تفاوت Vulnerability Assessment، Penetration Test و Red Team Assessment

فرق بین Vulnerability Assessment، Penetration Test و Red Team Assessment هنوز هم در خیلی از پروژه‌ها درست جا نیفتاده. خیلی وقت‌ها کارفرما می‌گوید پنتست می‌خواهم، ولی چیزی که واقعاً لازم دارد فقط یک ارزیابی آسیب‌پذیری است. گاهی هم برعکس؛ سازمان فکر می‌کند با یک اسکن و گزارش PDF کار تمام شده، در حالی که باید ببیند تیم امنیت و زیرساختش در برابر یک حمله واقعی چقدر آماده است.

برای همین قبل از انتخاب سرویس، باید اول هدف مشخص شود. قرار است فقط ضعف‌ها پیدا شوند؟ قرار است exploit هم انجام شود؟ یا هدف این است که توان تشخیص و واکنش سازمان در شرایط نزدیک به حمله واقعی سنجیده شود؟ جواب این سؤال‌ها تعیین می‌کند کدام مسیر مناسب‌تر است.

Vulnerability Assessment چیست؟

Vulnerability Assessment بیشتر روی شناسایی آسیب‌پذیری‌های شناخته‌شده تمرکز دارد. یعنی سیستم‌ها، سرویس‌ها، نسخه نرم‌افزارها، تنظیمات اشتباه، پورت‌های باز، ضعف‌های SSL/TLS، نبود patch و موارد مشابه بررسی می‌شوند و خروجی کار معمولاً یک گزارش اولویت‌بندی‌شده برای اصلاح است.

در این مدل معمولاً هدف exploit کردن نیست. هدف این است که سازمان بداند کجاها مشکل دارد و اول باید سراغ کدام موردها برود. برای زیرساخت‌هایی که مدت‌ها audit نشده‌اند یا inventory دقیقی ندارند، همین مرحله به‌تنهایی می‌تواند کلی ریسک را روشن کند.

Penetration Test چه فرقی دارد؟

در Penetration Test فقط به پیدا کردن ضعف اکتفا نمی‌شود. تستر تلاش می‌کند آسیب‌پذیری قابل بهره‌برداری را در محدوده توافق‌شده exploit کند و نشان دهد این ضعف در عمل چه اثری دارد. مثلاً آیا از یک سرویس بیرونی می‌شود دسترسی داخلی گرفت؟ آیا یک misconfiguration ساده می‌تواند به دسترسی ادمین برسد؟ آیا از یک باگ وب می‌شود به دیتابیس یا فایل‌های حساس رسید؟

پنتست باید scope، زمان‌بندی، روش تست، سطح دسترسی مجاز و محدودیت‌های عملیاتی واضح داشته باشد. روی سیستم production نمی‌شود بی‌محابا تست زد. بعضی تست‌ها باید در بازه کم‌ریسک انجام شوند و بعضی exploitها فقط تا جایی اجرا شوند که اثبات ریسک کافی باشد، نه اینکه سرویس سازمان آسیب ببیند.

Red Team Assessment برای چه زمانی است؟

Red Team Assessment مرحله‌ای بالاتر از پنتست معمولی است. اینجا مسئله فقط پیدا کردن vulnerability نیست؛ مسئله این است که یک سناریوی حمله واقعی، با حداقل سر و صدا، روی زنجیره کامل دفاع سازمان اجرا شود. یعنی شناسایی، ورود اولیه، حرکت جانبی، دسترسی به هدف، دور زدن کنترل‌ها و در نهایت سنجش اینکه Blue Team چه چیزی را دید و چه زمانی واکنش نشان داد.

Red Team برای هر سازمانی مناسب نیست. اگر patch management، لاگ‌برداری، EDR، کنترل دسترسی، segment بندی شبکه و response plan هنوز پایه‌ای هستند، پنتست و hardening اولویت بیشتری دارد. Red Team زمانی ارزش واقعی دارد که سازمان به یک بلوغ نسبی رسیده و می‌خواهد دفاع خودش را در شرایط نزدیک‌تر به واقعیت محک بزند.

Blue Team در این میان چه نقشی دارد؟

در یک اجرای درست، Red Team فقط برای پیدا کردن راه نفوذ نیست. خروجی مهم‌تر این است که Blue Team بفهمد کجا دیر متوجه شده، کدام alert بی‌اهمیت فرض شده، کدام log اصلاً جمع‌آوری نمی‌شده و کدام کنترل در عمل کار نکرده است. اگر بعد از تمرین، playbook و مانیتورینگ بهتر نشود، Red Team فقط یک نمایش پرهزینه بوده است.

کدام را انتخاب کنیم؟

اگر تازه می‌خواهید وضعیت را بشناسید، از Vulnerability Assessment شروع کنید. اگر می‌خواهید اثر واقعی ضعف‌ها را ببینید، Penetration Test انتخاب بهتری است. اگر سازمان شما کنترل‌های امنیتی پایه را دارد و می‌خواهد توان تشخیص و واکنش را در برابر سناریوی واقعی بسنجد، Red Team Assessment معنی پیدا می‌کند.

اشتباه رایج این است که همه این‌ها را با یک اسم صدا بزنیم. هرکدام هدف و خروجی متفاوتی دارند. انتخاب درست باعث می‌شود بودجه امنیتی در جای درست خرج شود و گزارش نهایی هم فقط یک لیست طولانی از ضعف‌ها نباشد، بلکه مسیر اصلاح واقعی بدهد.

مطالب مرتبط

• تست نفوذ و Red Team در کنترل‌های امنیتی
• ارزیابی مستمر آسیب‌پذیری و اصلاح ضعف‌ها
• مدیریت پاسخ به حادثه امنیتی