تفاوت «تست نفوذپذیری» و «ارزیابی آسیب پذیری» از منظر کارفرما

سلام

When to Get a Penetration Test vs. A Vulnerability Assessment

خیلی از شرکت ها دوست دارند که به عنوان اولین اقدام امنیتی از «تست نفوذ پذیری» یا «penetration testing» استفاده کنند. بعضی ها فقط در حد رویا می مونند و حاضر نیستند پولی واسش خرج کنند. اما وقتی یک شرکت در فضای مجازی بزرگ میشه مجبوره که این کار رو انجام بده. برای همین تست نفوذ از نگاه خیلی ها جالبه و اگر مشتری اون رو داشته باشید به راحتی میشه از اون پول درآورد.

مشکل اینه که در اکثر موارد شرکت ها، پول‌ زیادی رو به خاطر تست نفوذ هدر می دهند و این در حالیه که انواع دیگه ای از اقدمات امنیتی هم وجود داره که اون‌ها ازش غافل اند. این موردی که در این مطلب آوردم می تونه به عنوان بهترین انتخاب برای شما (به عنوان یک شرکت) باشه.

pentest vs vuln ass

انواع ارزیابی های امنیتی یا Security Assessment
جدای از اینکه خیلی ها فقط اسم «تست نفوذ پذیری» به گوش‌شون خورده و فقط از اون استفاده می کنند، انواع دیگری از ارزیابی های امنیتی هم وجود داره:

  • ارزیابی آسیب پذیری ها یا Vulnerability Assessments: جهت پیدا کردن لیستی از تمام آسیب پذیری های موجود در سیستم استفاده می شود.
  • بررسی امنیتی یا Audits: جهت مشخص کردن اینکه محدوده ی مشخصی از سیستم که قراره کار بررسی رو روی اون انجام بدید با استانداردهای موجود قابل قبول است یا خیر. /* در خصوص این واژه با توجه به اینکه ما یک لغت‌نامه تخصصی در زمینه ی هکینگ نداریم، من اینجوری ترجمه‌اش کردم. اگر شما ترجمه ی بهترین سراغ دارید خوشحال میشم بهم بگین. منظور هم اینه که: وقتی یک سورس کد رو به شما می دند اون رو audit می کنید و مشکلات اون رو به کارفرما می گین*/
  • تست نفوذ پذیری یا Penetration Tests: جهت مشخص کردن این که آیا مهاجم می تواند به اهداف خبیثانه ی خود در محیط شما نائل شود و یا خیر.

 هر کدام از این موارد دارای اهدافی هستند و می توانند مفید باشند. مشکل اینه که در اکثر مواقع شرکت ها این سه تا رو یکی می دونند و از اونجایی که تست نفوذ نسبت به بقیه مرسوم تره فقط اون رو انجام می دند؛ در حالی که ممکنه اون ها نیاز به «ارزیابی آسیب پذیری‌ها» داشته باشند.

زمان مناسب برای تست نفوذ پذیری
زمانی که قصد استفاده از این مورد را دارید حتما باید از قبل «ارزیابی آسیب پذیری» را انجام داده و موارد پیدا شده را وصله کرده باشید. بخش آخر نکته ای کلیدی است؛ اگر شما مواردی که پیدا کرده اید رو درست نکرده باشید با انجام تست نفوذ پذیری صرفا پول خود را هدر داده اید.

تفاوت اصلی بین تست نفوذپذیری و ارزیابی آسیب پذیری ها اینه که در تست نفوذپذیری به دنبال پیدا کردن تمام مشکلات سیستم نیستیم. تنها هدف تست نفوذپذیری اینه که به یک هدف یا مجموعه ای از اهداف که از قبل مشخص شده دسترسی پیدا کنیم. مثل مدیریت دامنه ها یا اطلاعات مربوط به کارمندان در دیتابیس یا...

زمانی که تمام موارد رو درست کردید بعد از اون تست نفوذپذیری رو اجرا کنید. در واقع تست نفوذپذیری زمانیه که از امنیت سیستم خودتون مطمئنید و با این کار می خواین به اطمینان کامل تری برسید.

زمان مناسب برای ارزیابی آسیب پذیری
اکثر شرکت ها به تنها چیزی که احتیاج دارند، لیستی از مشکلات سیستم‌هاست تا بتونند اون رو درست کنند. و این همان جایی است که ارزیابی آسیب پذیری وارد بازی می شود.

هدف تست نفوذپذیری اینه که به اهداف مشخصی دست پیدا کنیم؛ در حالیکه هدف ارزیابی آسیب پذیری اینه که به شما جهت شناسایی و ترمیم مشکلاتی که هر دو طرف از وجود اون باخبرند، کمک کنه و این یک فرق اساسی بین این دو مورد است.

خلاصه
قبل از اینکه سفارش کاری را دهید می بایست انواع آن را بشناسید. در زیر دو نوع اصلی را در یک جمله آورده ام:

ارزیابی آسیب پذیری: «من می دونم که مشکلاتی دارم. لطفا اون ها رو برای من مشخص و تقسیم بندی کنید»
تست نفوذ پذیری: «فکر می کنم که دیگه مشکلی ندارم اما اگر تونستی به موارد x,y یا z دست پیدا کنی، من رو هم با خبر کن.»

لینک مقاله:

http://h30499.www3.hp.com/t5/Fortify-Application-Security/When-to-Get...

ترجمه آزاد توسط: تمدن
تاریخ ساخت: December 15, 2014 یا ۲۴ آذر ۱۳۹۳
تاریخ انتشار:January 8, 2015 یا ۱۸ دی ۱۳۹۳