ارزيابي امنيتي و آزمون نفوذ
-(7 Body)  Print

يکي از اساسيترين ارکان تحقق اهداف کيفي، استقرار چارچوبي براي کسب اطمينان از کيفيت خروجي يک سيستم است؛ سنجش و ارزيابي کيفيت خروجي يک سيستم بر مبناي اهداف کيفي ميتواند به واسطه بکارگيري روشهاي مديريتي و ابزار تخصصي صورت پذيرد. با عنايت به اين که امنيت اطلاعات يک هدف کيفي است ، در حوزه امنيت اطلاعات نيز لازم است ، محصولات توليدي، زيرساخت و معماري سرويسهاي فناوري اطلاعات و همچنين عايدي اقدامات و ابزارهاي امنيتي از نظر کيفي مورد ارزيابي قرار گيرد.

در همين راستا، مقتضي است که سازمانها و ادارات در حوزههاي حاکميتي، توليد و مصرف، براي سنجش کيفي و امنيت محصولات نرمافزاري مختلف و زيرساختهاي خدمات فناوري اطلاعات نسبت به تدوين و اجراي برنامههاي مرتب ارزيابي سطح امنيت اطلاعات اقدام نمايند. بديهي است که در چرخه ايجاد و بهرهبرداري يک نرمافزار يا سرويس، هر چه زودتر نسبت به کشف اشکال و رفع نقائص اقدام شود، پيامدهاي مستقيم و غيرمستقيم ناشي از کاستيهاي کيفي و همچنين هزينه‌هاي مستقيم و غيرمستقيم ترميم به مراتب کمتر خواهد بود، ولي آيا ميتوان مطمئن بود که با صرف بيشترين دقت، دانش بشري مرتکب خطا در توليد نرمافزار و راهاندازي يک سرويس نخواهد شد؟

بر اساس نظريات سازمانهاي مرجع حوزه امنيت، شيوهها و روشگانهاي ارزيابي را ميتوان به سه دسته کلي تقسيمبندي کرد: مرور، بازرسي و آزمون. شيوه مرور، شامل فنون مرور انفعالي و مصاحبه است که معمولاً به صورت دستي انجام ميشوند. بازرسي، فرآيند بررسي، بازرسي، مشاهده، مطالعه يا تجزيه و تحليل فني سامانه يا سازمان تحت ارزيابي بوده و سعي دارد آسيبپذيريهاي امنيتي موجود در سطح سامانه يا شبکههاي سازمان را استخراج کند. و در نهايت، آزمون، که اغلب تحت عنوان آزمون نفوذپذيري از آن ياد ميشود، فرآيندي است که طي آن رفتارهاي يک نفوذگر و نفوذ به سامانهها و شبکهها شبيهسازي ميشود. ارزيابي امنيتي زماني منتج به نتايج مفيد ميشود که مبتني بر يک روشگان مشخص و از طريق ابزارهاي مناسب صورت گرفته باشد.

شرکت ثامن ارتباط عصر به عنوان يکي از شناخته شده ترين مجموعه بر اساس نظريات سازمانهاي مرجع حوزه امنيت، شيوهها و روشگانهاي ارزيابي را ميتوان به سه دسته کلي تقسيمبندي کرد: مرور، بازرسي و آزمون. شيوه مرور، شامل فنون مرور انفعالي و مصاحبه است که معمولاً به صورت دستي انجام ميشوند. بازرسي، فرآيند بررسي، بازرسي، مشاهده، مطالعه يا تجزيه و تحليل فني سامانه يا سازمان تحت ارزيابي بوده و سعي دارد آسيبپذيريهاي امنيتي موجود در سطح سامانه يا شبکههاي سازمان را استخراج کند. و در نهايت، آزمون، که اغلب تحت عنوان آزمون نفوذپذيري از آن ياد ميشود، فرآيندي است که طي آن رفتارهاي يک نفوذگر و نفوذ به سامانهها و شبکهها شبيهسازي ميشود. ارزيابي امنيتي زماني منتج به نتايج مفيد ميشود که مبتني بر يک روشگان مشخص و از طريق ابزارهاي مناسب صورت گرفته باشد.

آزمون نفوذ يک فرآيند مجاز، برنامهريزي شده و سيستماتيک براي سوءاستفاده از آسيب پذيري ها جهت نفوذ به سرور، شبکه و يا منابع برنامه هاي کاربردي است. در واقع آزمون نفوذ روشي براي ارزيابي امنيتي يک سيستم يا شبکه رايانهاي است که از طريق شبيهسازي حمله يک هکر يا نفوذ­گر خرابکار صورت ميگيرد. فرآيند آزمون نفوذ يک تحليل فعال از سيستم براي يافتن هر حفره، آسيب پذيري و نقص فني يا اهمال و ندانمکاري راهبران و کاربران است که بالقوه يک ضعف امنيتي سيستم محسوب مي شود. اين تحليل در مقام يک هکر بالقوه انجام ميشود و در آن مي توان از آسيبپذيريهاي امنيتي فعال براي اجراي حملات استفاده کرد. همه مشکلات امنيتي بايد همراه با ارزيابي ميزان اهميت آنها و همچنين پيشنهادهايي براي کاهش اثر خطرات و يا راهکارهاي فني به صاحب سامانهها ارائه شوند. آزمون نفوذ ميتواند با استفاده از منابع داخلي همچون سيستم امنيتي ميزبان و يا منابع خارجي همچون اتصالات شرکت به اينترنت هدايت شود. در اين آزمون معمولاً از يک سري ابزارهاي اتوماتيک و يا دستي براي آزمودن يکپارچگي و سلامت کارکرد اجزاي سامانه استفاده مي شود.

توانمنديهاي ثامن ارتباط عصر

شرکت ثامن ارتباط عصر به پشتوانه تجربه چندين ساله خود در ارائه طيف متنوع خدمات فناوري اطلاعات و ارتباطات به مؤسسات مالي و بانکي مجموعه کاملي از به روزترين زيرساختهاي فناورانه و مجربترين منابع انساني متخصص لازم براي ارائه خدمات ارزيابي امنيتي را گرد هم آورده است. 

منابع انساني

با پيچيدهتر شدن ابزارها و فرآيندهاي امنيتي مورد استفاده براي محافظت از محرمانگي، صحت و دسترسپذيري داراييهاي اطلاعاتي سازمانها، نفوذگران نيز بر دانش خود افزوده و از روشهاي نوين و پيچيدهاي براي نيل به اهداف خرابکارانه خود استفاده ميکنند. تنها راه مقابله با اين تهديدات استفاده از نيروهاي امنيتي فني است که از دانش فني بالاتري به نسبت نفوذگران داشته و قادر به شناسايي حفرههاي امنيتي قبل از بهرهکشي توسط نفوذگران ميباشند. در همين راستا شرکت ثامن ارتباط عصر مجموعهاي از نيروهاي متخصص را گردآوري کرده است که علاوه بر اشراف کامل بر کنترلهاي امنيتي مورد استفاده در حوزه فناوري اطلاعات، به جديدترين روشهاي هک و نفوذ دنيا مطلع ميباشند.  

زيرساخت ارزيابي امنيتي

امروزه با گسترده شدن زيرساختهاي سيستمي و ارتباطي مورد استفاده در کسب و کارهاي مبتني بر فناوري اطلاعات، تکيه صرف به دانش فني نيروهاي ارزيابي امنيتي جوابگو نبوده و ضرورت استفاده از ابزارهاي مناسب براي تسهيل و تسريع فرآيندهاي ارزيابي امنيتي دوچندان شده است. شرکت ثامن ارتباط عصر با درک اين نياز و در راستاي ارتقاي سرعت و دقت خدمات ارزيابي امنيتي خود تمامي تيمهاي فني آزمون نفوذ خود را به آخرين و پيشرفتهترين فناوريها و ابزارهاي ارزيابي امنيتي مجهز کرده است.

انواع خدمات ارزيابي امنيتي شرکت ثامن ارتباط عصر

شرکت ثامن ارتباط عصر با در کنار هم قراردادن معتبرترين استانداردهاي جهاني ارزيابي امنيتي قابل استفاده در فضاي کسب و کاري کشور عزيزمان ايران چارچوبي جامع، مؤثر و سريع براي آزمونهاي نفوذ جعبه سياه، جعبه خاکستري و جعبه سفيد خود طراحي و تدوين کرده است. در قالب اين چارچوب روشگان (متدولوژي) مشخصي براي ارزيابي امنيتي و آزمون نفوذ شبکههاي ارتباطي، زيرساختهاي سيستمي، برنامههاي کاربردي و سرويسهاي مبتني بر وب ايجاد شده است. 

طراحي و پياده سازي زيرساختهاي مميزي و ارزيابي امنيتي

 

  1. پياده سازي زيرساخت مديريت متمرکز و هوشمند آسيب‌پذيري‌ها
  2. پياده سازي زيرساخت پويش آسيب‌پذيري‌ها امنيتي زيرساختي
  3. پياده سازي زيرساخت ارزيابي امنيتي برنامه هاي کاربردي مبتني بر وب
  4. پياده سازي زيرساخت مديريت انطباق سنجي
  5. پياده سازي زيرساخت آزمون نفوذپذيري
  6. پياده سازي زيرساخت ارزيابي امنيتي جعبه سفيد

مشاوره و تعيين سطح ارزيابي :

  1. مبتني بر نيازمندي هاي حوزه کسب و کاري
  2. براساس حساسيت و اهميت برنامه کاربردي
  3. منطبق بر پيشنهادات ASVS پروژه OWASP

آزمون نفوذپذيري به شکل:

  1. جعبه سياه به مانند يک هکر واقعي و بيروني
  2. جعبه خاکستري به مانند نفوذگري با دسترسي هاي محدود
  3. جعبه سفيد و با دسترسي کامل به هدف ارزيابي

 

ارائه پيشنهادات اصلاحي براي رفع آسيب پذيري هاي امنيتي

 

گزارش هاي استاندارد

تيم آزمون نفوذ شرکت ثامن ارتباط عصر نتايج آزمون نفوذهاي جعبه سياه و جعبه خاکستري انجام شده بر روي محدوده تحت ارزيابي را در قالب گزارش¬هاي استانداردي به کارفرما ارائه مي¬کند. در همين راستا، جهت مطابقت سنجي گزارش¬هاي آماده شده با فرمت استاندارد و اطمينان از برآورده شدن تمامي نيازمندي¬هاي فني کارفرما، تيم مميزي و ارزيابي امنيتي شرکت ثامن ارتباط عصر با استفاده از چک ليست هاي تخصصي استاندارد از وجود موارد مهم زير در گزارش هاي مربوطه اطمينان حاصل مي کنند:

  1. اطلاعات کامل شخص حقيقي يا حقوقي انجام دهنده آزمون نفوذ
  2. تاريخ دقيق آزمون نفوذهاي انجام شده و تدوين گزارش
  3. چکيده مديريتي آزمون نفوذهاي انجام شده و نتايج حاصله
  4. مستندسازي کامل محدوده آزمون
  5. نوع و محدوديت¬ آزمون¬هاي مورد استفاده
  6. شرح کامل و تفصيلي روشگان ارزيابي

 

آپارات آراس اس تلگرام لينکدين
تمامي حقوق متعلق به موسسه ارتباط عصر ثامن مي باشد.