ارزیابی امنیتی و آزمون نفوذ
-(17 Body)  Print

یکی از اساسیترین ارکان تحقق اهداف کیفی، استقرار چارچوبی برای کسب اطمینان از کیفیت خروجی یک سیستم است؛ سنجش و ارزیابی کیفیت خروجی یک سیستم بر مبنای اهداف کیفی میتواند به واسطه بکارگیری روشهای مدیریتی و ابزار تخصصی صورت پذیرد. با عنایت به این که امنیت اطلاعات یک هدف کیفی است ، در حوزه امنیت اطلاعات نیز لازم است ، محصولات تولیدی، زیرساخت و معماری سرویسهای فناوری اطلاعات و همچنین عایدی اقدامات و ابزارهای امنیتی از نظر کیفی مورد ارزیابی قرار گیرد.

در همین راستا، مقتضی است که سازمانها و ادارات در حوزههای حاکمیتی، تولید و مصرف، برای سنجش کیفی و امنیت محصولات نرمافزاری مختلف و زیرساختهای خدمات فناوری اطلاعات نسبت به تدوین و اجرای برنامههای مرتب ارزیابی سطح امنیت اطلاعات اقدام نمایند. بدیهی است که در چرخه ایجاد و بهرهبرداری یک نرمافزار یا سرویس، هر چه زودتر نسبت به کشف اشکال و رفع نقائص اقدام شود، پیامدهای مستقیم و غیرمستقیم ناشی از کاستیهای کیفی و همچنین هزینه‌های مستقیم و غیرمستقیم ترمیم به مراتب کمتر خواهد بود، ولی آیا میتوان مطمئن بود که با صرف بیشترین دقت، دانش بشری مرتکب خطا در تولید نرمافزار و راهاندازی یک سرویس نخواهد شد؟

بر اساس نظریات سازمانهای مرجع حوزه امنیت، شیوهها و روشگانهای ارزیابی را میتوان به سه دسته کلی تقسیمبندی کرد: مرور، بازرسی و آزمون. شیوه مرور، شامل فنون مرور انفعالی و مصاحبه است که معمولاً به صورت دستی انجام میشوند. بازرسی، فرآیند بررسی، بازرسی، مشاهده، مطالعه یا تجزیه و تحلیل فنی سامانه یا سازمان تحت ارزیابی بوده و سعی دارد آسیبپذیریهای امنیتی موجود در سطح سامانه یا شبکههای سازمان را استخراج کند. و در نهایت، آزمون، که اغلب تحت عنوان آزمون نفوذپذیری از آن یاد میشود، فرآیندی است که طی آن رفتارهای یک نفوذگر و نفوذ به سامانهها و شبکهها شبیهسازی میشود. ارزیابی امنیتی زمانی منتج به نتایج مفید میشود که مبتنی بر یک روشگان مشخص و از طریق ابزارهای مناسب صورت گرفته باشد.

شرکت ثامن ارتباط عصر به عنوان یکی از شناخته شده ترین مجموعه بر اساس نظریات سازمانهای مرجع حوزه امنیت، شیوهها و روشگانهای ارزیابی را میتوان به سه دسته کلی تقسیمبندی کرد: مرور، بازرسی و آزمون. شیوه مرور، شامل فنون مرور انفعالی و مصاحبه است که معمولاً به صورت دستی انجام میشوند. بازرسی، فرآیند بررسی، بازرسی، مشاهده، مطالعه یا تجزیه و تحلیل فنی سامانه یا سازمان تحت ارزیابی بوده و سعی دارد آسیبپذیریهای امنیتی موجود در سطح سامانه یا شبکههای سازمان را استخراج کند. و در نهایت، آزمون، که اغلب تحت عنوان آزمون نفوذپذیری از آن یاد میشود، فرآیندی است که طی آن رفتارهای یک نفوذگر و نفوذ به سامانهها و شبکهها شبیهسازی میشود. ارزیابی امنیتی زمانی منتج به نتایج مفید میشود که مبتنی بر یک روشگان مشخص و از طریق ابزارهای مناسب صورت گرفته باشد.

آزمون نفوذ یک فرآیند مجاز، برنامهریزی شده و سیستماتیک برای سوءاستفاده از آسیب پذیری ها جهت نفوذ به سرور، شبکه و یا منابع برنامه های کاربردی است. در واقع آزمون نفوذ روشی برای ارزیابی امنیتی یک سیستم یا شبکه رایانهای است که از طریق شبیهسازی حمله یک هکر یا نفوذ­گر خرابکار صورت میگیرد. فرآیند آزمون نفوذ یک تحلیل فعال از سیستم برای یافتن هر حفره، آسیب پذیری و نقص فنی یا اهمال و ندانمکاری راهبران و کاربران است که بالقوه یک ضعف امنیتی سیستم محسوب می شود. این تحلیل در مقام یک هکر بالقوه انجام میشود و در آن می توان از آسیبپذیریهای امنیتی فعال برای اجرای حملات استفاده کرد. همه مشکلات امنیتی باید همراه با ارزیابی میزان اهمیت آنها و همچنین پیشنهادهایی برای کاهش اثر خطرات و یا راهکارهای فنی به صاحب سامانهها ارائه شوند. آزمون نفوذ میتواند با استفاده از منابع داخلی همچون سیستم امنیتی میزبان و یا منابع خارجی همچون اتصالات شرکت به اینترنت هدایت شود. در این آزمون معمولاً از یک سری ابزارهای اتوماتیک و یا دستی برای آزمودن یکپارچگی و سلامت کارکرد اجزای سامانه استفاده می شود.

توانمندیهای ثامن ارتباط عصر

شرکت ثامن ارتباط عصر به پشتوانه تجربه چندین ساله خود در ارائه طیف متنوع خدمات فناوری اطلاعات و ارتباطات به مؤسسات مالی و بانکی مجموعه کاملی از به روزترین زیرساختهای فناورانه و مجربترین منابع انسانی متخصص لازم برای ارائه خدمات ارزیابی امنیتی را گرد هم آورده است. 

منابع انسانی

با پیچیدهتر شدن ابزارها و فرآیندهای امنیتی مورد استفاده برای محافظت از محرمانگی، صحت و دسترسپذیری داراییهای اطلاعاتی سازمانها، نفوذگران نیز بر دانش خود افزوده و از روشهای نوین و پیچیدهای برای نیل به اهداف خرابکارانه خود استفاده میکنند. تنها راه مقابله با این تهدیدات استفاده از نیروهای امنیتی فنی است که از دانش فنی بالاتری به نسبت نفوذگران داشته و قادر به شناسایی حفرههای امنیتی قبل از بهرهکشی توسط نفوذگران میباشند. در همین راستا شرکت ثامن ارتباط عصر مجموعهای از نیروهای متخصص را گردآوری کرده است که علاوه بر اشراف کامل بر کنترلهای امنیتی مورد استفاده در حوزه فناوری اطلاعات، به جدیدترین روشهای هک و نفوذ دنیا مطلع میباشند.  

زیرساخت ارزیابی امنیتی

امروزه با گسترده شدن زیرساختهای سیستمی و ارتباطی مورد استفاده در کسب و کارهای مبتنی بر فناوری اطلاعات، تکیه صرف به دانش فنی نیروهای ارزیابی امنیتی جوابگو نبوده و ضرورت استفاده از ابزارهای مناسب برای تسهیل و تسریع فرآیندهای ارزیابی امنیتی دوچندان شده است. شرکت ثامن ارتباط عصر با درک این نیاز و در راستای ارتقای سرعت و دقت خدمات ارزیابی امنیتی خود تمامی تیمهای فنی آزمون نفوذ خود را به آخرین و پیشرفتهترین فناوریها و ابزارهای ارزیابی امنیتی مجهز کرده است.

انواع خدمات ارزیابی امنیتی شرکت ثامن ارتباط عصر

شرکت ثامن ارتباط عصر با در کنار هم قراردادن معتبرترین استانداردهای جهانی ارزیابی امنیتی قابل استفاده در فضای کسب و کاری کشور عزیزمان ایران چارچوبی جامع، مؤثر و سریع برای آزمونهای نفوذ جعبه سیاه، جعبه خاکستری و جعبه سفید خود طراحی و تدوین کرده است. در قالب این چارچوب روشگان (متدولوژی) مشخصی برای ارزیابی امنیتی و آزمون نفوذ شبکههای ارتباطی، زیرساختهای سیستمی، برنامههای کاربردی و سرویسهای مبتنی بر وب ایجاد شده است. 

طراحی و پیاده سازی زیرساختهای ممیزی و ارزیابی امنیتی

 

  1. پیاده سازی زیرساخت مدیریت متمرکز و هوشمند آسیب‌پذیری‌ها
  2. پیاده سازی زیرساخت پویش آسیب‌پذیری‌ها امنیتی زیرساختی
  3. پیاده سازی زیرساخت ارزیابی امنیتی برنامه های کاربردی مبتنی بر وب
  4. پیاده سازی زیرساخت مدیریت انطباق سنجی
  5. پیاده سازی زیرساخت آزمون نفوذپذیری
  6. پیاده سازی زیرساخت ارزیابی امنیتی جعبه سفید

مشاوره و تعیین سطح ارزیابی :

  1. مبتنی بر نیازمندی های حوزه کسب و کاری
  2. براساس حساسیت و اهمیت برنامه کاربردی
  3. منطبق بر پیشنهادات ASVS پروژه OWASP

آزمون نفوذپذیری به شکل:

  1. جعبه سیاه به مانند یک هکر واقعی و بیرونی
  2. جعبه خاکستری به مانند نفوذگری با دسترسی های محدود
  3. جعبه سفید و با دسترسی کامل به هدف ارزیابی

 

ارائه پیشنهادات اصلاحی برای رفع آسیب پذیری های امنیتی

 

گزارش های استاندارد

تیم آزمون نفوذ شرکت ثامن ارتباط عصر نتایج آزمون نفوذهای جعبه سیاه و جعبه خاکستری انجام شده بر روی محدوده تحت ارزیابی را در قالب گزارش¬های استانداردی به کارفرما ارائه می¬کند. در همین راستا، جهت مطابقت سنجی گزارش¬های آماده شده با فرمت استاندارد و اطمینان از برآورده شدن تمامی نیازمندی¬های فنی کارفرما، تیم ممیزی و ارزیابی امنیتی شرکت ثامن ارتباط عصر با استفاده از چک لیست های تخصصی استاندارد از وجود موارد مهم زیر در گزارش های مربوطه اطمینان حاصل می کنند:

  1. اطلاعات کامل شخص حقیقی یا حقوقی انجام دهنده آزمون نفوذ
  2. تاریخ دقیق آزمون نفوذهای انجام شده و تدوین گزارش
  3. چکیده مدیریتی آزمون نفوذهای انجام شده و نتایج حاصله
  4. مستندسازی کامل محدوده آزمون
  5. نوع و محدودیت¬ آزمون¬های مورد استفاده
  6. شرح کامل و تفصیلی روشگان ارزیابی

 

  • تهران-خیابان گاندی جنوبی- خیابان پانزدهم- پلاک 25
  • درخواست دمو محصول و ارائه خدمات: 87137330-021
    دفتر مرکزی: 87137000-021
  • info[@]samenea.com
اینستاگرام آپارات آراس اس تلگرام لینکدین