مصاحبه تست نفوذ شبکه یا زیرساخت (Network Penetration Testing Interview) یک فرایند مهم در امنیت اطلاعات و شبکههاست که باهدف ارزیابی و آزمون میزان آمادگی یک سیستم یا شبکه در مقابل حملات سایبری انجام میشود. در این مصاحبهها، افراد متخصص در امنیت اطلاعات بهعنوان "تست نفوذگر" یا "پنتستر" تلاش میکنند تا با استفاده از تکنیکها و ابزارهای مختلف، نقاط ضعف امنیتی در سیستمها را شناسایی کنند و بهاینترتیب به مدیران و مسئولان امنیتی کمک کنند تا اقدامات اصلاحی لازم را انجام دهند. پرسشهای مصاحبه تست نفوذ شبکه معمولاً به افراد متخصص در امنیت اطلاعات، تجربهٔ عملیاتی و تئوریکی آنها را مورد سنجش قرار میدهد. پاسخهای این پرسشها میتوانند درک عمقی از مهارتها، دانش فنی و تجربهٔ تست نفوذگر را نشان دهند. سوالات مصاحبه تست نفوذ شبکه و پاسخ ها
مراحل 7 تا است:
- جمع آوری اطلاعات ( نقشه شبکه مشخص کردن domain endpoint هایی که باید تست بشه)
- اسکن کردن و سرشماری Enumeration که شامل اسکن port service و آسیب پذیری
- اکسپلویت کردن
- بکدور گذاشتن
- بالا بردن سطح دسترسی
- نفوذ داخل شبکه post exploit
- تهیه گزارش مدیریتی و فنی
انواع تست نفوذ شبکه شامل:
- تست نفوذ زیرساخت خارجی (اینترنت)
- تست نفوذ داخلی (شبکه داخلی)
- تست نفوذ بی سیم ( wireless )
این فاز شامل جمع آوری ip domain subdomain open ports services می باشد
اسکن آسیب پذیری توسط یک ابزار انجام می شود و امکان false positive وجود دارد که باز نیازمند یک کارشناس تست نفوذ برای بررسی نهایی می باشد و تست نفوذ یک فرآیند شبیه سازی حملات شناخته شده روی بستر مشخص و ارائه گزارش تست می باشد.
Attack vector :
- مجموع حملاتی که امکان پیاده سازی آن ها می باشد را attack vector می گوییم
Attack surface:
- نقاط آسیب پذیر یا بالقوه برای نفوذ یا حمله را attack surface می گوییم.
Attack vector را می توان با اسکنر آسیب پذیری، تحلیل معماری شبکه شناسایی کرد.
معمول ترین مشکل ها که برخوردم پسورد دیفالت، پورت های باز و نداشتن Vlan بندی بوده است.
اسکنرهایی زیادی داریم که این کار می کنند:
- Nikto
- Nessus
- Nmap
- OpenVAS
بالا بردن سطح دسترسی تکنیک های مختلفی دارد دور زدن uac، کپی کردن یک توکن و … که از یوزر ساده به یوزر سیستم یا root برسیم.
Privilege escalation horizontal:
دسترسی به منابع و اطلاعات دیگر یوزرها همسطح تو شبکه
Privilege escalation vertical
دسترسی یوزر ساده به دسترسی سیستم یا ROOT
فرآیند pivoting به معنای استفاده از یک سیستم و دسترسی به Route ها یا مسیرهایی که می بیند به سیستم های دیگر می باشد. خیلی ساده از یک وب شل میگیریم و بعد از شل شبکه را اسکن می کنیم و با یوزر و پسورد از طریق شل به یک سرور با یک ای پی که وب سرور می بیند و داخل شبکه هست و در اینترنت نیست متصل می شویم.
سرریز بافر یا باف BOF آسیب پذیری روی برنامه هایی می باشد که در مقدار ورودی کنترل ندارند و ورودی بیش از حد مجاز دریافت می کنند و اصطلاحا memory overwrite می کند که هکر می تواند از این آسیب پذیری برای اجرای کد به صورت لوکال یا ریموت استفاده کند.
هنر فریفتن و سوءاستفاده از عواطف انسان ها امکان این را دارد تا اطلاعاتی حساس که در حالت عادی نمی دهند را بتوان گرفت و همچنین آن ها را وادار به انجام کارهایی که نباید بکنند یا در حالت عادی انجام نمی دهد کرد.
برخی از تاکتیک ها
- Phishing
- Pretexting
- Baiting
- Tailgating
- impersonation
تست نفوذ فایروال IDS IPS
شامل ارزیابی rules ها هست که شامل چک کردن روش های بایپس و ارزیابی واکنش آن ها هست
- Wafw00f
- Nmap
- Hping
- netcat
هیچ تفاوتی بین وب اپ های داخلی شبکه با بیرونی وجود ندارد همان آسیب پذیری های owasp مثل sql xss
در فرآیند تست نفوذ باید مثل هکر همه حملات و lateral movement داخل شبکه به صورت مخفیانه انجام شود تا ارزیابی به صورت واقعی انجام شود.
حمله ای ما بین کلاینت و سرور می باشد و می توان توسط این حمله شبکه را شنود، تغییر در پکت و ارسال پکت به جای دیگر انجام داد. جهت جلوگیری از این حمله می توان از زیرساخت CA استفاده کرد.
بروت فورس کردن کلید رمزنگاری اگر الگوریتم رمزنگاری از طول کلید کم استفاده کرده باشه
- Bruteforce attack
برای پیدا کردن کلید رمزنگاری
- Known plaintext attack
- Chosen plaintext attack
تست نفوذ باید طبق قرارداد و قوانین ذکر شده در مفاد قرارداد باشد و دقیقا همان دامنه یا scope که در خواست شده تست شود و دسترسی به اطلاعات حساس فقط با اجازه کارفرما و طبق قرارداد باشد و NDA وجود داشته باشد. همچنین نباید موجب اختلال در کسب و کار ایجاد شود.
بله، برای تست نفوذ شبکه بانکی، نیازمند برگزاری جلسات مختلف برای شناسایی معماری شبکه و هماهنگی با واحد IT می باشد همین طور چون شبکه های بزرگ مثل شبکه بانکی mixed هستند از تکنولوژی ها سخت افزارها و سیستم عاملهای مختلف استفاده میشود برای مدیریت بهتر نیازمند برنامه ریزی دقیق برای کشف attack surface و attack vector ها بود که با کمک تیم و استفاده از automation توانستیم نقاط ورودی و خروجی و نقاط ضعف را کشف کنیم.
- شرکت در کنفرانس ها یا خواندن مقالات
- شرکت در وبینار شرکت های امنیتی
- خواندن وبلاگ ها
- بررسی ابزارهای جدید امنیتی در گیت هاب
- مطالعه بلاگ ها روزانه در medium
- همچنین در صورت فرصت شرکت در CTF
عموما در تست نفوذ رویکرد اولویت بندی بر اساس ارزیابی ریسک روی زیرساخت حساس و همچنین خود آسیب پذیری می باشد. CPE, CVE مثل ذخیره سازها، سرویسهای که در سطح کشور سرویس می دهند که بر اساس مدیریت ریسک اولویت بندی می شود.
به صورت کلی زیرساخت های ابری مثل AWS Azure GCP و … به ندرت آسیب پذیری دارند و مشکل بیشتر سمت پیکربندی نادرست سازمان ها می باشد مثل کنترل دسترسی و امنیت API، رمزنگاری روی ذخیره سازها و مشکلات Inadequate Identity and Access Management IAM و حملات DDOS جزوی از این مشکلات هستند.
ترکیب خلاقانه چند آسیب پذیری را Vulnerability Chaining می نامند. امکان این وجود دارد یک آسیب پذیری به تنهایی امکان سوء استفاده نداشته باشد ولی در کنار آسیب پذیری دیگر بتوان impact بالاتری داشته باشد. مثلا weak password یا یوزر و پسورد دیفالت و از طریق ورود به یک سرور داخل شبکه و بالا بردن سطح دسترسی به اکتیو دایرکتوری رسید.
برای ارائه و تحویل گزارش تست نفوذ به افراد غیر فنی و مدیران باید از powerpoint و نمودار و تصویرهای زیاد استفاده کرد تا بتوان ریسک در کسب و کار و مشکلات در صورت برطرف نشدن با نمایش نمودار خسارت توجیه کرد.
هر زمان در طول تست نفوذ به داده های حساس کارمندان مدیران یا مشتری ها سازمان بر می خورم. تست نفوذ متوقف و این مورد را به کارفرما اطلاع می دهم و طبق مفاد قرارداد به قوانین احترام می گذارم تا به مشکلات قانونی نخورم.
من از methodology ها و standard های مختلف به صورت ترکیبی استفاده می کنم و هیچگاه روند تست نفوذ کامل بر اساس PTES یا NIST نیست بلکه ترکیبی از متدلوژی ها استفاده میکنم چون شرایط متفاوت است و باید طبق شرایط روش ها را ترکیب کرد.
روش های دور زدن از قبیل
- IP fragmentation
- Protocol level obfuscation
- Covert channel
ردتیم با تست نفوذ خیلی متفاوت است در ردتیم حملات گروه های APT شبیه سازی می شود و هدفش بررسی و ارزیابی مکانیسم های دفاعی و بلو تیم است. در حالی که تست نفوذ هدفش کشف تمامی گپ های آسیب پذیری ها مشکلات کانفیگ هست و از مهندسی اجتماعی در رد تیم استفاده می شود نه تست نفوذ
تست نفوذ دستگاه های اینترنت اشیا شامل:
- مهندسی معکوس
- تجزیه و تحلیل communication protocols
- شناسایی attack vectors
برای تست نفوذ باید بررسی کرد نحوه جدا سازی از شبکه اصلی صورت گرفته یا نه، احراز هویت، رمزنگاری و بررسی communication protocols امکان شنود وجود دارد یا نه.
یکی از وظیفه های سنیور راهنمایی اعضای تازه ورود یا جونیور هست مثل آموزش دادن، کمک در حل چالش ها، بررسی گزارش هاشون و کمک در بهتر کردن گزارش نویسی، ایجاد حس خوب در جونیور که بتواند مشکلات را بیان کند.
آسیب پذیری های که شناخته شده نیستند 0day نام دارند. نحوه تست برای کشف این آسیب پذیری ها از طریق تست نفوذ جعبه سفید میسر است. و نیازمند تحلیل منطق که در حال اجرا می باشد و معماری برنامه است.
با توجه به CVE و اولویت در ریسک آسیب پذیری به سازمان راه حل برای رفع مشکل PATCH یا کاهش سطح مخاطره MITIGATION در گزارش تست نفوذ ارائه می کنم.
بله چندین بار شده بوده در موارد مختلف بلاک شوم یا دسترسی قطع شود ولی با استفاده از بک دورها دوباره دسترسی برگرداندم و خیلی مخفیانه بدون که تیم امنیتی سازمان بفهمد ادامه تست نفوذ را انجام دادم و از حملات بروت فورس و اسکن شبکه خودداری کردم.
بله چندین بار شده که به صورت قانونی از من خواسته شده تست نفوذ را بدون اینکه ادمین شبکه یا کارکنان شبکه بدانند انجام دهم و من این کار با رعایت عدم شناسایی تیم انجام دادم و تمامی attack vector ها را پیاده سازی و مشکلات امنیتی ثبت و در گزارش قید کردم ولی به صورت غیر قانونی درخواست هایی که شده بود را همگی رد کردم تا دچار مشکل قانونی نشوم.
تغییرات قابل توجه در آزمایش نفوذ: "در یک تعامل، چندین آسیب پذیری را شناسایی کردیم که داده های مشتریان را در معرض دید قرار می داد و می تواند منجر به زیان های مالی قابل توجهی شود. یافته های ما سازمان را بر آن داشت تا شیوه های امنیتی خود را بازسازی کند، و در آموزش های اضافی برای کارکنان سرمایه گذاری کند. و کنترل های امنیتی قوی را برای جلوگیری از حوادث آینده اجرا کنید."
بله با قوانین GDPR و HIPAA آشنا هستم. در طول تست نفوذ کلیه تست ها در محیط شرکت و هیچ شخصی خارج شرکت امکان دسترسی ندارد و همه اعضای تیم اجبار به حفظ قوانین حریم شخصی مشتری هستند تا هیچ یک اطلاعات به بیرون درز نکند.
ارزیابی شبکه های صنعتی نیازمند دانش آکادمیک و فنی روی این شبکه ها است. مانند انواع تست نفوذ ابتدا با ارزیابی ریسک زیرساخت انجام می شود و سپس به ارزیابی communication protocol و تجزیه تحلیل آن ها باید پرداخته شود و نیازمند چند مهندس عملیات صنعتی در تیم تست نفوذ هست تا درک درستی از سازکار داشته باشیم و بتوانیم آسیب پذیری را کشف و اکسپلویت کنیم این نوع تست نفوذ باید تحت تدابیر امنیتی بالا انجام شود تا مشکلی در زیرساخت پیش نیاید یا اطلاعات به بیرون درز نکند.