ارزیابی آسیب پذیری را با تست نفوذ جعبه ی خاکستری اشتباه نگیرید!

ارزیابی آسیب پذیری را با تست نفوذ جعبه ی خاکستری اشتباه نگیرید!

جزییات بازدید : 95

تاریخ انتشار : 03 / بهمن / 1398

ارزیابی آسیب پذیری را با تست نفوذ جعبه ی خاکستری اشتباه نگیرید!
امتیاز :      ( 4 / 5 - 118 نفر )

در تست نفوذ جعبه ی خاکستری (Gray Box or Crystal Box Peneteration Test)  كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم مي‌توانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مي‌نمايد.
یک اشتباه رایج در میان کارشناسان و مدیران این است که تست نفوذ صرفا به معنای تست نفوذ از خارج سازمان به شبکه ی داخلی می باشد و اگر دسترسی به داخل شبکه به نفوذگر داده شود عملا دیگر تست نفوذ معنایی ندارد و این فرایند تبدیل به ارزیابی آسیب پذیری)  (Vulnerability Assessment  می شود.

باید توجه داشت که شخص نفوذگر همیشه یک هکر در خارج از شبکه نیست. ممکن است نرم افزار مخربی ( C&C ) به نحوی بر روی سیستم یکی از کارکنان نصب شده باشد که در ایران با توجه به استفاده ی گسترده از نرم افزار های کرک شده، این امر بسیار رایج می باشد. در این صورتشخص نفوذگر به شبکه داخلی سازمان دسترسی داشته و با استفاده از مجوز های کاربران سیستم آلوده قادر به دسترسی به منابع داخلی می باشد. در موارد دیگر ممکن است شخص نفوذگر یکی از کارکنان ناراضی در داخل سازمان باشد که قصد سرقت و سو استفاده از اطلاعات و ایجاد اختلال در عملکرد سامانه ها را جهت ایجاد خدشه در اعتبار شرکت را داشته باشد.
در واقع هدف از تست نفوذ جعبه ی خاکستری  تست نفوذ و شناسایی آسیب پذیری های داخل سازمان است تا اگر شخصی به هر نحوی به شبکه ی داخلی سازمان و منابع موجود در آن دسترسی داشت به هیچ وجه توان گسترش دسترسی و نفوذ به منابع حیاتی را نداشته و نتواند در عملکرد سامانه های موجود خللی ایجاد نماید.
بر همین اساس تست نفوذ جعبه ی خاکستری فقط شامل ارزیابی آسیب پذیری  نبوده و اقدامات نفوذ به شبکه ی داخلی را نیز در بر می گیرد.

برای اطلاعات بیشتر در زمینه ی می توانید مقاله ی تفاوت Penetration Testing و Vulnerability Assessment را در همین سایت مطالعه بفرمایید.

ثبت نظر برای این مقاله

سوال امنیتی : مجموع عدد به علاوه عدد برابر است با : (به عدد وارد نمایید .)