تفاوت Penetration Testing و Vulnerability Assessment

جزییات بازدید : 137

تاریخ انتشار : 03 / بهمن / 1398

تفاوت   Penetration Testing  و Vulnerability Assessment

تفاوت Penetration Testing و Vulnerability Assessment

امتیاز :      ( 4.9 / 5 - 115 نفر )

آیا تا به حال برای شما پیش آمده است که با شرکتی قرارداد تست نفوذ منعقد کرده باشید و در نهایت گزارشی را دریافت کنید که در آن تنها لیست آسیب پذیری های به روز نشده را که توسط انواع ابزارهای امنیتی و به طور خودکار شناسایی شده است را دریافت کرده باشید؟ اگر این گونه است باید بگویم که شما در این موضوع تنها نیستید! این مشکل در بازار خدمات تست نفوذ بسیار شایع است به طوری که بسیار از شرکت ها در خدمات خود تست نفوذ را به مشتریان ارائه می دهند اما در نهایت چیزی که مشتریان آنها در این خدمات دریافت می کنند ارزیابی آسیب پذیریست و نه تست نفوذ! در این مقاله سعی شده است تا تفاوت این دو خدمت به تفصیل شرح داده شود تا بتوانید بهترین سرویس دهنده را جهت رفع نیاز های خود انتخاب نمایید.

 

ارزیابی آسیب پذیری ( Vulnerability Assessment )


تمرکز خدمات ارزیابی آسیب پذیری بر شناسایی آسیب پذیری های موجود در شبکه می باشد و برای تخمین اینکه یک شبکه تا چه حد مستعد آسیب پذیری های شناخته شده می باشد کاربرد دارد. ارزیابی آسیب پذیری شامل استفاده از ابزار های خودکار نظیر Nessus، OpenVAS و ... میباشد که نتایج آنها در قالب گزارش به مشتریان ارائه می شود. نکته ی قابل توجه اینجاست که ارزیابی آسیب پذیری به هیچ عنوان شامل اقدامات نفوذ نمی شود به این معنی که کاربر پس از شناسایی و گزارش آسیب پذیری ها، با استفاده از آن آسیب پذیری ها و یا سایر متد ها اقدامی در جهت نفوذ به شبکه انجام نمی دهد بر همین اساس ممکن است برخی از آسیب پذیری های موجود در گزارش واقعی نبوده و False Positives تلقی گردند.
عنوان یک مشتری خدمات ارزیابی آسیب پذیری گزارشی که دریافت می کنید باید برای هر آسیب پذیری شامل عنوان، توضیحات آسیب پذیری و اهمیت آسیب پذیری (severity)  (بالا، متوسط و پایین )، باشد.
در این گزارش آسیب پذیری های حیاتی و غیر حیاتی به نحوی مشخص می شود که شما بدانید کدام یک را جهت رفع آسیب پذیری در اولویت قرار دهید.

تست نفوذ ( Penetration Testing )


بر خلاف ارزیابی آسیب پذیری، تست نفوذ شامل شناسایی آسیب پذیری ها و تلاش برای Exploit  کردن  آنها جهت نفوذ به شبکه می باشد. در واقع هدف اصلی از تست نفوذ، نشان دادن سطح قابل استفاده بودن یک آسیب پذیری می باشد. اگر شخص نفوذگر از یک آسیب پذیری جهت نفوذ به شبکه استفاده نماید آن آسیب پذیری و نتیجه استفاده از آن را (که آیا منجر به نفوذ شده یا خیر)، در گزارش خو قید می نماید. بنابراین گزارش نهایی می تواند شامل آسیب پذیری های غیر قابل Exploit  نیز باشد. لطفا توجه داشته باشید که این  آسیب پذیری های غیر قابل Exploit  را با آسیب پذیری های False Positives اشتباه نگیرید. آسیب پذیری های غیر قابل Exploit در واقع آسیب پذیری هایی هستند که ممکن است ابزار Exploit  مربوط به آنها هنوز در دسترس همگان قرار نگرفته باشد و تعداد معدودی از افراد در DarkWeb  به آن دسترسی داشته باشند اما هنوز هم آسیب پذیری محسوب می گردند. همچنین مممکن است Exploit  کردن آنها موجب بروز اخلال در عملکرد سیستم و یا DoS  شود.
 در فرایند تست نفوذ، مراحل اولیه شامل استفاده از ابزار های خودکار جهت شناسایی آسیب پذیری می باشد اما پس از آن  بیستر فرایند به صورت دستی و توسط افراد خبره انجام می شود تا بتوانند به نحوی به شبکه ی هدف نفوذ کنند و یا اخلالی در عملکرد آن ایجاد نمایند.

 

تفاوت های ارزیابی آسیب پذیری و تست نفوذ


1.    تفاوت سطح و عمق
یک تفاوت کلیدی میان میان ارزیابی امنیتی و تست نفوذ سطح پوشش آسیب پذیری هاست. در ارزیابی امنیتی سعی بر شناسایی و گزارش تمامی آسیب پذیری هاست حتی اگر قابل استفاده نباشند، حال آنکه در تست نفوذ هدف اصلی شناسایی آسیب پذیری هاییست که بتوان آز آنها استفاده کرده و به عمق شبکه نفوذ کرد.
2.    میزان خودکار بودن
ارزیابی آسیب پذیری توسط ابزار گوناگون و به صورت خودکار انجام می شود حال انکه بخشی از تست نفوذ که مربوط شناسایی آسیب پذیری ها بوده به صورت خودکار و توسط ابزار انجام می شود و بخش اعظم کار که همان نفوذ با استفاده از آسیب پذیری هاست به صورت دستی و توسط افراد خبره انجام می شود.
3.    سطح دانش فنی
با توجه به اینکه ارزیابی آسیب پذیری توسط ابزار انجام می شود نیاز به سطح بالایی از دانش نفوذ ندارد و حتی می تواند توسط واحد امنیت همان سازمان انجام شود هر چند ممکن است آنها آسیب پذیری هایی را شناسایی کنند که قابل رفع نباشند. از این اسیب پذیری ها می توان به Every Day Exploit ها و سیستم عامل های قدیمی ( مانند Windows Server2003 ) که دیگر آپدیت نمی گردد و با توجه به انحصار عملکرد برخی نرم افزارهای قدیمی در برخی از سازمان ها امکان جایگزینی و به روز رسانی آنها وجود ندارد، اشاره کرد.

هر چند وقت یکبار باید انجام شوند؟


ارزیابی امنیتی : حداقل هر یک ماه یکبار به همراه ارزیابی مجدد پس از رفع آسیب پذیری ها
تست نفوذ : حداقل هر سال یکبار

کدام یک بهتر است؟


با توجه به نیاز ها و واقیت های موجود در امنیت فضای تبادل اطلاعات نمی توان گفت کدامیک بر دیگری برتری دارد بلکه می توان گفت این دو به نحوی مکمل یکدیگر هستند. چرا که اگر در ارزیابی آسیب پذیری هیچ آسیب پذیری شناسایی نشود به معنی امن بودن شبکه نیست چرا که ارزیابی اسیب پذیری به شناسایی آسیب پذیری های منطقی و ساختاری نمی پردازد و همچنان شخص نفوذگر می تواند با استفاده از این آسیب پذیری ها و سایر متد ها نظیر مهندسی اجتماعی به شبکه نفوذ نماید و از طرف دیگر تست نفوذی که شامل ارزیابی آسیب پذیری نباشد تمامی مقاط ضعف را پوشش نمی دهد.
پس بهتر است در خدماتی را انتخاب نمایید که در کنار تست نفوذ، ارزیابی امنیتی را نیز به شما ارائه دهند.


متخصصان ما در شرکت تریداتس در تمامی پروژه های تست نفوذ جعبه ی خاکستری جهت اطمینان از کیفت خدمات، فرایند مربوط به ارزیابی امنیتی را نیز گنجانده اند تا بتوانند بهترین خدمات با بالاترین سطح اطمینان را به مشتریان خود ارائه دهند.

ثبت نظر برای این مقاله
امتیاز دهید :
سوال امنیتی : مجموع عدد به علاوه عدد برابر است با : (به عدد وارد نمایید .)