تست نفوذ پذیری

تست نفوذ پذیری فرآیند ارزیابی امنیتی شبکه یا نرم افزارهای رایانه ای ، بوسیله شبیه سازی حمله ای است که توسط هکر انجام می شود.

تست های نفوذ پذیری معمولا با یکی از سه روش :

  • جعبه سفید
  • جعبه سیاه
  • جعبه کرسیتالی

اجرا می شود.

بعنوان مثال اگر تمرکز تست کننده روی منابع یک رایانه در شبکه باشد، مثال هایی که می تواند به تست نفوذ پذیری موفق منجر شود شامل دسترسی به اسناد محرمانه و لیست های قیمت ، پایگاهای داده و اطلاعات حفاظت شده دیگر است.

ایمن داده ، قادر به ارائه خدمات آزمون نفوذپزیری به صورت کاملا ریز و تخصصی به شرح زیر است :

تحلیل آسیب پذیری های برنامه ها :

شرکت انواع مخلتفی از پروژهای تحلیل آسیب پذیریهای مبتنی بر برنامه های کاربردی و تحت وب را با هدف نفوذ به نرم افزار ها می پذیرد. با توجه به تعهدات تعریف شده در پروژه, متد های ما معمولا شامل موارد زیر می شوند :

۱- فازینگ

۲- معندسی معکوس

۳- تزریق اطلاعات

۴- تحلیل فایل اجرایی هدف و دیباگ کردن آن

۵- دستکاری نشست ها

۶- تحلیل منطق و رویه کار برنامه

امروزه تعداد بیشماری آسیب پذیری های خصوصی وجود دارند که در واقع دارای هیچ راه حل تخریبی به صورت عمومی نیستند . هر تست نفوذپذیری حرفه ای باید شامل تست به صورت آسیب پذیری های شناخته شده و نا شناخته باشد .

آسیب پذیری های شناخته شده آسیب پذیری هایی هستند که دارای وصله های امنیتی هستند و به صورت عمومی افشا شده اند. در داخل این آسیب پذیری ها عمومی در برخی موارد دارای اکسپلویت ها عمومی و خصوصی هستیم .

آسیب پذیری های ناشناخته آسیب پذیری هایی هستند که تا زمان ارائه وصله های امنیتی از طرف فروشنده و پیدا کننده آسیب پذیری افشا نمی شوند و یا به صورت آزادانه کشف می شوند و تا زمانی که فرد دیگری آن را پیدا نکند افشای آنها منتفی است . حمله های هدفمند معمولا از این آسیب پذیری ها استفاده می کنند.

فازینگ و تشخیص آسیب پذیری ها به عقیده بسیاری از کارشناسان امنیت ، هماند خونی است که در رگهای Security در گردش است . این عقیده در نگاه اول اغراق آمیز می نماید ، اما در واقعیت زمانی که دسته بندی های مربوط به تست های نفوذ پذیری را که حاصل تجربیات بسیار محققان امنیت است را در کنار هم قرار می دهیم ، با سه دسته بندی عمده در این تست ها مواجه می شویم ، که هر سه دسته بندی جزئی از روشهای کشف و تشخیص آسیب پذیری ها را تشکیل می دهند .

ارزیابی امنیت شبکه

ایمن داده از ابزار های تجاری مانند CANVAS و Core Impact و به همراه ابزارها و متد های مختلف عمومیجمع آوری اطلاعات که توسط خود تیم نوشته شده است برای ارزیابی شبکه و مشتریان شبکه استفاده میکند.

ارزیابی های این شرکت معمولا موارد زیر را شامل می گردند :

- ارزیابی داخلی شبکه (به صورت جعبه سفید )

- ارزیابی خارجی شبکه (به صورت جعبه سیاه و یا کریستالی )

تست امنیتی داخلی

روالی مانند تست بیرونی دارد اما یک دید کامل تری نسبت به مسایل امنیتی سازمان ارائه می دهد. این تست عموما از شبکه های دارای Access Point و بازدید و مرور دوباره قسمتهای فیزیکی و منطقی شبکه انجام می گیرد. برای نمونه ممکن است لایه های شبکه، DMZ درون شبکه و شبکه های شرکاء که با شبکه شما مرتبط می باشند نیز مورد بررسی و تست قرار گیرد.

/ 0 نظر / 26 بازدید