تست نفوذ فرایندی برای شبیه سازی حملات یک هکر یا یک گروه هکر جهت ارزیابی آسیب پذیری های یک کامپیوتر یا یک مجموعه کامپیوتر (شبکه) صورت میگیرد، این فرایند بسته به گستردگی شبکه متغییر و میتواند شامل تست تمام ضعف های امنیتی سرویس ها، عیب های فنی یا آسیب پذیری های مختلف باشد. پس از بررسی و استخراج اطلاعات، این اطلاعات در اختیار مدیر سیستم قرار میگیرد تا به موقع برای رفع عیوب احتمالی، اقدام های لازم صورت گیرد :
ارزيابي امنيت فيزيكي ( Physical Security )
امنيت فيزيكي و محيطي اتاق سرور و سایت ها امنيت فيزيکي يکي از جنبههاي بسيار مهمي است که بايد در امنيت شبکههايکامپيوتري، مدنظر قرار گيرد. متاسفانه در طراحي امنيت شبکههايکامپيوتري اغلب به اين اولين لايه امنيتي توجه نمي شود. ايمن کردن نواحي جهت جلوگيري از دسترسي هاي غير مجاز و آسيب رساني به اطلاعات سازمان ها ضروري مي باشد. اطلاعات حياتي و حساس سازمان ها و نيز ابزارهاي پردازش آن ها بايد در نواحي ايمن و محافظت شده که داراي محيط و موانع امنيتي و کنترل هاي ورودي مي باشند، قرار گيرند.
ارزيابي امنيت شبكه و سرويسها ( Network and Services Security )
امنیت شبکه های داخلی از دو جهت مورد اهمیت است. اول به دلیل احتمال وجود مخاطرات داخلی نظیر کارمندان ناراضی و... . دوم از این منظر که نفوذگران خارجی به هر روشی توانسته باشند به شبکه های داخلی سازمان، شرکت و... نفوذ نمایند. انجام آزمون نفوذپذيري شبکه های LAN و Wireless از توانایی های شرکت در این بخش می باشد.
ارزيابي امنيت شبكههاي بي سيم ( Wireless Security )
خطر معمول در کلیهی شبکههای بیسیم مستقل از پروتکل و تکنولوژی مورد نظر، بر مزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنالهای رادیویی بهجای سیم و کابل، استوار است. با استفاده از این سیگنالها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نهچندان قدرتمند این شبکهها، خود را بهعنوان عضوی از این شبکهها جازده و در صورت تحقق این امر، امکان دستیابی به اطلاعات حیاتی، حمله به سرویس دهندهگان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گرههای شبکه با یکدیگر، تولید دادههای غیرواقعی و گمراهکننده، سوءاستفاده از پهنایباند مؤثر شبکه و دیگر فعالیتهای مخرب وجود دارد.
ارزيابي امنيت پرسنلي و مهندسي اجتماعي (Personal Security and Social Engineering)
ارزيابي امنيت برنامههاي كاربردي (Application Security)
استفاده روز افزون از وب سایت های اینترنتی همچون بانکداری اینترنتی، فروشگاه های اینترنتی و... نیاز به امنیت را در این زمینه افزوده است. کوچکترین آسیب پذیری ها در سیستم های پرداخت آنلاین می تواند خسارت های سنگین مالی و اعتباری را متحمل بانک و يا شرکت مذکور و... نماید. همانطور که در استانداردهای امنیتی نظیر ISMS بیان می شود، تست های آزمون نفوذپذیری برنامه های کاربردی تحت وب به صورت دوره ای، چاره ی حل این مشکل است. واحد امنیت شرکت امن پرداز با توجه به توانایی نیروهای خود، این نوع از آزمون نفوذ را در برنامه های کاربردی تحت وب مبتنی بر زبان- های PHP، ASP، ASP.Net، JAVA و بانک های اطلاعاتی MSSQL، MYSQL و Oracle انجام می دهد.
ارزيابي امنيت سرويسهاي اينترنتي (Internet Services Security)
ارزيابي مديريت سيستمهاي امنيتي (Managing Security Systems)
مراحل تست نفوذ:
تعيين نوع ، قلمرو و مشخصات تست نفوذ
جمع آوري اطلاعات غيرفعال
جمع آوري اطلاعات فعال
ارزيابي آسيب پذيريها
نفوذ به سيستم و نشانه گذاري
تسخير بلند مدت سيستم
تهيه گزارش تست نفوذ
منبع: بهپارت
ثبت نظر