ارزیابی امنیتی

مفاهیم تست نفوذ

ارزیابی امنیتی

هر شرکت و سازمانی برای رتبه بندی سطح امنیتی خود بر روی منابع شبکه اش، از روش های مختلفی برای ارزیابی امنیتی استفاده میکند. صاحبان مشاغل باید روش ارزیابی خود را بر اساسی انتخاب کنند که به موقعیت و پیش نیاز های شبکه شان متناسب در بیاید. به عبارتی هرکسی نمیتواند بنا به دلخواه هود از هر روشی استفاده نماید و باید ببیند که ایا آن روش نسبت به موقعیت شبکه، انتظارات را برآورده خواهد نمود یا خیر.

افرادی که از روش های مختلف برای ارزیابی امنیتی استفاده میکنند باید مهارت های مخالفی را دارا باشند. بنابراین انجام دهنده تست نفوذ؛ چه یکی از افراد شرکت باشد و چه یک شرکت واسط، باید تجربه کافی در بحث تست نفوذ را داشته باشند. دسته بندی ارزیابی امنیتی شامل بازرسی مورد به مورد امنیت، ارزیابی آسیب پذیری و تست نفوذ یا هک قانونی میباشد. 

طبقه بندی ارزیابی امنیتی

ارزیابی امنیتی بطور گسترده به سه شاخه تقسیم میشوند:

 
1. ممیزی امنیت (Security Audit): ممیزی امنیت نوعا با تمرکز بر روی افراد و فرآینده ها، امنیت را در سطح شبکه طراحی، پیاده سازی و مدیریت میکند. این موضوع خط مبنایی میشود برای درگیر کردن دو مقوله قوانین و فرآینده در یک شرکت. در یک ممیزی امنیت، ارزیاب، قوانین امنیتی سازمان و روش ها همگی از یک خط مبنا استفاده میکنند. مدیریت IT معمولا از ممیزی امنیت شروع میشود. موسسه بین المللی استاندارد و تکنولوژی (NIST)، نحوه و نوع اجرای ممیزی امنیت را در قالب کتابچه ای تدوین کرده و مجموعه ابزارهای مرتبط را با نام ASSET در اختیار گذارده است. 


در یک سیستم، پیمایش مورد به مورد امنیت میتواند بصورت دستی و یا بصورت اتوماتیک صورت بپذیرد. شما میتوانید از طریق تکنیک های زیر بصورت دستی از این قابلیت استفاده لازم را ببرید: 
• مصاحبه با کارکنان 
• کنترل دسترسی بر روی اپلیکیشن ها و سیستم های عامل 
• تحلیل دسترسی فیزیکی به سیستم ها 
همچنین با استفاده از تکنیک های معرفی شده در ذیل میتوانید بصورت اتوماتیک فرآیند بازرسی مورد به مورد را انجام دهید: 
• تولید گزارش های بازرسی 
• مانیتورینگ و رصد تغییرات بوجود آمده در فایل ها 

2. بازرسی آسیب پذیری: یک بازرسی آسیب پذیری بشما کمک زیادی میکند تا بتوانید آسیب پذیری های موجود در شبکه را شناسایی نمایید. برای انجام یک بازرسی آسیب پذیری، باید مهارت لازم را داشته باشید و بقول معروف در این زمینه حرفه ای عمل کنید. از طریق یک بازرسی صحیح، تهدیدات احتمالی از جانب هکرها، کارمندان سابق، کارمندان شاغل و غیره که ممکن است صورت پذیرند، قابل پیش بینی خواهد بود. 

3. تست نفوذ: تست نفوذ در واقع اجرای تست و آزمایش بر روی امنیت یک سازمان توسط شبیه سازی اعمالی که هکرها انجام میدهند است. این تست بشما کمک میکند تا سطوح مختلف آسیب پذیری ها و راه هایی که یک هکر خارجی میتواند به شبکه شما آسیب بزند را قبل از وقوع حمله و نفوذ واقعی، بشناسید. 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *