امروزه در حوزه تبادل اطلاعات، امنيت این حوزه از اهميت ويژه اي برخوردار شده است چراكه كه وجود یک آسيب پذیری در ابعاد مختلف این حوزه میتواند منجر به دور زدن تمامي مكانيزم‌هاي امنيت شبكه از قبيل فايروال‌ها، آنتی ویروس ها و غیره شود، يک نفوذ‌گر با استفاده از يک آسيب‌پذيري، پس از طرح سناريو‌هاي سلسله مراتبي و بالا بردن سطوح دسترسي مي‌تواند تمهيدات و مکانيزم‌هاي قوي امنيتي را دور زده و تهديد‌ات جدی را برای اطلاعات حساس يک سازمان ايجاد کند. از همين رو توجه به مقوله امنيت فاضی تبادل اطلاعات از اهميت ويژه‌اي برخوردار است.

ارزیابی امنیتی را میتوان در حوزه فناوری اطلاعات و ارتباطات به بخش های مختلف از جمله

  1. ارزیابی محصولات نرم‌افزاری
  2. ارزیابی محصولات سخت‌افزاری
  3. ارزیابی زیرساخت شبکه
  4. ارزیابی سامانه‌های اطلاعاتی و نرم‌افزارهای تحت شبکه

تقسیم بندی کرد.

شرکت داده پردازان آبشار با بهره گیری از کارشناسان مجرب در حوزه ارزیابی امنیتی و آزمون نفوذپذیری، همچنین بکارگیری از استانداردهای مطرح در این حوزه آماده اقدام به انجام ارزیابی امنیتی و آزمون نفوذپذیری در بخش های “”ارزیابی زیریاخت شبکه”” و “”ارزیابی سامانه های اطلاعاتی و نرم افزارهای تحت شبکه”” ؛ در سه سطح جعبه سیاه، جعبه خاکستری و جعبه سفید مینماید.

ارزیابی زیرساخت شبکه

ارزیابی زیرساخت شبکه به دو صورت امکان پذیر است. به صورت Black و Gray. در ارزیابی به صورت Black تیم ارزیابی کافی است که به یک گذرگاه، یا کابل شبکه دسترسی داشته و لپ‌تاپ یا PC خود را به آن متصل کند. اما در ارزیابی به صورت Gray تیم ارزیابی باید یک دسترسی حد‌اقل داشته باشند. به عنوان مثال اگر شبکه تحت دامین باشد؛ باید تیم نفوذ یک Account با دسترسی حداقل به Domain داشته باشند. در ارزیابی زیر ساخت شبکه، تیم ارزیابی فعالیت خود را با چشم‌انداز زیر شروع خواهند کرد:

  1. شناخت شبکه
  2. کشف و اولویت‌دهی آسیب‌پذیری
  3. تلاش برای نقض CIA شبکه

ارزیابی سامانه های اطلاعاتی و نرم افزارهای تحت شبکه و وب

برای این نوع ارزیابی Frameworkهای مختلفی از قبلی CEH، Owasp، CTPT، OSSTMM و… ارائه شده است. اما در حالت کلی و با توجه Frameworkهای معرفی شده، روال ارزیابی سامانه‌های اطلاعاتی و نرم‌افزار‌های تحت شبکه نیز با ارزیابی زیرساخت شبکه بسیار شباهت دارد. در این نوع ارزیابی نیز فرآیند تست به صورت زیر است:

  1. شناخت کامل سامانه
  2. کشف و اولویت‌دهی آسیب‌پذیری
  3. تلاش برای نقض CIA سامانه

لازم به ذکر است که ارزیابی سامانه‌های نرم‌افزاری به سه صورت امکان‌پذیر است:

  1. جعبه سیاه: تیم ارزیابی تنها احتیاج به دانستن نام سامانه دارد.
  2. جعبه خاکستری: در این حالت تیم ارزیابی با حداقل دسترسی به آن سامانه دسترسی دارد.
  3. جعبه سفید: در این حالت تیم ارزیابی تا سطح کد سامانه به سامانه دسترسی دارد.