آزمون نفوذپذیری شبکه و سامانه ها

آزمون نفوذپذیری بهترین و دقیق‌ترین روش برای سنجش میزان امنیت یک نرم افزار، رایانه یا شبکه است که با شبیه‌سازی حملات یک حمله‌ کننده (هکر) واقعی انجام می‌شود. در این روش، تمام نرم‌افزارها، سیستم‌ها و سرویس‌های نصب شده بر روی آن برای یافتن مشکلات امنیتی، آزمایش شده و سپس اقدام به رفع آنها می‌شود.
آزمون نفوذپذیری به روش‌های مختلفی انجام می‌شود که عمده‌ترین اختلاف آنها، تفاوت در میزان اطلاعات آزمون‌گر درباره سیستم مورد نظر و همچنین میزان دسترسی وی به آن سیستم است. آزمون جعبه سیاه، روشی است که بدون داشتن هیچگونه اطلاعات قبلی در مورد سیستم، توسط آزمون‌گر انجام می‌شود. آزمون جعبه سفید یا آزمون شفاف، روشی است که در آن آزمون‌گر، مشخصات کامل سیستم را در اختیار دارد. در این میان، روش دیگری هم وجود دارد که در آن، تنها بخشی از اطلاعات در اختیار آزمون‌گر قرار می‌گیرد و به آزمون جعبه خاکستری معروف‌ است. با انجام آزمون شفاف می‌توان سیستم را به طور دقیق‌تر و برای موارد بیشتر تست کرد در صورتی که با انجام آزمون جعبه سیاه ممکن است تمام حفره‌های موجود مورد بررسی قرار نگیرند. بنابراین در مواقعی که امنیت نقش کلیدی ایفا می‌کند، لازم است که آزمون شفاف انجام شود.

هدف از انجام آزمون نفوذپذیری
مهمترین اهداف انجام آزمون نفوذپذیری عبارتند از:
·  شناسایی راه‌های نفوذ به شبکه سازمان (کشف رخنه‌های امنیتی)
·  شناسایی تهدیدها و آسیب پذیری‌های موجود در سازمان
·  برطرف‌سازی آسیب پذیری‌های شناسایی شده، به منظور افزایش ضریب امنیتی سازمان

استانداردهای اجرای آزمون نفوذپذیری
از جمله استانداردهای مطرحی که تیم آزمون نفوذ اینجانب برای انجام آزمون نفوذپذیری در سازمان‌ها و شرکت‌های متقاضی از آنها استفاده می‌کند، می‌توان به استاندارد OWASP (Open Web Application Security Project ) اشاره کرد.

متدولوژی‌های انجام آزمون نفوذپذیری
از مهمترین متدولوژی‌هایی که متخصصان تیم آزمون نفوذ اینجانب برای شناسایی آسیب پذیری‌ها از آنها استفاده می‌کنند می‌توان به OSSTM ( the Open Source Security Testing Methodology Manual ) و ISSAF (Information  Systems Security Assessment Framework ) اشاره کرد.

ابزارها، نرم افزارها و تیم آزمون نفوذپذیری
امروزه نرم افزارها و ابزارهای آزمون نفوذپذیری متعدد و متنوعی وجود دارد که می‌توان از آنها برای انجام ارزیابی‌های امنیتی استفاده کرد. اگر چه این ابزارها می‌توانند کار آزمون نفوذ را به صورت خودکار انجام دهند اما به طور کلی، استفاده از آنها توصیه نمی‌شود زیرا اولاً نرم افزار مورد نظر می‌تواند خود ابزاری مخرب باشد که اطلاعات را در اختیار طراحان آن قرار دهد و ثانیاً این نرم افزارها هوش انسان را ندارند و نمی‌توانند تمام حفره‌های موجود را شناسایی کنند و در نهایت، تنها قسمت محدودی از حفره‌های موجود در برنامه‌ها را کشف می‌کنند. همچنین استفاده از این ابزارها در صورتی که سازمان از نرم افزار اختصاصی نوشته شده برای خود، استفاده می‌کند عملاً غیرممکن می‌شود زیرا آنها قادر به شناسایی آسیب پذیری‌های موجود در این برنامه‌های اختصاصی سازمان نیستند.
از سوی دیگر، به دلیل اینکه کیفیت آزمون نفوذپذیری، ارتباط مستقیمی با میزان دانش امنیتی و تجربه آزمون‌گر از نرم‌افزارها و سرویس‌های موجود بر روی سیستم دارد، لازم است که این آزمون توسط یک تیم متخصص انجام شود تا همه اجزای برنامه‌ها و سامانه‌ها بتوانند به صورت کامل، مورد بررسی قرار گیرند.
در خدمات آزمون نفوذپذیری که توسط تیم تخصصی اینجانب انجام می‌شود، هر یک از اعضای تیم، مسئول تست بخشی از برنامه‌ها، سامانه‌ها و شبکه‌ها هستند که این امر می‌تواند موجب شناسایی بهتر آسیب پذیری‌ها شده و راه حل‌های لازم برای رفع این آسیب پذیری‌های کشف شده را به صورت تخصصی‌تری ارایه کند.

روش اجرای آزمون نفوذپذیری
در سرویس آزمون نفوذپذیری که توسط تیم امنیتی اینجانب ارایه می‌شود، حملات شبیه‌سازی شده‌ای که کاملاً تحت کنترل متخصصان تیم است، در زمان‌های مشخصی که خللی بر فعالیت‌های سازمان وارد نمی‌شود، بر روی شبکه هدف اجرا شده و تلاش می‌شود در یک محیط واقعی، مشکلات امنیتی شناسایی شوند. این روش که شیوه سازمان یافته‌ای از آزمون نفوذپذیری و مبتنی بر استانداردهای مطرح بین‌المللی است، آزمونی نسبتاً جامع و کامل از تمام نرم افزارها، سامانه‌ها و شبکه‌های سازمان را تضمین می‌کند. در پایان اجرای آزمون نفوذ نیز گزارش کاملی از فعالیت‌های صورت گرفته ارایه می‌شود.
بطور کلی، این مراحل در شکل زیر نشان داده شده است:


توانمندی‌های تیم آزمون نفوذپذیری
از مهمترین توانایی‌های تیم آزمون نفوذپذیری اینجانب می‌توان به موارد زیر اشاره کرد:

  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی تمامی سامانه‌ها، نرم افزارها و شبکه‌های سازمان
  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی شبکه‌های کنترل صنعتی
  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی تجهیزات سیستم‌های کنترل صنعتی (اسکادا)
  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی نرم افزارهای تحت وب سفارشی و خاص سازمان
  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی سرویس‌ها و پروتکل‌های مورد استفاده
  • * انجام آزمون نفوذپذیری تجهیزات ارتباطی شبکه (مسیریاب‌ها، سوییچ‌ها و غیره)
  • * انجام آزمون نفوذپذیری و ارزیابی امنیتی شبکه‌های بی‌سیم سازمانی
  • * انجام آزمون نفوذپذیری تجهیزات امنیتی شبکه (IDS ، IPS ، UTM ، Firewall و غیره)
  • * انجام آزمون نفوذپذیری بانک‌های اطلاعاتی (My SQL ، MS SQL و Oracle )
  • * تدوین و تهیه مستندات اجرای آزمون نفوذپذیری (همچون RFP ، Propozal و غیره)
  • * مستندسازی فعالیت‌های آزمون نفوذپذیری
  • * آموزش روش‌های اجرای آزمون نفوذپذیری

سایر خدمات

امن سازی سیستم های کنترل صنعتی
امنیت سایبری
امنیت زیرساخت های حیاتی
امنیت سایبری
طراحی نقشه راه امنیت اطلاعات
امنیت سایبری
سیستم مدیریت امنیت اطلاعات
مدیریت امنیت

Style Switcher

Predefined Colors

Menu Style

Background Image

Reset