TwitterFlickrFacebookRSSlinkedin

SecureNSS، ارائه‌دهنده‌ی خدمات ارزیابی آسیب‌پذیری و آزمون نفوذپذیری در حوزه‌ی شبكه و نرم‌افزار مبتنی‌بر رویكردهای جعبه‌ی سیاه، جعبه‌ی خاكستری و جعبه‌ی سفید براساس استانداردهای بین‌المللی است.

ویژگی‌های برجسته‌ی خدمات آزمون نفوذ‌پذیری SecureNSS عبارتست از:SecureNSS-broken-chain

  • استفاده از نیرو‌های متخصص و کارآمد
  • بهره‌گیری از روش‌های نوین نفوذ به شبکه
  • استفاده از بهترین ابزار‌های تجاری و متن‌باز
  • تحلیل پروتکل‌های مورد استفاده و کشف آسیب‌پذیری‌ها
  • اجرای طیف گسترده‌ای از انواع حملات
  • گزارش‌دهی آزمون نفوذ‌پذیری در قالب استاندارد‌های روز دنیا
  • گزارش‌دهی راه‌کارهای امن‌سازی آسیب‌پذیری‌های کشف شده
  • انجام آزمون‌های دوره‌ای و مستمر

 

آزمون های نفود سنجی برای ارزیابی مقاومت سیستم های اطلاعاتی در برابر حملاتی که باعث به وجود آمدن دسترسی های غیر مجاز می شود انجام می شوند . در این میان قدرت سیستم های تدافعی سیستم های اطلاعاتی که در این حمله دخیل هستند نیز ارزیابی می شود.

 تست های نفوذسنجی یا به قولی هک های قانونمند یکی از سطح بالاترین روش های ارزیابی سیستم های تدافعی و تجزیه و تحلیل دقیق نقاط ضعف سیستم های اطلاعاتی به حساب می آیند. یک عملیات  تست نفود سنجی چگونگی پاسخگویی یا بهتر بگوییم عکس العمل سیستم هدف را در مقابل حمله انجام شده را فارق از اینکه حمله به صورت موفقیت آمیز یا ناموفق انجام شود و یا چه میزان اطلاعات از سیستم به دست می آید را بررسی و تشخیص می دهد.

 

به صورت کلی تست های نفوذسنجی به سه گروه عمده طبقه بندی می شوند :

  1- تست با دارا بودن اطلاعات کامل یا Full Knowledge Test

  در این نوع تست تیم تست نفوذسنجی تا جایی که امکان دارد در خصوص سیستم اطلاعاتی مورد حمله اطلاعات در اختیار دارد. معمولا این نوع حملات توسط پرسنل خود سازمان که دارای دانش لازم جهت انجام تست های نفوذسنجی هستند انجام می شود. به این نوع تست نفوذسنجی جعبه سفید یا White Box Penetration Test نیز گفته می شود.

 

2- تست با دارا بودن اطلاعات نسبی یا Partial Knowledge Test

  در این نوع تست ، تیم تست نفوذ سنجی اطلاعاتی در خصوص یک قسمت خاص از شبکه را دارا هستند که بایستی حمله به آن قسمت انجام شود. اعضای تیم تست نفوذسنجی می بایست صرفا به این قسمت از سیستم نفوذ کرده و آنرا هک کنند و سپس نقاط ضعف امنیتی آن را بررسی و تحلیل کنند . به این نوع تست ، نفوذ سنجی جعبه خاکستری یا Graybox Penetration Test نیز گفته می شود.

 

3-تست بدون داشتن اطلاعات یا Zero Knowledge Test

  در این نوع تست هیچگونه اطلاعاتی در خصوص سیستم هدف در اختیار تسم تست نفوذسنجی قرار نگرفته و مهاجمین بایستی خودشان تمامی این اطلاعات را بدست بیاورند. به این نوع تست نفوذسنجی جعبه سیاه یا Blackbox Penetration Test نیز گفته می شود .

 

 یکی دیگر از طبقه بندی هایی که برای تشریح انواع تست های نفوذ سنجی به کار برده می شود ، تست های نفوذ سنجی جعبه باز یا Open-Box و جعبه بسته یا Closed-Box می باشد. در تست های جعبه باز یا Open-Box نفوذگر به کدهای داخلی سیستم دسترسی دارد ، این نوع نفوذها معمولا بر روی سیستم عامل های همه منظوره ای مانند لینوکس و یونیکس انجام می شوند. در تست های جعبه بسته یا Closed-Box نفوذگر به کدهای داخلی سیستم دسترسی ندارد. این نوع تست ها معمولا بر روی سیستم هایی انجام می شود که کاربرهای خاصی داشته و به کاربران اجازه اجرای کد بر روی خود را نمی دهند .

  این امر بدیهی است که کسانی که مامور انجام تست نفوذپذیری برای یک سازمان می شوند ، بایست تابع قوانینی باشند که در آن سازمان تعریف شده است ، این بدین معنا نیست که تست نفوذ را انجام ندهند بلکه به این معناست که تست نفوذ نبایستی از حریم های تعیین شده از طریق سازمان به مجری تست خارج شود و محدودیت هایی که سازمان در انجام تست اعمال می کند بایستی رعایت شود. تست نفوذسنجی به هیچ عنوان نبایستی باعث به وجود آمدن خلل در روند کاری سازمان و یا دستکاری و خرابکاری در داده های سازمان شود.

 

تست های نفوذ سنجی معمولا شامل مراحل زیر هستند :
 

  1- شناسایی یا Discovery : اطلاعات و داده های مرتبط با سازمان و سیستم ها از طریق کانال های عمومی ، پایگاه های داده ، وب سایت ها ، سرور های ایمیل و ... ارزیابی و جمع آوری می شوند.

 

2- شمارش یا Enumeration: تیم نفوذگر تلاش می کند که تا می تواند اطلاعات در خصوص شبکه هدف مورد نظر بدست بیاورد ، این اطلاعات می تواند شامل نسخه های سیستم عامل های مورد استفاده در سیستم هدف ، شناسه ها ، نام های کاربری و ... باشد.

 

3- تشخیص نقاط ضعف یا Vulnerability Mapping: تیم نفوذگر اطلاعات بدست آورده در مراحل قبلی را بررسی کرده و بر اساس آن نقاط ضعف امنیت مرتبط را شناسایی و با توجه به بستر مورد استفاده از آنها استفاده می کند.

 

4- سوء استفاده یا Exploitation: تیم نفوذگر با استفاده از نقاط ضعف امنیتی موجود در سیستم هدف به آن حمله کرده و به منابع اطلاعاتی آن دست پیدا می کند .

Share

تماس با SecureNSS

آیا سوالی دارید؟ احتیاج به مشاوره و راهنمایی دارید؟

در مورد هر موضوعی به ما ایمیل بزنید و همان لحظه پاسخ خود را در یافت نمایید.

ایمیل ارتباطی با ما

ایمیل ارتباطی با ما[email protected]

اهداف SecureNSS

 ما با جدیت تلاش می کنیم که رویکرد امنیت در شبکه های کامپیوتری را با  تجزیه و تحلیل نقاط قوت و ضعف برای تسریع پیشرفت های آینده بهبود ببخشیم

SecureNSS

Scroll to Top