ارزیابی امنیتی و آزمون نفوذ
مهمترین مواردی که میبایست در فرآیند تست نفوذ مشخص گردد عبارتند از:
- محدوده و قلمرو تست نفوذ: که در آن اجزايي که مي بايست مورد تست قرار گيرند مشخص ميگردد.
- سطح نفوذ: که در آن به عمق و پيشروي فعاليت هاي مربوط به تست نفوذ اشاره ميشود.
- تکنيک هاي نفوذ:که در آن خصوصيات فني نحوه اجراي تست و ابزارهاي مورد استفاده در تست نفوذپذيري مشخص ميگردد.
براساس میزان اطلاعاتی که در اختیار تیم نفوذ است، میتوان سه دسته White Box، Black Box و Gray Box را در نظر گرفت و از دیدگاه موقعیت انجام تست نفوذ به Internal و External که به ترتیب داخلی و بیرونی تقسیم نمود
تست نفوذ
امروزه اطلاعات و اسناد شرکتها و سازمانها، بصورت سیستمی در بستر شبکه قرار دارد. لذا هر لحظه این احتمال میرود که این شبکه مورد نفوذ و حمله قرار گیرد، و در نتیجه اسناد و اطلاعات مورد مخاطره قرار میگیرند. بنابراین نیاز است تا از وضعیت امنیت شبکه و زیرساخت فناوری اطلاعات اطمینان حاصل شود.
تست نفوذ یا ارزیابی امنیتی رویکردی است که توسط آن، آسیبپذیریهای موجود در نرمافزارها، شبکه، وبسایت و بانکهای اطلاعاتی شناسایی گردیده و پیش از آنکه تهدیدی مواجه زیرمجموعه فناوری اطلاعات بشود، امنیت سیستم بهبود مییابد. هدف از انجام تست نفوذ، یافتن آسیبپذیری میباشد.
در اين رويکرد، متخصصين امنيت، با اطلاع و کسب اجازه از مراجع ذيربط سازمان، بدون اينکه آسيبي به زيرساخت فناوري اطلاعات سازمان وارد گردد، با استفاده از روش ها و راهکارهاي استاندارد، اقدام به بررسی آسیبپذیری های احتمالی در زيرساخت سازمان مي نمايند و بدين ترتيب، شکاف هاي امنيتي سازمان و راههای نفوذ شناسایی شده و برطرف میگردند.
متد ارائه سرویس
- ارزیابی سطح امنیتی شبکه، سیستم عامل، وب سایت، پرتال و نرمافزارهای تحت وب با رویکرد نفوذگر
- شناسایی و کشف آسیبپذیریها، رخنهها و نقایص امنیتی
- ارائه راهکارهای برطرفسازی و مقاومسازی هر یک از آسیبپذیریها
- ارائه گزارش جامع گزارش نهایی
- بکارگیری متدولوژی هایOWASP ، OSSTMM وCVSS
- تستهای جعبه سیاه، جعبه سفید و خاکستری