تست نفوذ خودکار
در این نوع تست بجای وابسته بودن به متخصصان امنیت، برخی از سازمان ها و شرکت های انجام دهنده تست نفوذ، ترجیح میدهند تا ارزیابی های امنیتی خود را خوکار کنند. در این نوع تست، یک ابزار امنیتی در برابر سیستم و یا شبکه هدف به اجرا گذارده میشود و وضعیت امنیت آن را ارزیابی میکند. این ابزار سعی میکند تا حملاتی را که شناخته شده هستند از طریق تکرار آنها مورد استفاده قرار دهد. این کار شبیه اسکن اسیب پذیری خواهد بود. بر اساس موفقیت آمیز بودن یا شکست این حملات، ابزار سعی خواهد کرد تا وضعیت امنیت را ارزیابی کرده و گزارشی از آسیب پذیری ارائه دهد.
Image

بهرحال این نکته باید خاطرمان باشد که یک ارزیابی امنیتی کامل شامل پارامترهای بررسی معماری، قوانین امنیتی، رول های قابل تحلیل فایروال، تست اپلیکیشن و معیارهای عمومی است. تست نفوذ اتوماتیک عموما محدود به تست نفوذ خارجی و از لحاظ آگاهی در حد تست جعبه سیاه میباشد. به عنوان یک فرایند اتوماتیک، در تست صورت گرفته هیچ ارزیابی برای پارامترهای پالیسی و معماری در نظر گرفته نمیشود؛ بخاطر همین موضوع ممکن است نیاز باشد تا این فرایند توسط یک متخصص حرفه ای امنیت تکمیل شود.
یک مزیت که برای این تست میتوان مثال زد کاهش مقدار ترافیکی است که برای هر تست لازم است. این موضوع میتواند باعث شود که شرکت در عین مورد ارزیابی قرار گرفتن، بتواند همزمان سرویس های لازم را نیز به مشتریانش ارائه دهد. ارزیابی امنیتی غیر خودکار همیشه از لحاظ پیش نیازها برای یک شرکت منعطف تر و مقرون به صرفه تر است چرا که دیگر نواحی مانند ساختار امنیتی و پالیسی را نیز مورد ارزیابی قرار خواهد داد و از لحاظ دقت مرتبه بالاتری دارد و از به این جهت امن تر است. علاوه بر این انجام تست در بازه های زمانی مشاوران این اجازه را میدهد تا به مدیریت شرکت و مخاطبان فنی خودش آنچه را که در ارزیابی خود کشف کرده است، توضیح دهد.