جزییات بازدید : 7124
تاریخ انتشار : 03 / بهمن / 1398
در تست نفوذ جعبه ی خاکستری (Gray Box or Crystal Box Peneteration Test) كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم ميتوانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مينمايد.
یک اشتباه رایج در میان کارشناسان و مدیران این است که تست نفوذ صرفا به معنای تست نفوذ از خارج سازمان به شبکه ی داخلی می باشد و اگر دسترسی به داخل شبکه به نفوذگر داده شود عملا دیگر تست نفوذ معنایی ندارد و این فرایند تبدیل به ارزیابی آسیب پذیری) (Vulnerability Assessment می شود.
باید توجه داشت که شخص نفوذگر همیشه یک هکر در خارج از شبکه نیست. ممکن است نرم افزار مخربی ( C&C ) به نحوی بر روی سیستم یکی از کارکنان نصب شده باشد که در ایران با توجه به استفاده ی گسترده از نرم افزار های کرک شده، این امر بسیار رایج می باشد. در این صورتشخص نفوذگر به شبکه داخلی سازمان دسترسی داشته و با استفاده از مجوز های کاربران سیستم آلوده قادر به دسترسی به منابع داخلی می باشد. در موارد دیگر ممکن است شخص نفوذگر یکی از کارکنان ناراضی در داخل سازمان باشد که قصد سرقت و سو استفاده از اطلاعات و ایجاد اختلال در عملکرد سامانه ها را جهت ایجاد خدشه در اعتبار شرکت را داشته باشد.
در واقع هدف از تست نفوذ جعبه ی خاکستری تست نفوذ و شناسایی آسیب پذیری های داخل سازمان است تا اگر شخصی به هر نحوی به شبکه ی داخلی سازمان و منابع موجود در آن دسترسی داشت به هیچ وجه توان گسترش دسترسی و نفوذ به منابع حیاتی را نداشته و نتواند در عملکرد سامانه های موجود خللی ایجاد نماید.
بر همین اساس تست نفوذ جعبه ی خاکستری فقط شامل ارزیابی آسیب پذیری نبوده و اقدامات نفوذ به شبکه ی داخلی را نیز در بر می گیرد.
برای اطلاعات بیشتر در زمینه ی می توانید مقاله ی تفاوت Penetration Testing و Vulnerability Assessment را در همین سایت مطالعه بفرمایید.