تست نفوذ و امنیت

در جوامع امروزی، تلاش برای بهبود وضعیت کنونی و برقراری امنیت (در هر زمان و مکان و هر موقعیتی) به یک اصل تبدیل شده است. در واقع یکی از اصول مهم در تمامی سطوح و گرایشهای کلیه استانداردها، در پیش گرفتن فرآیندهایی است که بهبود وضعیت را در پی داشته باشد. بخصوص این امر در تکنولوژی اطلاعات یکی از اصول تخطی ناپذیر و غیر قابل اجتناب است.

حال اگر وارد حیطه شبکه های کامپیوتر و نیز نرم افزارهای گوناگون شویم، باید برای این فرآیند، راههای متناسب با آن را اتخاذ کنیم. یکی از عمومی ترین و مهمترین ای راه حلها در این بخش ،استفاده از فرآیند تست نفوذ و آنالیز امنیتی است. نفوذ کردن به شبکه های کامپیوتری و دسترسی به منابع یک شبکه، در حالت معمول، امری غیر قانونی تلقی می شود. اما یک متخصص امنیت، با بستن قراردادی با صاحبان و مدیران شبکه ، علاوه بر قانونی کردن آن، نتایج آن را به نفع شما باز می گرداند. او از دید یک هکر به برنامه یا شبکه شما نگریسته و تلاش می کند تا کلیه مشکلات و شکافهای امنیتی آن را شناسایی و به شما ارائه دهد. بدین وسیله، شما با رفع این معایب،علاوه بر بالابردن میزان امنیت سرویسهای خود و جلب رضایت بیشتر مشتریان، راه را بر نفوذگران مخرب سد می کنید.

از سوی دیگر سیستم‌های کنترل صنعتی ICS) Industrial Control System) که شامل: SCADA) Supervisory Control and Data Acquisition) و سیستم های DCS) Distributed Control System) و سایر سیستم های کنترلی کوچکتر نظیر PLC) Programmable logic controller) می باشند به منزله هسته مرکزی کنترل و مانیتورینگ، زیرساخت حیاتی نظیر شبکه‌های انتقال و توزیع برق، نیروگاه‌های هسته‌ای، پالایشگاه‌ها، شبکه‌های آب، کارخانه‌های نفت و گاز می‌باشند. اما با توجه به قدیمی بودن این سیستم‌ها، به امنیت آنها توجه چندانی نشده است. همچنین امروزه با ادغام سیستم های IT) Information technology) به سیستم های کنترل صنعتی باعث شده است که سیستم های کنترل صنعتی بیشتر از سیستم های پیشین از دنیای خارج خود جدا شوند و در نتیجه حفظ امنیت این سیستم ها در مقابل مخاطرات خارجی و از راه دور، ضرورت بیشتری پیدا می کند.

سدید گستران امن پارس با بهره گیری از دانش و تجربه ۱۲ ساله خود به عنوان تخصصی ترین مرکز امنیت و تست نفوذ در شرق کشور قابلیت ارائه انواع سرویس های تخصصی در زمینه تست نفوذ شبکه های اداری و صنعتی و برنامه های کاربردی و وب سایت ها را دارد .

سدید گستران امن پارس برای انجام تست نفوذ از استاندارد های زیر استفاده می کند :

  • ISO/IEC 27001
  • ISO/IEC 27002
  • OSTTMM (Open Source Security Testing Methodology Manual)
  • OWASP (Open Web Application Security Project)    ۲۰۱۳
  • LPT (Licensed Penetration Tester methodology from EC-Council)

کلیه ابزارها و اقداماتی که در طول پروژه انجام می شود ابزارها و روشهای استاندارد بوده و به هیچ عنوان آسیبی به سیستم ها وارد نخواهد نکرد .

 

روش های تست نفوذ

White Box

در این حالت تیم تست نفوذ اطلاعات کامل در باره موضوع مورد تست دارد و همچنین دسترس به منابع داخلی شبکه نیز دارد. معمولا از این نوع تست برای ارزیابی آسیب پذیری های داخل شبکه استفاده می شود .

Gray Box

در این حالت دسترسی به منابع داخلی محدود می باشد و اطلاعات کاملی در اختیار تیم قرار نمی گیرد.

Black Box

در این حالت هیچ گونه دسترسی و اطلاعاتی به تیم تست نفوذ داده نمی شود .معمولا این نوع تست نفوذ برای وب سرور ها و برنامه های کاربردی تحت وب انجام می شود .

مراحل تست نفوذ

  • مشخص کردن دامنه

    در این بخش دامنه تست مشخص می شود این دامنه می تواند شامل سرور ها و تجهیزات داخلی و یا دارایی های خارجی سازمان باشد .
  • جمع آوری اطلاعات

    با توجه به مشخص کردن دامنه پروژه باید اطلاعات اولیه از قبیل سیستم های زنده ، پورت های باز ، نسخه سرویس ها یی که بر روی سرور ها تصب می باشد مشخص شود
  • ارزیابی آسیب پذیری

    در این مرحله با توجه به دانش فردی کارشناسان نورانت آسیب پذیری های سرور ها و سرویس ها ی تحت ان مشخص شده ، در صورت تست برنامه های تحت وب کلیه چک لیست های OWASP تست خواهد شد لازم به ذکر است کلیه این مراحل به صورت دستی و بر اساس دانش فردی انجام می پذیرد
  • تست نفوذ

    در مرحله تست نفوذ باید بر اساس آسیب پذیری های یافت شده در مرحله قبل به سیستم ها نفوذ و نشانه گذاری انجام خواهد شد ، این کار هیچ گونه اختلالی در کار سرویس ها وارد نخواهد کرد .
  • گزارش و ارائه راهکار

    کلیه گزارش ها به زبان فارسی و گونه ای ارئه خواهد شد که افراد سازمان با صرف کمترین زمان و دانش فنی بتوانند مشکلات را بر طرف سازند

سرویس های تست نفوذ و امنیت ما :

دوره های آموزشی تست نفوذ وب Web penetration testing
تست نفوذ و امنیت وب و نرم افزار
شبکه های کنترل صنعتی SCADA
تست نفوذ و امنیت شبکه های صنعتی
آموزش تست نفوذ
تست نفوذ و امنیت شبکه
دوره های آموزشی تست نفوذ و هک موبایل
تست نفوذ و امنیت موبایل
error: فعالیتهای شما تحت نظارت تیم امنیت ما میباشد.موفق باشید