ارزیابی امنیتی و تست نفوذ پذیری

مقدمه:

امروزه،انجام ارزیابی امنیتی خدمات و محصولاتی که در فضاهای عمومی همچون اینترنت ارائه می شوند از اهمیت بیشتری برخوردار است. به‌طوری‌ که عدم توجه به ارزیابی کافی و دقیق، موجب سوءاستفاده‌های گسترده مالی و اطلاعاتی توسط افراد سودجو و نفوذگران از نقاط ضعف خدمات الکترونیک،می گردد. در حوزه امنیت فضای تولید و تبادل اطلاعات (افتا)، امنیت برنامه‌های کاربردی به‌ویژه برنامه‌های کاربردی تحت وب، از اهمیت ویژه‌ای برخوردار شده است.چرا که وجود یک آسیب‌پذیری در یک برنامه کاربردی، می‌تواند منجر به نفوذ به کل سامانه و به‌تبع آن از دست رفتن محرمانگی، صحت و دسترس‌پذیری داده‌ها، اطلاعات و خدمات سازمانی شود.

به دلایل زیر انجام ارزیابی امنیتی و آزمون نفوذپذیری لازم به نظر میرسد:

1-یافتن حفره‌های امنیتی سامانه‌ها، پیش‌ازاینکه دیگران این حفره‌ها را پیدا کنند.

2-این آزمون، امنیت را از دیدگاه نفوذگر مورد بررسی قرار می‌دهد.سپس با توجه به نتایج به‌دست‌آمده، ضعف‌های امنیتی را مشخص و برای جلوگیری از حمله، آن‌ها را برطرف می‌کند.
3-ارائه گزارش‌هایی از مشکلات و آسیب‌پذیری‌های امنیتی به مدیر سازمان
4-بازرسی تنظیمات امنیتی
5-آموزش به کارشناسان شبکه و امنیت سازمان برای فراهم‌سازی قابلیت پاسخ‌گویی به حملات

از این رو شرکت امن نگر سامان با بیش از 7 سال سابقه عملی و علمی در حوزه امنیت در صنایع مختلف مثل صنعت بانکداری، PSP و بیمه، خودرو، زیر مجوعه نفت و پتروشیمی، صنایع آب و برق، تلکام، دانشگاه ها، زیر مجموعه های دفاعی، فناوری اطلاعات و… و کسب تجربیات بین المللی و تحقیق و توسعه در حوزه ارزیابی امنیتی و تست نفوذ، توانسته است متدلوژی و روشهای منحصر به فرد خود را در قالب تلفیق مدلهای استاندارد کسب کرده و این تجربیات را به مشتریان خود منتقل نماید و همچنین موفق به اخذ بالاترین رتبه ها و مجوزها در این حوزه گردیده است.

تعاریف و اصطلاحات تست نفوذ

شناخت: شامل تحویل گرفتن اطلاعات مورد نیاز، جمع‌آوری اطلاعات به‌صورت غیرفعال و فعال است

ارزیابی امنیت: مرحله‌ای برای پیدا کردن آسیب‌پذیری‌های شناخته‌شده سامانه به‌وسیلهٔ ابزارها و پویشگرهای امنیتی خودکار می‌باشد.

آزمون نفوذ: فاز پایانی پروژه از لحاظ انجام عملیات فنی می‌باشد. کارشناسان ارشد امنیتی در این فاز با استفاده از خروجی دو فاز قبل، سعی در انجام عملیات بهره‌کشی از آسیب‌پذیری‌های پیدا شده می‌پردازند

مقایسه مدلهای استاندارد و متدلوژی شرکت امن نگر سامان

استفاده از یک متدلوژی خوب، می‌تواند به طور کلی پروژه آزمون نفوذ را تحت تاثیر قرار دهد. بررسی عمیق متدلوژی  های معروف، کاستی‌های هر یک را نشان می‌دهد. با مشاهده جدول زیر مقایسه برخی از شاخص‌های متدلوژی های مختف را ملاحظه مینمایید.

متدلوژی چهارچوب کلی بخش اجرایی امتیازدهی نحوه گزارش‌دهی
OWASP خوب متوسط ندارد
Burp ضعیف عالی ندارد
OSSTMM خوب ضعیف ندارد
تیم آزمون نفوذپذیری امن‌نگر سامان با بهره‌گیری از نقاط قوت هر یک از متدلوژی های فوق و اضافه کردن برخی کنترل‌ها، متدلوژی شخصی‌سازی شده خود را برای انجام پروژه آزمون نفوذپذیری در جدول زیر معرفی می‌کند.

روشگان چهارچوب کلی بخش اجرایی امتیازدهی نحوه گزارش‌دهی
امن‌نگر سامان OWASP Burp/OSSTMM/OWASP CVSS/OWASP شخصی‌سازی شده
راهکارها و دستاوردهای شرکت امن نگر سامان

ارزیابی امنیتی و آزمون نفوذ شبکه داده و زیر ساخت
سیستم عامل و سرویسهای آن
سرویسهای شبکه
تجهیزات شبکه داده
معماری شبکه

ارزیابی امنیتی و آزمون نفوذ برنامه های کاربردی
برنامه های وب
برنامه های موبایل
برنامه های میز کار
وب سرویسها
ارزیابی امنیتی و آزمون نفوذ سیستمهای کنترل صنعتی “SKADA”
ارزیابی امنیتی و آزمون نفوذ سیستمهای ابری “Cloud”
تنظیمات امنیتی تجهیزات امنیتی از جمله: fire wall – UTM – waf- IDS/IPS
ارائه خدمات مشاوره:

راهکارهای ایجاد ارتباطات امن در اینترنت و شبکه داخلی
جرم شناسی و کنترل رخدادها (فارنزیک)
کشف backdoor و Rootkit ها (فارنزیک)
راهکارهای حوزه CERT و SOC