آزمون نفوذپذیری
تست نفوذ به عنوان راهکاری مؤثر در دنیای امنیت اطلاعات در جهت یافتن ریسک ها و مخاطرات سازمان بوده که امکان سنجش میزان آمادگی شبکه در مقابل حملات را فراهم نموده و گامی موثر در راستای ارتقاء سطح امنیتی سازمان می باشد. در واقع تست نفوذ به منزله راهی جهت اطمینان از صحت پیاده سازی کنترل های امنیتی با هدف مقابله و جلوگیری از نفوذ و حملات هکرها بوده و یکی از راهبردهای کاربردی در یافتن مشکلات امنیتی در حوزه پیاده سازی و نگهداری شبکههای سازمانی و جریان اطلاعات موجود در آن میباشد. بنابراین تست نفوذ در راستای تشخیص لایه های مختلف از آسیب پذیری کمک شایانی کرده و بدین ترتیب عواقب و خساراتی که ممکن است از طریق حملات سایبری متوجه سازمان شود را قبل از وقوع حادثه کشف و سازمان را نسبت به رفع آنها ترغیب می نماید.
در عملیات تست نفوذ از متدولوژی های برتری از قبیل OSSTMM و OWASP استفاده می شود. تست نفوذ در سه نوع جعبه سیاه، جعبه خاکستری و جعبه سفید قابل انجام است.
جعبه سیاه: در این حالت، هیچگونه اطلاعی از سیستم هدف در اختیار ارزیاب قرار نخواهد گرفت. بعنوان مثال تنها آدرس URL مربوط به پورتال در اختیار ارزیاب قرار می گیرد.
جعبه خاکستری: در این حالت اطلاعات کمی در خصوص سیستم هدف در اختیار ارزیاب قرار می گیرد. بعنوان مثال علاوه بر آدرس URL مربوط به پورتال، یک نام کاربری با سطح دسترسی پایین نیز در اختیار ارزیاب قرار می گیرد.
جعبه سفید: در این حالت اطلاعات نسبتا جامعی در خصوص سیستم هدف در اختیار ارزیاب قرار می گیرد. بعنوان مثال علاوه بر آدرس URL مربوط به پورتال، نام کاربری با سطح دسترسی بالا و در برخی موارد نیز امکان دسترسی به کد برنامه نیز در اختیار ارزیاب قرار می گیرد.
زیرساخت:
- سیستم عامل
- پایگاه داده ها
- سرویس های پایه شبکه: Directory Service, DNS, DHCP
شبکه:
- تجهیزات شبکه: Router, Switch, Firewall, IDS
- ارتباطات شبکه ای و شبکه های بی سیم
برنامه کاربردی تحت وب:
- پورتال سازمانی
- وبسایت
- و …