امن گستران فرزان
pentest

تست نفــــوذ

امروزه در کنار ایجاد مزایای بسیار زیاد ارائه خدمات الکترونیکی توسط سازمان­ ها، موضوع آسیب پذیری و سرقت اطلاعات نیز مطرح می­گردد که لازم است مدیران امنیت اطلاعات سازمان­ ها برنامه­ های مدون به منظور امن سازی سامانه­ ها، نرم افزارهای کاربردی و شبکه های کامپیوتری خود تهیه و تدوین نمایند. از اینرو طراحی و اجرای عملیاتی که نقاط ضعف و آسیب پذیر سامانه ها را قبل از سوء استفاده شناسایی وبرطرف نماید، از اهمیت ویژه ای برخوردار می باشد.

لذا با اجرای عملیات تست نفوذ سعی می­گردد با استفاده از محیط کنترل شده، عملیات شناسایی و ارزیابی نقاط آسیب پذیر زیرساخت فناوری اطلاعات سازمان ­ها به صورت امن اجرا گردد که این نقاط ضعف می­تواند در سیستم های عامل، سرویس ها، تجهیزات شبکه و نرم افزارهای کاربردی و سامانه های تحت وب باشد.

گزارش و ارزیابی خروجی عملیات تست نفوذ، می تواند برای ارزیابی میزان کارایی و اثر بخشی مکانیسم های دفاعی شبکه کامپیوتری سازمان ها و همچنین میزان آگاهی کاربران از سیاست های امنیتی مفید واقع شود. همچنین تست نفوذ گزارشی جامع همراه با جزئیات از ریسک ها و نقاط آسیب پذیر سازمان را ارائه می دهد. با اجرای این عملیات شما می توانید نقاط ضعف سازمان را به ترتیب میزان اولویت و ارزش آنها شناسایی کنید.

هنگامی که با استفاه از این عملیات یک نقطه آسیب پذیری شناسایی و اکسپلویت شد، این امکان برای شما فراهم می شود که با استفاده از سیستم قربانی نقاط آسیب پذیری بیشتری را با استفاده از آن بدست آورید.

عملیات تست نفوذ این امکان را برای واحد فناوری اطلاعات فراهم می کند که علاوه بر ارزیابی میزان ریسک، سناریوی حملات اجرا شده بر روی سیستم های قربانی را بررسی نموده و از آن به منظور بهبود سیاست ها امنیتی و هم بندی ساختار شبکه استفاده نماید.

پکیج خدمات

انواع خدمات آزمون نفوذ

  • تست نفوذ سامانه های کاربردی
    1. تست نفوذ برنامه های کاربردی موبایل
    2. تست نفوذ برنامه های کاربردی دسکتاپ
    3. تست نفوذ وب سرویس ها
    4. تست نفوذ برنامه های کاربردی تحت وب
  • تست نفوذ زیرساخت
    1. تست نفوذ تجهیزات شبکه
    2. تست نفوذ سرویس های شبکه
سطوح آزمون نفوذ
  • آزمون جعبه سفید
  • آزمون جعبه سیاه
  • آزمون جعبه خاکستری
چهارچوب کلی آزمون نفوذ
  • تعیین حوزه و دامنه اجرای آزمون
  • جمع آوری اطلاعات و مستند سازی کلیه اطلاعات بدست آمده
  • اجرای عملیات پویش و Scanning و شناسایی نقاط ضعف
  • تحلیل و ارزیابی اطلاعات به دست آمده و ارائه مستندات مربوطه
  • طراحی سناریوی نفوذ و مدل سازی آن
  • اجرای سناریو نفوذ و اجرای عملیات Exploit
  • ارائه گزارش فنی و مدیریتی از آزمون نفوذ
  • ارائه راهکار به منظور بهبود نقاط ضعف
استانداردها
  • Open Web Application Security Project (OWASP)
  • Open Source Security Testing Methodology Manual (OSSTMM)
  • National Institute of Standards and Technology (NIST 800-115)
فهرست