بازبینی امنیتی و آزمون نفوذ

با توجه به تأثیر سریع و انکارناپذیر بازبینی امنیتی و آزمون نفوذ در امن­سازی فاوا، شرکت پرشان تک افزار این خدمت تخصصی را یکی از دیگر محورهای فعالیت و ارائه خدمات به مشتریان خود قرار داده است.

امروزه آزمون نفوذپذیری چه برای سازمان­هایی که از تجهیزات امن استفاده می‌کنند و چه برای آن دسته از سازمان­هایی که در استقرار تجهیزات نرم‌افزاری، سخت‌افزاری و شبکه‌ای قوی، نوپا محسوب می‌گردند، به عنوان یک روش ارزیابی قانونمند و قابل‌اتکا در جهت شناسایی آسیب‌پذیری‌های سیستم کاربرد وسیعی یافته است. آزمون نفوذپذیری یا آزمون نفوذ روشی برای تخمین میزان امنیت یک رایانه (معمولاً سرور) یا یک شبکه است که با شبیه‌سازی حملات یک حمله‌کننده (هکر) صورت می‌گیرد. آزمون نفوذ به منظور یافتن نقاط آسیب­پذیر وب­سایت­ها، شبکه و زیرساخت فناوری اطلاعات یک مجموعه انجام می­شود. آزمون نفوذ توسط کارشناسان خبره امنیت انجام می­شود و در این آزمون پروسه­ها و تکنیک­هایی استفاده می­شود که توسط هکرها برای نفوذ به سیستم­های فاوا بکار گرفته می­شود.

امن سازی شبکه (Network Security) بازبینی امنیتی و آزمون نفوذ

مهم­ترین تفاوت بین هکر و شخصی که آزمون نفوذپذیری انجام می­دهد این است که، آزمون نفوذپذیری با مجوز و قراردادی که با سازمان یا شرکت امضاء شده است انجام می‌شود و در نهایت منجر به یک گزارش خواهد شد. هدف از آزمون نفوذپذیری بالا بردن امنیت زیرساخت پردازش و تبادل داده‌ها توسط آزمون امنیتی است. اطلاعات و ضعف‌های امنیتی که در نفوذپذیری مشخص می‌شود محرمانه تلقی شده و نباید تا برطرف شدن کامل افشاء شود. ولی در مورد هکر این رویه و روال وجود ندارد.

آزمون نفوذپذیری در سازمان به دلایل زیر انجام می‌شود:

  • یافتن حفره‌های امنیتی سیستم­های مورد استفاده پیش از آنکه دیگران این حفره‌ها را مشخص کنند
  • ارائه گزارش‌هایی از مشکلات به مدیریت سازمان
  • بازرسی تنظیمات امنیتی
  • تحلیل سطح آمادگی مدیریت هشدار
  • ارزیابی امنیتی فناوری جدید

نکته : آزمون نفوذپذیری می‌بایست بر روی تمام سیستم­ها،تمام سایت­ها و زیر­سایت­ها انجام شود تا احتمال نفوذ کلیه کاربران عادی و استثنایی را به حداقل برساند .

دسته‌بندی آزمون بر اساس سطح اطلاع و دسترسی آزمون کننده

همین طور روش­های استفاده‌شده در آزمون نفوذ بسته به میزان و امکان دسترسی به تجهیزات سازمان قابل‌تغییر است. نحوه انجام آزمون نفوذ می­تواند بسته به میزان و مجوز دسترسی به جزئیات و مؤلفه‌های سیستم به صورت جعبه سیاه (عدم دسترسی و اطلاع از جزئیات داخلی سیستم)، جعبه سفید (دسترسی کامل به جزئیات درونی سیستم) و جعبه خاکستری (میزان دسترسی بین جعبه سیاه و جعبه سفید) باشد.

  • روش جعبه سیاهBlack Box – آزمون گیرنده با فرض عدم شناخت ساختار سیستم و فقدان دانش کافی، به آزمون آن می‌پردازد.
  •  روش جعبه سفیدWhite Box – آزمون گیرنده از ساختار سیستم اعم از دیاگرام­های شبکه، کدها و آ درس‌های IP اطلاع کافی داشته و با این پیش‌فرض به آزمون سیستم می‌پردازد .
  • روش جعبه خاکستریGray Box – در عین اینکه آزمون گیرنده به یک آزمون صرفاً کورکورانه (blind) نمی‌پردازد اما ممکن است به تمام ساختار سیستم نیز اشراف نداشته باشد.


لایه­های ارزیابی امنیتی

  • ارزیابی امنیت سرویس‌های اینترنتی
  • ارزیابی امنیت برنامه‌های کاربردی
  • ارزیابی امنیت پرسنلی و مهندسی اجتماعی
  • ارزیابی امنیت شبکه‌های بی‌سیم
  • ارزیابی امنیت شبکه و سرویس‌ها
  • ارزیابی امنیت فیزیکی


استانداردهای آزمون نفوذپذیری

OSSTM (Open Source Security Testing Methodology Manual)

OSSTM یک بازنگری دقیق بر روی انجام آزمون‌های نفوذپذیری است که روی جزئیات فناوری آزمون نفوذپذیری در زمان اجرا و بعد از آن، نحوه کسب نتایج، ناحیه آزمون امنیتی، پردازش‌ها، اطلاعات، فناوری‌های اینترنتی، وسایل ارتباطات بی‌سیم و غیره متمرکز می‌شود.

OWASP (Open Web Application Security Project)

OWASP در اصل تلاش می‌نماید که دلایل ناامن بودن یک نرم‌افزار را به اثبات برساند.تمرکز عمده آن روی سرویس­ها و برنامه­های تحت وب می­باشد.

هدف اصلی پروژه استاندارد بررسی امنیتی نرم­افزار اواسپ (OWASP ASVS) نرمال سازی دامنه و سطح دشواری بررسی امنیتی یک نرم‌افزار در بازار بر اساس راهکارهای تجاری است. این استاندارد یک مبنا جهت آزمون تخصصی مکانیزم­های امنیتی نرم­افزار و همچنین تمام مکانیزم­های امنیتی تخصصی محیط است که برای رخنه­هایی مانند اسکریپ بین­سایتی (XSS) و تزریقات پایگاه­داده (SQL injection) بر آن‌ها تکیه می­شود. استفاده از این استاندارد می­تواند یک سطح اعتماد معقول در امنیت نرم­افزارهای وبی ایجاد نماید.

لوگو پرشان