نیاز به مشاوره در حوزه امنیت دارید؟

ارائه راهکارهای یکپارچه امن فناوری اطلاعات و ارتباطات

چطور از امنیت سیستم و شبکه داخلی شرکت/واحد سازمانی اطمینان حاصل کنم؟

ارزیابی امنیتی و کشف آسیب پذیری ها در سیستم و شبکه و سپس اقدام به تحلیل و ارائه راهکار مناسب (که گاهی نرم افزاری و گاهی سخت افزاری است) شما را نسبت به وضعیت موجود شبکه آگاه می کند.

به عوامل زیادی بستگی دارد. از جمله نوع سیستم عامل و سرویس هایی که دارید. آیا بروزرسانی های شرکتهای مرتبط با سیستم عامل خود را انجام می دهید؟

برای مثال آیا ویندوز خود را بروزرسانی میکنید؟ یا اینکه به دلایلی کلیه Update ها را غیرفعال کرده اید؟ یا آخرین بسته های نرم افزاری را برای لینوکس خود نصب کرده اید؟

اگر مدیر شرکت یا مسئول  یک واحد سازمانی هستید، از مدیر واحد فناوری اطلاعات یا واحد امنیت خود درخواست کنید گزارش ارزیابی امنیتی سیستم های واحدهای زیرمجموعه، را در اختیار شما قرار دهد.

مزایای ارزیابی امنیتی و امن سازی:

ارزیابی امنیتی به شما در کشف آسیب پذیری ها کمک کرده و سپس با امن سازی سیستم و سرویس ها،  قابلیت اطمینان کسب و کار و در دسترس بودن آن برای شما تضمین خواهد شد.

ریسک از بین رفتن داده ها و ضرر و زیان مالی و اعتباری برای سرویس ها کاهش خواهد یافت.

 

ارزیابی امنیتی چه فرقی با آزمون نفوذ دارد؟

ارزیابی امنیتی در ابتدا با تعیین محدوده مجاز با پویش توسط ابزارهای حرفه ای موجود شروع می شود. در این فرآیند به روز بودن پایگاه داده ابزارهای مورد استفاده بسیار مهم است. پس از دریافت گزارش آسیب پذیری ها که در سطوح مختلف دسته بندی می شوند، مرحله تحلیل آغاز می شود که نیاز به یک متخصص و تحلیلگر شبکه و امنیت است تا شدت تهدیدات را براساس کسب و کار شما تعیین کند و راهکار متناسب با آن را ارائه نماید. این فرآیند بهتر است به صورت دوره ای اجرا شود تا تغییرات و آسیب پذیری ها کشف شوند و تهدیدات در شبکه کاهش یابد.

 

به عنوان یک نکته دیگر می توان ارزیابی امنیتی را مقدمه ای و فاز صفر برای آزمون نفوذ دانست.

 

آزمون نفوذ یک فرآِیند برنامه ریزی شده و سیستمی و هماهنگ شده با مسئولین شرکت/سازمان است، برای کشف آسیب پذیری ها جهت نفوذ به سیستم عامل سرور، شبکه و یا برنامه های کاربردی. معیارهای امنیتی از لحاظ ضعف طراحی، مشکلات فنی، عدم کارکرد بخشهای مختلف و آسیب‌پذیری‌ها مورد آنالیز قرار می‌گیرند. بسته به نوع سرویس و هماهنگی صورت گرفته بهره کشی از سیستم و سرویس صورت می گیرد.

دانش و آگاهی های امنیتی و آشنایی کامل با ساختارهای دفاعی (Defensive) و تسلط بر روشهای نفوذ و عبور از مکانیزمهای دفاعی(Offensive and Defense Evasion)  توسط متخصصین در آزمون تست نفوذ امر اجتناب ناپذیر است.

رویکردهای آزمون نفوذ جعبه سیاه/خاکستری و یا سفید؟

آزمون نفوذ به روش‌های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش‌ها، در میزان اطلاعات مرتبط با جزییات پیاده‌سازی سیستم در حال تست است که در اختیار تیم آزمون نفوذ قرار داده می‌شود. با توجه به این موضوع آزمون نفوذ را می‌توان به سه دسته Black-Box ، White – Box و Gray-Box تقسیم نمود.

آزمون Black-Box با فرض عدم دانش قبلی از زیر ساختهایی است که قرار است مورد آزمون قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا  قلمرو (Scope) سیستم‌ها را بطور دقیق مشخص کنند. آزمون Black-Box در واقع شبیه‌سازی کردن حمله‌ای است که توسط نفوذگری انجام می‌شود که در ابتدا با سیستم آشنایی ندارد.

از سوی دیگر در آزمون White-Box اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور،در اختیار تیم ارزیابی امنیتی قرار می‌گیرد. آزمون  White-Box حمله‌ای را شبیه سازی می‌کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. آزمون White-Box دارای گستردگی وسیعی می‌باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب‌پذیری‌هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می‌باشد.

روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می‌گیرند که معمولا از آنها به تست های Gray-Box تعبیر می‌شود.

سطوح ارزیابی امنیتی نرم‌افزار کدامند؟

تست امنیتی نرم‌افزار بر اساس استاندارد OWASP ASVS نسخه ۳٫۰٫۱ در سطوح امنیتی مختلف قابل انجام است.

سطح یک

نرم‌افزار مورد نظر در صورت ایمن بودن در برابر آسیب‌پذیری‌های امنیتی نرم‌افزارها که به راحتی قابل کشف شدن هستند (شامل ۱۰ آسیب‌پذیری اول لیست OWASP و یا لیست‌های مشابه)، استاندارد ASVS سطح ۱ (مبتدی) را دریافت می‌کند.

 

سطح دو

نرم‌افزار مورد نظر جهت ایمن بودن نسبت به بیشتر خطراتی که امروزه نرم‌افزارها با آن مواجه هستند، می‌بایست استاندارد ASVS سطح ۲ (استاندارد) را دریافت کنند. سطح ۲، اطمینان می‌دهد که مکانیزم‌های امنیتی درستی بکار گرفته شده، این مکانیزم‌ها مؤثر بوده و همچنین در داخل نرم‌افزار به درستی تعبیه شده‌اند. سطح ۲ معمولاً برای نرم‌افزارهایی مناسب است که معاملات B2B یا Business2Business را پردازش می‌کند. این نرم‌افزارها می‌توانند شامل این موارد باشند: نرم‌افزارهایی که اطلاعات مرتبط با بهداشت و درمان را ارزیابی می‌کنند، نرم‌افزار که مرتبط به کسب‌وکارهای حساس هستند، نرم‌افزارهایی که عملکرد آن‌ها از حساسیت بالایی برخوردار بوده و یا مربوط به پردازش اموال هستند.

 

سطح سه

سطح ۳، بالاترین سطح امنیتی در استاندارد ASVS است. این سطح معمولاً منحصر به نرم‌افزارهایی است که نیازمند سطوح قابل توجهی از تاییدات امنیتی هستند، مانند نرم‌افزارهایی که در زمینه نظامی، سلامت و امنیت، زیرساخت‌های حیاتی و غیره مورد استفاده قرار می‌گیرند. سازمان‌ها برای نرم‌افزارهایی که وظیفه اجرای امور حیاتی را دارند و ایجاد مشکل در آن‌ها می‌تواند تأثیر بسزایی در عملکرد و یا حتی بقای سازمان داشته باشد، نیازمند استاندارد سطح ۳ هستند.

جزئیات بیشتر 

تفاوت آزمون نفوذ خارجی و داخلی چیست؟

آزمون نفوذ خارجی به انواع آزمونهایی اطلاق می‌شود که در خارج از محدوده سازمانی که قرار است مورد آزمون نفوذ قرار بگیرد، انجام می‌شود و آزمونهای داخلی در حوزه مکانی آن سازمان و در میان افرادی که آن سازمان فعالیت می‌کنند انجام می‌شود.

نوع اول در واقع سناریویی را بررسی می‌کند که مهاجم با دسترسی داشتن به منابع مورد نیاز خود، از جمله آدرس های IP که از سازمان مورد نظر در اختیار دارد و یا با در اختیار داشتن کد منبع نرم افزارهایی که در سازمان استفاده می‌شوند و در اینترنت موجود می باشند اقدام به پویش و کشف آسیب‌پذیری نماید.

در نوع دوم سناریویی بررسی می‌شود که مهاجم به هر طریق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوری داده های مورد نظر اقدام به حمله می‌کند. با ورود به محدوده مکانی یک سازمان مهاجم می تواند سناریوهای مختلفی را پیاده سازی نماید. برای نمونه با استفاده از شبکه بی‌سیم داخلی و بررسی داده‌های به اشتراک گذاشته شده که می تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلی برای مهاجم ساده‌تر خواهد شد.

شرکت راهکارهای امن ویرا در حوزه امنیت چه خدماتی ارائه می دهد؟

شرکت راهکارهای امن ویرا به صورت تخصصی گستره ای از خدمات امنیت را ارائه می دهد، برای اطلاعات بیشتر به صفحه خدمات مراجعه فرمائید.

ما اینجا هستیم تا به شما کمک کنیم

ویرا به عنوان یک شرکت خصوصی با بیش از یک دهه تجربه و اندوخته های علمی و عملی در زمینه های تخصصی ارائه راهکارهای امنیت فضای تبادل اطلاعات، محاسبات فوق سریع و آنالیز کلان داده توانایی ارائه خدمات تخصصی و مشاوره  را دارد.

آدرس

تهران، پاسداران، هروی، خیابان وفامنش، پلاک 53

ارتباط با پشتیبانی

02126913211
error: Content is protected !!