آئینه‌ (آزمون نفوذپذیری)

اهميت مقوله امنيت در بسترهای IT بر کسی پوشيده نيست. ظهور پيشرفتهای جديد سخت افزاري و نرم افزاری در حوزه IT، همواره باعث پيچيده تر شدن مساله امنيت گرديده است. تکنولوژی های جديد به سبب توليد ساختارهاي جديد، اگرچه کاربری را سهل تر نموده و سرعت و دقت را افزايش داده، اما به مراتب باعث کاهش درجه امنيت و محرمانگی داده ها شده اند.
shab1

در مواضع دفاعی، جنگهای اطلاعاتی هزينه های گزافی را بر دولتهایی که به ايجاد نظامهای اطلاعاتی بر پايه IT  علاقمند هستند، تحميل مي کند. عدم خبرگی لازم برای تامين امنيت بسترهای اطلاعاتی، همواره بزرگترين نقطه ضعف اين سيستم ها است. حتي با وجود خبرگي نسبي در اين زمينه، هميشه شرايط کنترل نشده ای وجود دارد که زمينه را براي ايجاد ضربه به سيستم مهيا می سازد.

يک متخصص امنيت همواره در پی امن سازی با استفاده از روشهای کلاسيک و شناخته شده است، در حالي که يک نفوذگر همواره در جستجوي شرايط ناشناخته و جديد و حتي غيرقابل حدس است. اين تمايز ديد، بين يک متخصص امنيت و يک نفوذگر نقطه آغاز چالشهای امنيتی است. نفوذگر با استفاده از تکنيکهاي بديع و خلاقانه نقاط و نکات فراموش شده توسط متخصصان امنيت را يافته و از طريق آن راه نفوذي برای خود ايجاد می کند و در ادامه هنگامی که متخصص امنيت با رديابي مراحل حمله، اين نقاط آسيب پذير را مي يابد ابتدا سعي در وصله کردن آنها مي کند و پس از آن براي ايجاد راهکاری کلی برای گريز از اين چالش تلاش مي کند.

از ميان اين جدال مي توان به روند جديدی در فرآيند امن سازی سيستمها دست يافت. استفاده از نفوذگر برای امن سازی يک سيستم، راهکار « امنيت از ديد نفوذگر» را ارائه مي کند.

علاوه بر آن استفاده از نيروهای خبره و خلاق در امر تشخيص آسيب پذيريها و ايجاد سوءاستفاده های اجرايي و ارائه نفوذهای هدفمند در جنگهای اطلاعاتی، مي تواند باعث ايجاد ضربه های حساس به سيستمهای حياتی دشمن شود.

راهکار

يکي از راه‌های مقابله با مهاجمين و نفوذگران، انجام تست‌هاي نفوذ پذيري توسط مسئولين و مديران شبکه‌ي شرکت يا موسسه­ ی ثالثی است تا پيش از نفوذ و از دست دادن اطلاعات، تا حد امکان راههاي نفوذ را مسدود کنند. در این روش تیمی از متخصصین امنیت و نفوذ همواره از دیدگاه یک نفوذگر مشغول ارزیابی و کنترل آسیب پذیریهای احتمالی و بالقوه در ارائه سرویس به مشتریان هستند.

پروژه­ های تست نفوذپذیری در محدود­ه ی تعریف پروژه عمدتاً در قالب موارد زیر قابل طرح هستند:

  • انجام ارزيابی آسيب پذيري و تست نفوذپذیری محدوده­ ی تعریف هدف پروژه
  • ارزيابي مخاطرات منابع فن آوري اطلاعات شناسایی شده
  • مديريت و كاهش مخاطرات مرتبط با منابع شناسایی شده

 

چرا اسرار؟

shab2  شرکت اسرار با بهره ­گیری از نیروهای کارآمد در زمینه­ ی امنیت اطلاعات و افراد خبره در حوزه­ ی نفوذ، پروژه­ های متعدد ارزیابی امنیتی و تست نفوذپذیری را در سطوح مختلف وب­سایت، شبکه و نرم­ افزارهای کاربردی به انجام رسانیده است. در عرصه­ ی انجام تستهای نفوذپذیری  معمولاً به دو شیوه عمل می­شود: در روش اول تاکید و توجه زیادی بر روی استانداردها و روشهای کلاسیک و روتین می­شود که در این حالت بسیاری از موارد مورد توجه نفوذگرها مغفول می­ماند. در روش دوم صرفاً به تجربه و دانش عملی نفوذگرها بها داده می­شود و توجه چندانی به اصول و  شرایط آکادمیک یک تست نفوذپذیری نمی­شود.

شرکت اسرار روش سومی را برگزیده است. این شرکت با ایجاد تلفیقی از روشهای ابتکاری و مهارتهای تجربی نفوذگرهای خود با روالهای علمی و استانداردهای بین­ المللی چارچوب ویژه­ ای طرح ریزی نموده است که به تستهای انجام شده توسط این شرکت جامعیت می­بخشد و نقایص هیپچ یک از دو گروه برشمرده شده را ندارد. این تفاوت در روش، این شرکت را از دیگر فعالان در این زمینه متمایز نموده است.

همچنین انجام پروژه­ های ارزیابی امنیتی و تست­های نفوذپذیری به شکل سرویس، از دیگر شرایط ویژه­ ی شرکت اسرار در اجرای پروژه ­های امنیتی است. شرکت اسرار معتقد است نتایج تستهای امنیتی در بازه­ ی زمانی خاصی قابل اعتنا هستند. در صورت ایجاد تغییر در سیستم و یا گذشت مدت زمان خاصی از انجام تستها، ممکن است امنیت برقرار شده، دچار خدشه شود. بنابراین شرکت اسرار پیشنهاد می­کند تستهای امنیتی به شکل دوره­ ای بر روی هدف تکرار شوند تا به سطح مطلوبی از امنیت مورد انتظار به شکل مستمر دست پیدا کنیم.

خروجی­های تولید شده توسط شرکت اسرار در مقایسه با دیگران در موارد زیر برجسته­ تر می­نماید:

  • ارائه گزارشات مستند از آسیب­ پذیری ها همراه با تحلیل­های سطح بالای مدیریتی
  • ارائه برآوردهای جامع از سطح مخاطرات موجود جهت تعیین وضعیت امنیتی موجود
  • ارائه مرجع مستند بین المللی در مورد هر آسیب پذیری
  • ارائه تحلیل فنی و تکنیکی درمورد نقطه ضعف مورد بحث
  • ارائه سناریوهای عملی نفوذ جهت ایجاد درک بهتر از میزان ریسک و خطر هر نقطه ضعف
  • ارائه راهکارهای فنی جهت رفع نقاط ضعف با توجه به شرایط پیاده سازی
  • عملیاتی بودن راهکارهای پیشنهادی
  • انتخاب بهترین راهکار جهت رفع آسیب پذیری بدون ایجاد نقصان در کارآیی و کارآمدی سیستم

مهمترین ویژگیهای تیم ارزیابی امنیتی و تست نفوذپذیری اسرار عبارتند از:

  • داشتن تخصص ویژه در شناسایی و جمع آوری اطلاعات در مورد هدف پروژه
  • بهره­ گیری از دانش روز در کشف آسیب پذیری­ها
  • بهره­ مندی از دانش لازم در برپایی سناریوی حملات
  • دراختیار داشتن ابزارهای ویژه امنیتی جهت تست نفوذپذیری و ارزیابی امنیتی
  • استفاده از متدولوژی ویژه شرکت اسرار
  • حرکت بر اساس استانداردهای بین المللی پذیرفته شده در مجامع امنیتی دنیا
  • دارای مهارتهای منحصربفرد و خلاقانه در مواجهه با اهداف مختلف
  • حفظ حریم خصوصی مشتریان در عدم اشاعه آسیب پذیری­های کشف شده