کنترل امنیت شماره ۲۰: تست نفوذ و Red Team؛ آزمون واقعی کنترل‌ها

آخرین کنترل از سری ۲۰ کنترل امنیتی درباره تست نفوذ و Red Team است. این کنترل قرار نیست جای کنترل‌های قبلی را بگیرد؛ قرار است نشان دهد کنترل‌های قبلی در عمل چقدر جواب می‌دهند. روی کاغذ ممکن است همه چیز مرتب باشد، ولی تست خوب معلوم می‌کند مسیر واقعی حمله کجاست.

مبنای این مطلب: SANS Critical Security Control 20: Penetration Tests and Red Team Exercises، یعنی «تست نفوذ و تمرین Red Team» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

قبلا در مطلب تفاوت Penetration Test و Red Team درباره این موضوع نوشته بودم. اینجا نگاه را به عنوان کنترل امنیتی جمع‌بندی می‌کنم.

تست نفوذ با اسکن آسیب‌پذیری فرق دارد

اسکن آسیب‌پذیری لازم است، ولی تست نفوذ نیست. اسکن می‌گوید چه چیزی ممکن است آسیب‌پذیر باشد. تست نفوذ بررسی می‌کند آیا می‌شود از آن ضعف در شرایط واقعی سوءاستفاده کرد یا نه، و اثرش تا کجا می‌رسد.

اگر خروجی فقط لیست CVE باشد، هنوز کار کامل نیست. باید مسیر حمله، ریسک واقعی، شواهد، اولویت اصلاح و پیشنهاد قابل اجرا مشخص شود.

Red Team برای سنجش کل زنجیره است

Red Team معمولا محدود به یک آسیب‌پذیری نیست. هدف این است که ببینیم مهاجم با ترکیب ضعف‌ها تا کجا می‌تواند پیش برود و تیم دفاعی چقدر متوجه می‌شود. ممکن است مسیر از فیشینگ شروع شود، به یک اکانت ضعیف برسد، بعد حرکت جانبی و دسترسی به داده حساس.

این نوع ارزیابی بدون آمادگی سازمانی ممکن است فقط استرس ایجاد کند. باید هدف، محدوده، قواعد، زمان و افراد مطلع کاملا مشخص باشند.

محدوده باید دقیق نوشته شود

یکی از مهم‌ترین بخش‌ها scope است. کدام IP، کدام دامنه، کدام اپلیکیشن، چه ساعتی، با چه سطح دسترسی و با چه محدودیتی؟ اگر محدوده دقیق نباشد، یا تست بی‌اثر می‌شود یا ریسک اختلال بالا می‌رود.

• سیستم‌های حساس و ممنوعه مشخص شوند.
• روش گزارش رخداد در زمان تست معلوم باشد.
• تست‌های مخرب فقط با هماهنگی انجام شوند.
• مسئول فنی سمت سازمان در دسترس باشد.

گزارش باید قابل اجرا باشد

گزارش خوب فقط شدت بالا و پایین نمی‌نویسد. باید بگوید مشکل دقیقا کجاست، چطور اثبات شده، اثرش چیست، چه اصلاحی پیشنهاد می‌شود و بعد از اصلاح چطور باید دوباره تست شود. اگر تیم فنی بعد از خواندن گزارش نداند از کجا شروع کند، گزارش کاربردی نیست.

تست باید به اصلاح وصل شود

تست نفوذ بدون پیگیری اصلاح، بیشتر شبیه عکس گرفتن از مشکل است. ارزش واقعی وقتی ایجاد می‌شود که یافته‌ها وارد برنامه اصلاح شوند، مالک داشته باشند، زمان‌بندی شوند و بعد از اصلاح دوباره بررسی شوند.

جمع‌بندی عملی

کنترل ۲۰ یعنی کنترل‌های امنیتی را فقط باور نکنیم؛ آزمایش کنیم. تست نفوذ و Red Team اگر درست طراحی شوند، نقاط کور را نشان می‌دهند و کمک می‌کنند بودجه و زمان روی ریسک‌های واقعی خرج شود.