیتی
به روشهای کشف اهداف ارزیابی (نظیر Network Discovery) و استفاده از آنها برای یافتن آسیب پذیریهای احتمالی در این فصل پرداخته میشود.
فصل 5 : استفاده از آسیبپذیریها
تکنیکهایی را معرفی میکند که برای تایید وجود آسیب پذیری به کار میروند (مانند روشهای شکستن رمز عبور یا تست نفوذ). اینکه صرفا اشاره به آسیبپذیریها بشود کافی نیست. باید برای اثبات آن اقدامی صورت گیرد که در این فصل کلا به مواردی از این دست اشاره میشود.
فصل 6 : برنامهریزی
فرآیند برنامهریزی (Planning) برای ارزیابی امنیتی را معرفی میکند. برنامهریزی شامل زمانبندی و برنامه ارزیاب برای این تست را شرح میدهد.
فصل 7 : فاکتورهای ارزیابی
فاکتورهایی که در اجرای درست ارزیابی امنیتی موثرند، در این فصل شرح داده خواهند شد.
فصل 8 : گزارشگیری
در آخرین بخش از مستندات هم گزارشهای کلی و راهنماییهایی برای یافتههای ارزیابی امنیتی آورده میشود.