اصطلاحات «هک اخلاقی» و «تست نفوذ» اغلب به جای هم در هنگام اشاره به فرآیند بررسی  و ارزیابی سیستم‌های یک سازمان استفاده می‌شوند، اما در واقع کمی متفاوت هستند.

دانستن تفاوت آنها ضروری است زیرا هر یک جزء اصلی امنیت سایبری هستند.

هک اخلاقی چیست؟

هدف هک اخلاقی ، مانند هکر های واقعی (هکر هایی که نیت خرابکارانه دارند) ، یافتن آسیب پذیری های امنیتی در سیستم های یک سازمان است. با این حال، با توجه به مفهوم هک اخلاقی، شخصی که حمله را انجام می دهد باید قبل از اقدام، تاییدیه سازمان مورد نظر را داشته باشد. در غیر این صورت تلاش های او برای نفوذ به شبکه سازمان، غیر قانونی و جرم تلقی خواهد شد

چرا یک سازمان باید از کسی بخواهد که آنها را هک کند؟

پاسخ ساده است : یکی از بهترین راهکار های حفظ و ارتقای امنیت اطلاعات سازمان، طبعاً این است که از دید یک هکر که قصد نفوذ به شبکه را دارد نگاه کنیم. ابتدا به دنبال آسیب پذیری ها و سپس سو استفاده از آنها می باشیم. سازمان ها نیز از هکر ها می خواهند که گزارشی از آسیب پذیری های آنها را ارائه دهد تا درصدد رفع آنها باشند. سازمانها می‌دانند که یکی از بهترین راه‌ها برای شناسایی نقص‌هایی که یک مجرم سایبری ممکن است از آن سوء استفاده کند این است که خود مانند یک مجرم سایبری آسیب پذیریهای زیرساخت و سیستم را کشف کنند.

هکرهای اخلاقی اغلب پیش از پابلیش شدن سامانه ها بر روی فضای اینترنت، آنها را اسکن می کنند. پیش از آنکه سرویس بر روی اینترنت قرار گیرد، هکر های اخلاقی سرویس مورد نظر را اسکن می کنند و آسیب پذیری هایی که می توان از آنها سو استفاده کنند را به مالک سرویس ارائه می دهند.

به طور مشابه، سازمان‌ها می‌توانند از هکرهای اخلاقی به عنوان بخشی از طرح «باگ باونتی( ‘bug bounty’ ) » استفاده کنند. به این معنی که به افرادی که شواهدی مبنی بر در سیستم‌های سازمان ارائه می‌کنند، پاداش‌های مالی داده می شود.

با این حال، باگ باونتی صرفاً راهی برای کمک به سازمان‌ها در شناسایی نقاط ضعف نیستند. برنامه باگ باونتی افرادی را که گاهی تفننی هک می کنند را نیزتشویق می کند تا از دانش خود برای امور قانونی استفاده کنند.

بسیاری از هکرها نه تنها برای درآمد مالی بلکه به خاطر سرگرمی و یا آموزش،  سیستم های سازمان ها را در اوقات فراغت خود بررسی می کنند. اما چنانچه به داخل سازمان نفوذ کنند، ممکن است اهداف دیگری در سر بپروراند واز هکر کلاه سفید به کلاه سیاه تبدیل شوند.

کلاه سفید، کلاه سیاه و کلاه خاکستری

هکرها به سه دسته تقسیم می شوند. هکرهای کلاه سفید (یا همان هکرهای اخلاقی) که با افشای یافته های خود به سازمانها کمک می کنند تا امنیت خود را تقویت کنند و آسیب پذیری های موجود در سرور و سامانه ها را کاهش دهند.

از سوی دیگر، هکرهای کلاه سیاه صرفاً درجهت کسب سود و به صورت غیر قانونی فعالیت می کنند. انگیزه آنها معمولاً پول می باشد، اما حملات این هکرها می تواند سیاسی یا انتقام جویانه نیز باشد (مانند داکسینگ اشخاص – انتشار بدخواهانه اطلاعات شخصی آنها).

در بین این دسته ها، هکرهای کلاه خاکستری نیز حضور دارند. اینها افرادی هستند که گاهی سازمان ها را با حسن نیت هک می کنند اما حملات مخربی نیز انجام می دهند.

اگر این موضوع شما را نگران می‌کند که آیا می‌توانید به یک هکر کلاه سفید اعتماد کنید، نترسید. بسیار بعید است که کسی حمله مخربی را علیه سازمانی که برای تحقیق در آن استخدام شده است انجام دهد، زیرا این امر شغل او را به خطر می اندازد.

داکسینگ (Doxing) چیست؟

  •  داکس کردن (Doxing) به معنای جستجو، تحقیق و جمع‌آوری اطلاعات خصوصی یا شناساگر یک فرد یا سازمان با کمک اینترنت و انتشار آن می‌باشد. ریشه این فعل واژه Dox (مخفف Documents به معنای اسناد) می‌باشد.

منبع : پایگاه اطلا‌ع‌رسانی پلیس فتا

تست نفوذ چیست؟

تست نفوذ یک نوع خاص از هک اخلاقی است که در آن سازمان یک متخصص خبره را برای ارزیابی مکانیزم و زیرساخت امنیت سایبری خود استخدام می کند .

این ارزیابی معمولاً از طریق ممیزی در محل سازمان مورد نظر انجام می شود. نفوذگر به مقدار معینی از اطلاعات خاص و ویژه دسترسی خواهد داشت و تا زمانی که اطلاعات حساسی را پیدا کند از آنها استفاده می کند

انواع مختلف تست های نفوذ بر جنبه های خاصی از محیط منطقی یک سازمان تمرکز می کنند.  این شامل:

  • تست های شبکه خارجی
  • تست های شبکه داخلی
  • تست های برنامه های وب
  • تست شبکه های وایرلس

برخلاف هک اخلاقی، آزمایش‌های نفوذ معمولاً در زمان‌های مشخص و تنظیم شده انجام می‌شوند .معمولاً هر سه ماه یکبار یا هر زمانی که سازمان تغییرات عمده‌ای در شبکه‌ها یا برنامه‌های خود ایجاد کند.

کدام یک برای شما مناسب است؟

در زمان‌های مختلف، تست نفوذ و هک اخلاقی راه حل مناسبی برای شما خواهد بود، زیرا هر دو در دستیابی به اهداف ضروری امنیت سایبری کمک می‌کنند.

هک اخلاقی به شما ارزیابی کاملی از شیوه‌های امنیتیتان  را می‌دهد و با گزینه باونتی باگ ، می‌تواند نقاط ضعف سیستم‌هایی را که از قبل فعال هستند شناسایی کند.

رویکرد آن در امنیت سایبری بسیار متنوع تر از تست نفوذ است. در حالی که تست نفوذ عمدتاً بر روی نقاط ضعف سیستم متمرکز است، هک اخلاقی به بازیگران این آزادی را می دهد تا از هر روش حمله ای که در اختیار دارند استفاده کنند.

آن‌ها می‌توانند از پیکربندی‌های نادرست سیستم سوء استفاده کنند، ایمیل‌های فیشینگ بفرستند، حملات گذرواژه‌ای را انجام دهند، محیط فیزیکی را نقض کنند یا هر کار دیگری را انجام دهند که معتقدند به آنها امکان دسترسی به اطلاعات حساس را می‌دهد.