آزمون نفوذ

آزمون نفوذ و ارزیابی امنیتی

هر سازمانی از انواع مختلف ارزیابی‌های امنیتی و آزمون نفوذ برای بررسی سطح امنیت منابع شبکه استفاده می‌کند:

۱- ارزیابی آسیب‌پذیری

در ارزیابی آسیب‌پذیری، ضعف‌های امنیتی، کشف شده و شبکه پویش و بررسی می‌شود. ابزارهای پویش آسیب‌پذیری، بخش‌های مختلف شبکه را پویش می‌کنند تا آسیب‌پذیری‌های سیستم‌ها، سیستم عامل‌ها، نرم‌افزارها و … را شناسایی کنند. علاوه بر این، نرم‌افزارهای پویش آسیب‌پذیری، اشتباهات رایج در پیکربندی‌ها را نیز شناسایی می‌کنند.

ارزیابی آسیب‌پذیری دارای محدودیت‌هایی است از قبیل:

  • نرم‌افزارهای پویش آسیب‌پذیری، دارای توانایی‌های محدودی در شناسایی آسیب‌پذیری‌ها هستند.
  • زمانیکه آسیب‌پذیری‌های جدید کشف شدند، این نرم‌افزارها نیز باید به روز شوند.
  • متدولوژی مورد استفاده و نیز نرم‌افزارهای مختلف پویش آسیب‌پذیری، امنیت را از دیدگاه مختلف مورد ارزیابی قرار می‌دهند لذا نتایج آنها می‌تواند متفاوت باشد.

۲- ممیزی امنیتی

ممیزی امنیتی، بررسی وضعیت امنیتی سازمان را در سطوح بالا انجام می‌دهد. مواردی از قبیل امنیت فیزکی، ، کنترل دسترسی، امنیت شبکه، دفاع در عمق، سازگاری با PCI DSS و … به دقت مورد بررسی قرار می‌گیرند. این نوع بازرسی، در واقع رویکرد کلی دارد و شاید نیاز باشد که در بررسی امنیت شبکه، از ارزیابی آسیب‌پذیری یا آزمون نفوذپذیری نیز استفاده شود.

۳- آزمون نفوذپذیری

آزمون نفوذپذیری، فرآیند ارزیابی معیارهای امنیتی شرکت است. معیارهای امنیتی از لحاظ ضعف طراحی، مشکلات فنی، و آسیب‌پذیری‌ها مورد آنالیز قرار می‌گیرند. و نتایج آن طبق گزارش کاملی به مدیران و نیروهای فنی ارائه می‌شود.

اهداف انجام آزمون نفوذپذیری عبارتند از:

  • شناسایی نقاط ضعف و آسیب‌پذیر سیستم‌ها و نرم‌افزارها
  • شناسای آسیب‌پذیری‌های درونی و بیرونی شبکه
  • بررسی امکان نفوذ به سیستم‌ها و برنامه‌ها
  • ارائه راه حل برای رفع مشکلات و آسیب‌پذیری‌های امنیتی موجود

دامنه آزمون نفوذپذیری در شرکت امن نگر سامان موارد زیر را شامل می‌شود:

  • آزمونِ نفوذ سامانه‌های تحت وب (Web Application)
  • آزمونِ نفوذ تجهیزات شبکه و سرویس‌های سیستم‌عامل (Network, Firewall, OS Services)
  • آزمونِ نفوذ برنامه‌های کاربردی موبایل (Mobile Application)
  • آزمونِ نفوذ برنامه‌های دسکتاپ (Desktop Application)
  • آزمونِ نفوذ وب‌سرویس (Web Service)
  • آزمونِ نفوذ شبکه‌های بیسیم (Wireless)
  • آزمونِ نفوذ رایانش ابری (Cloud Computing)
  • آزمون نفوذ شبکه‌های مخابراتی (Telecom)
  • آزمون نفوذ شبکه‌های کنترل صنعتی (SCADA , DCS)
  • آزمون نفوذ سیستم‌های ویپ (VOIP)
  • آزمون نفوذ Core Banking
  • آزمون نفوذ برنامه‌های کلاینتی (Client Side Application)
  • آزمون امنیت فیزیکی (Physical)
  • آزمون نفوذ اینترنت اشیاء (IoT)

۴- Red Teaming

سازمان‌ها می‌توانند با شبیه‌سازی حملات دنیای واقعی و تمرین تدابیر امنیتی، تکنیک‌ها و روش‌ها  که معمولاً مهاجمان از آن‌ها بهره می‌برند، خود را برای حملات واقعی آماده سازند. به‌جای آنکه سعی در جلوگیری از وقوع حوادث امنیتی داشت، بسیار مهم است که تصور نمود که این حوادث امنیتی می‌توانند رخ دهند و در آینده نیز اتفاق خواهند افتاد. اطلاعات به‌دست‌آمده از تیم Red Teaming و تمرینات آزمون نفوذ بر روی سایت‌ها، کمک می‌کند تا به‌طور قابل‌توجهی دفاع در برابر حملات تقویت شود، استراتژی‌های پاسخ به حملات و آموزش در برابر حملات بهبود یابند.

سازمان‌ها نمی‌توانند به‌طور کامل شکاف بین شناسایی و پاسخ امنیتی مناسب را تنها با تمرکز بر روی راهبردهای پیشگیری از نقص، شناسایی و برطرف نمایند.

باید توجه داشت درک این مطلب که نه‌تنها حفاظت، بلکه شناسایی و پاسخ به نقص‌ها (نه به‌اندازه اقدامات امنیتی انجام‌شده در ابتدا) بسیار مهم است. سازمان‌ها می‌توانند با برنامه‌ریزی برای موقعیت‌های خطرناک پیش رو، از طریق wargame (تمرینات تدریجی و نفوذ) و Red Teaming (حملات و نفوذ در دنیای واقعی)، توانایی لازم را برای شناسایی تلاش‌های نفوذ و واکنش‌های مرتبط با نقض امنیتی بهبود ببخشند.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code