خلاصه مدیریتی
ارزیابیهای امنیتی و آزمونهای نفوذ غالباً بر اساس متدلوژی و روشهای خاصی انجام میگیرند که این مستند به ارائهی روند کاری تیم ارزیابی امنیتی و تست نفوذ رایمند پرداخته و آن را تشریح مینماید.
در واقع هدف از ارائهی تمام مطالب موجود در این مستند عبور از تمامی مراحل تصویر زیر است :
شکل 1 متدلوژی ارزیابی امنیتی و تستنفوذ شرکت رایمند پردازش پاسارگاد
در ادامهی مستند به تشریح تکتک مراحل نمایش دادهشده و چگونگی پیادهسازی مراحل موجود در این شکل میپردازیم.
1 .تشریح مراحل ارزیابی و تستنفوذ
همان طور که در تصویر شماره1 مشخص است، مهاجمین جهت نفوذ به سرورهای یک سازمان مراحل خاصی را به صورت چرخشی دائماً تکرار میکنند. در تدوین متدلوژی ارزیابی و تستنفوذ به این چرخه توجه فراوانی شده و سعی گشته تا با تلفیق آنها با استانداردهای امنیتی مانند OWASP و ISSAF و یا OSSTMM یک روند مناسب جهت تشخیص، اثبات و امحای حداکثری آسیبپذیریها ایجاد کرد.
1-1 مرحلهی اول : نقشهکشی
در این مرحله تمامی مراحل کوکچکتر مربوط به آمادهسازی شرایط جهت شروع ارزیابی امنیتی و تست نفوذ انجام میگیرد.
1-1-1 جمعآوری اطلاعات
جهت اجرای یک تست نفوذ تمامعیار تیم ارزیاب باید تمامی اطلاعات مربوط به سازمان، افراد مسئول، شبکهی سازمان، اطلاعات مربوط به برنامههای کاربردی مورد استفاده و فعال در سازمان و به طور کلی هر نوع اطلاعاتی که به شناخت بیشتر سازمان هدف کمک کند، مورد نیاز است. این مرحله از کار در واقع شبیهسازی همان چیزی است که یک رخنهگر مهاجم در ابتدای عملیات نفوذ خود انجام میدهد. در این مرحله رخنهگر سعی در شناخت هرچه بیشتر سازمان هدف میکند تا بتواند دامنهی وسیعتری را جهت کشف آسیبپذیری در اختیار داشته باشد. همواره شناخت بیشتر از یک سازمان برابر است با آسیبپذیریهای احتمالی بیشتری از آن.
1-1-2 جدولبندی مراحل پروژه
تمامی مراحل پروژه در این قسمت جدولبندی شده و نقشهای از هر فاز پروژه و مراحل مربوط به هر کدام در آن قرار میگیرد. این جدول به تیم ارزیاب و کارفرما کمک خواهد کرد تا بدانند در هر مرحله چه فرآیندهایی باید طی شود، در کجای پروژه قرار دارند و همچنین سرعت و کارایی انجام مراحل را میتوان با استفاده از این جدول اندازهگیری و کنترل کرد. لذا در ابتدای هر پروژه ارزیابی امنیتی و تست نفوذ جدول فازهای پروژه به همراه زیر مراحل هر کدام طراحیشده و تیم ارزیاب و کارفرما از آن جهت کنترل روند کار و نحوهی پیشرفت در پروژه استفاده میکنند.
1-1-3 شناسایی منابع
نوع منابع در هر پروژه ارزیابی امنیتی مشخص میگردد. این منابع شامل افراد متخصص درگیر در پروژه، بودجهی کارفرما، نوع ابزارهای مجاز و تکنیکهای نفوذ مجاز، نوع تست اعم از تست جعبهسفید(White test)، جعبه خاکستری(Gray test) و جعبه سیاه(Black test)، هدف پروژه، دامنهی پروژه و همهی اطلاعاتی اینچنینی میشود.
در برخی از پروژهها ممکن است نیاز به استفاده از شرکت سوم جهت انجام برخی از فعالیتها در فرآیند تست نفوذ باشد، لذا این موارد در ابتدای پروژه باید مشخص گردند.
زمان در اختیار پروژه یکی از مهمترین منابع تیم ارزیاب تلقی میگردد. در برخی پروژهها ممکن است کارفرما بیشتر از 1 هفته زمان برای پروژه ندهد و در برخی دیگر امکان وجود زمان 6 ماه برای انجام کار وجود دارد. مسلماً زمان بیشتر برابر است با تستنفوذ و ارزیابی امنیتی عمیقتر و کاملتر و متعاقباً آزمونهای با زمان کمتر شرایط خاص خود را داشته و به ضروریترین و حیاتیترین موارد آسیبپذیری و امنیتی خواهد پرداخت.
تمامی اینگونه موارد در RFP ارائهشده از کارفرما مشخص خواهند شد.
1-1-4 تخصیص بودجه
میزان بودجه و سرمایهای که کارفرما جهت انجام ارزیابی امنیتی و تستنفوذ سازمان خود در نظر میگیرد تأثیر مهمی در نوع تست و چگونگی آن دارد. مسلماً در صورت وجود بودجه و منابع بیشتر، خصوصاً زمان بیشتر، تیم ارزیاب قادر خواهد بود موارد بیشتری را پوشش داده و درصد امنیت سازمان را افزایش بیشتری دهد. همچنین تخصیص بودجهی بالاتر باعث استفاده از ابزارها و متخصصین حرفهای تری در پروژه شده و طبیعتاً خروجی آن نیز کاملتر و تأثیرگذارتر خواهد بود.
1-1-5 خروجی – نقشهی کار
تمامی موارد بالا به صورت مستندی با عنوان proposal یا همان نقشهی راه تولیدشده و کارفرما را از تمام موارد بالا مطلع خواهد ساخت. این مستند همچنین در طول پروژه به تیم ارزیاب کمک خواهد کرد تا روند ارزیابی و تست نفوذ خود را مدیریت و پایش نمایند.
1-2 مرحلهی دوم: شناخت و آمادهسازی
در این مرحله تیم ارزیاب تمامی اطلاعات مورد نیاز خود را از سازمان کسب کرده و بنا به نوع تست که در مراحل قبل مشخص شده است کار را شروع خواهد کرد.
1-2-1 شناسایی سایبری
تیم ارزیاب در این مرحله به شناسایی سایبری سیستمهای هدف خواهد پرداخت. تکتک سرورهای موجود در دامنهی پروژه دارای پروندهی خاص خود شده و تمامی اطلاعات اعم از نشانی آیپی، نوع سیستم، فناوریهای مورد استفادهی آن، زبانهای برنامهنویسی مورد استفاده، نوع تجهیزات موجود در شبکه و توپولوژی شبکه، مسئولین هر سرور و شماره تماس آنها، اطلاعات موجود در منابع عمومی و به طور کلی هر نوع اطلاعات دیگر که با یا بدون تعامل با کارفرما میتوان آنها را به دست آورد.
همان طور که پیشتر توضیح داده شد این مرحله شبیهسازی کاری است که یک مهاجم در ابتدای نفوذ به یک سازمان انجام میدهد. توجه به این نکته ضروری است که تیم ارزیاب در تمام مراحل به شبیهسازی عملکرد رخنهگر خواهد پرداخت تا آسیبپذیریهای واقعی سازمان در سناریوهای نفوذ به دست آید.
1-2-2 ارزیابی امنیتی
تمامی داراییها و اطلاعاتی که از سرور استخراجشده مورد ارزیابی امنیتی قرار خواهد گرفت. به این معنی که یک تحقیق جامع بر روی آنها انجام خواهد گرفت تا مشخص شود وضعیت کلی آسیبپذیریها در سازمان چگونه است. همچنین به صورت غیرعامل تمامی آسیبپذیریها و نقاط ضعف سیستمهای هدف استخراج خواهد شد. به این صورت تیم ارزیاب میداند که داراییهای سازمان به طور کامل دارای چه نوع آسیبپذیریها و نقاط ضعفی است.
1-2-3 آمادهسازی ابزارها و منابع
با توجه به مرحلهی قبل تیم ارزیاب به آمادهسازی ابزارها و افراد متخصص مرتبط با پروژه میپردازد. همچنین نحوهی تقسیم شدن کار بین اعضا و نقشه عملکردی آنها مشخص خواهد شد. به عنوان مثال اگر در یک پروژه تماماً از زبان برنامهنویسی جاوا جهت نوشتن برنامههای کاربردی استفاده شده است، افراد متخصص در امنیت جاوا و همچنین ابزارهای تست نفوذ این زبان برنامهنویسی و فریمورکهای آن آماده خواهد شد.
در واقع در این مرحله تیم ارزیاب پیشقراولان ارزیابی امنیتی و تستنفوذ سازمان هدف را کاملاً آماده کرده و زمانبندی انجام کار برای متخصصین و رخنهگرهای کلاه سفید تیم مشخص خواهد شد.
بسته به نوع تست تیم ارزیاب یک یا چند سرور حمله (Attack Server) در خارج از شبکهی داخلی کارفرما و یا در داخل آن جهت اجرای شبانهروزی آزمونها آمادهسازی میکند. نشانی این سرورها به کارفرما اعلامشده تا تمامی شرایط لازم جهت دسترسی آنها به سرورهای هدف آماده گردد.
1-3 مرحلهی سوم: ارزیابی امنیتی و تستنفوذ
در این مرحله فرآیندهای تستنفوذ با استفاده از ابزار و یا به صورت دستی بر روی سرورهای هدف انجام خواهد شد. تمامی مراحل موجود در این قسمت بر روی شناخت آسیبپذیری و یا شناخت نقاط ضعف سیستم کار خواهند کرد و هدف نهایی در آن نفوذ به سیستم یا شبکهی سازمان هدف و کشف آسیبپذیریهای مرتبط با آن است.
1-3-1 ارزیابی فعال و غیرفعال
با استفاده از پروندهی ساختهشده در مراحل قبل، درگاهها و سرویسهای فعال بر روی هر سرور مورد پویش قرارگرفته و ریزپارامترهای آن کشف میشود. همچنین جستوجوهایی در سطح منابع عمومی در اینترنت جهت کشف اطلاعات و آسیبپذیری از سرور انجام خواهد شد. به عنوان مثال google-hacking یکی از تکنیکهایی است که به صورت غیرفعال به کشف آسیبپذیری روی سازمان هدف خواهد کرد. در بخش اسکنها و ارزیابیهای فعال تیم ارزیاب به ارسال بستههای شبکهای و شناسایی به صورت مستقیم با سرور خواهد پرداخت تا بتواند موارد بیشتری را علاوه بر تکنیکهای غیرفعال به پروندهی سرور مورد تست اضافه نماید. در پایان این مرحله تمام اطلاعات سرور که میتوان به صورت فعال و غیرفعال از آن بیرون کشید در پروندهی سرور مورد ارزیابی قرار خواهد داشت.
1-3-2 شناسایی و پویش آسیبپذیریها
حال که تمامی اطلاعات مورد نیاز از سرور و سرویسها و درگاههای آن در اختیار تیم ارزیاب قرار دارد، با استفاده از ابزارهای شناسایی آسیبپذیری به صورت فعال خواهد پرداخت. شناسایی آسیبپذیریها با استفاده از نسخهی سرویسها، نوع پاسخ آنها به بستههای ارسالی و تکنیکهای دیگر انجام میگردد. این بخش یکی از اساسیترین مراحل کار است که در آن تیم ارزیاب سعی در شناخت حداکثری آسیبپذیریهای موجود در سرورها از تمام ابزارها و تکنیکهای کشف آسیبپذیری استفاده مینماید.
1-3-3 پیادهسازی سناریوی نفوذ
در این مرحله که تیم ارزیاب حداکثر آسیبپذیریهای ممکن را در سرورهای سازمان هدف کشف کرده است سعی در نفوذ به آنها با استفاده از آسیبپذیریهای خطرناک و نفوذساز میکند. این آسیبپذیریها در واقع مواردی هستند که با استفاده از آنها امنیت سازمان به حداقل ممکن رسیده و در واقع نابود خواهد شد. این کلاس از آسیبپذیریها که به نفوذ کامل به سرور میانجامند مواردی هستند که تحت هر شرایطی در سرور باید اصلاحشده و حذف گردند. چراکه وجود آنها هر نوع فعالیت امنیتی دیگر را نقض کرده و امنیت سیستم را به حداقل خواهند رساند.
در صورت نفوذ موفق تیم ارزیاب تمامی در اولی مرحله سعی در مستند کردن تمامی مراحل و چگونگی آن خواهد کرد. در مواردی کلی سناریوی نفوذ فیلم گرفتهشده تا در آینده در اختیار کارفرما قرار داده شود. تصاویر و اطلاعاتی که در این بخش از ارزیابی وجود دارد در واقع ماحصل کار تیم ارزیابی امنیتی و تستنفوذ است و کارفرما نیز همین بخش را مهم میداند. چراکه از بین صدها آسیبپذیری تنها مواردی که منجر به نفوذ به سازمان میگردند برای سازمان force-module خواهد بود و سریعاً اصلاح خواهند کرد.
نهایتاً در صورت نفوذ موفق به سازمان تیم ارزیاب به مستندسازی کل سناریوی نفوذ پرداخته و به مرحلهی بعد میروند.
1-3-4 پاکسازی ردپای نفوذ
در این مرحله سعی به پاکسازی تمامی مواردی خواهد شد که به مدیران سرور و توسعهدهندگان آن وقوع نفوذ سایبری را اطلاع میدهد. در واقع به دلیل شبیهسازی بودن مراحل تستنفوذ با یک نفوذ واقعی همانند یک رخنهگر تمامی ردپاها از سرور پاک خواهد شد تا کارفرما تا پایان کار از وقوع آن اطلاع نیابد.
1-3-5 افزایش و نگهداری سطح دسترسی
در این گام رخنهگرهای کلاه سفید به افزایش سطح دسترسیهای حاصل از نفوذ خواهند پرداخت و درعینحال سعی در نگهداری دسترسیهای فعلی خواهد شد. کاشت درهای پشتی، نصب اسبهای تراوا و نصب بد افزارهای پیشرفتهی سطح کرنل به دلیل حفظ دسترسی فعلی مهاجمین به سرورهاست، لذا تیم نفوذ با رعایت سطح ریسک موجود برای سرور به اجرای همین موارد خواهد پرداخت تا دسترسیهای خود را حفظ کند.
1-3-6 چرخش دوباره و تکرار
در این مرحله دوباره مراحل شناسایی، ارزیابی، پروندهسازی، شناسایی آسیبپذیری و تستنفوذ و ... اجرا خواهد شد، با این تفاوت که این مراحل همه از سرور نفوذ شده و با سطح دسترسیهای بیشتر در شبکهی سازمان و سرورهای آن انجام میگردد. این چرخه آنقدر ادامه پیدا میکند تا تمامی سرورها و شبکههای موجود در دامنهی پروژه پوشش دادهشده و ارزیابی امنیتی و تست نفوذ کامل گردد.
1-4 ارائهی گزارش و مستندات
در این مرحله تمامی موارد موجود در فازهای پیشین پروژه از شناسایی گرفته تا نفوذ و پاکسازی ردپاها همه و همه مستند شده و در گزارشی کامل در اختیار کارفرما قرار خواهد گرد. این گزارش خروجی تمامی تلاشهای تیم ارزیاب در نفوذ و ارزیابی امنیتی سرورها و شبکهی سازمان خواهد بود. کارفرما در این گزارش از تمام اطلاعاتی که تیم ارزیاب دارند باخبر شده و شناخت خود را نسبت به داراییهای سایبری سازمان خود و همچنین تهدیدات و آسیبپذیریهای آن افزایش خواهد داد.
1-5 ارائهی راهکار و ممیزی
در این بخش مستند دوم به کارفرما ارائه خواهد شد. حال که نسبت به داراییها و آسیبپذیریهای هر کدام شناخت به عمل آمد، مستند دوم به مشتری کمک خواهد کرد که هر کدام از تهدیدات را چگونه خنثی کرده و آسیبپذیری را از میان بردارد.
همچنین پس از اعمال موارد موجود در مستند راهکارها تیم ارزیاب به ممیزی موارد پرداخته تا مطمئن گردد موارد آسیبپذیری به درستی و به صورت استاندارد اصلاحشدهاند.
پس از طی موفقیتآمیز تمامی مراحل ، تأییدیهی امنیتی به کارفرما داده خواهد شد و تضمین نفوذناپذیری با درصد معینی به او داده خواهد شد.
2 جمعبندی و خلاصه
در این مستند مراحل کار و جریان عملیاتی آزمونهای نفوذ و ارزیابی امنیتی به طور کلی آورده شده و درعینحال از جزئیات صرفنظر شده است چراکه ارائهی جزئیات در هر گام به مستندی چند صد صفحهای خواهد انجامید که از حوصلهی این بحث خارج است. اما به هر صورت به این نکته دقت گردد که هر کدام از فازها و مراحل ارائهشده در این مستند خود شامل دهها و یا صدها ریز مرحله بوده که تیم ارزیاب تمامی آنها را جهت تکمیل فرآیند طی میکند.