ماموت فناوری اطلاعات
Ashna Secure logo
 
 

تست نفوذ، نفوذ اخلاقی، ارزيابي امنيتي

اگر رايانه يا شبكه شما به هر نحوي به شبكه جهاني اينترنت متصل باشد، صدها بلكه هزاران نفوذگر در تلاش براي خرابكاري در سيستم و دستيابي به اطلاعات حساس شما خواهند بود. حتي اگر شما از ورود نفوذگران اينترنتي در امان باشيد كاربران ناراضي و نفوذگراني كه از داخل سازمان سعي در نفوذ به سيستم ها دارند را نبايد دست كم گرفت. شما همواره بايد قادر باشيد يك گام جلوتر از نفوذگران آسيب پذيريهاي موجود در شبكه پايگاه وب و بانكهاي اطلاعاتي خود را شناسايي كرده و پيش از آنكه به امنيت سيسيتم شما خدشه¬اي وارد شود سطح امنيتي آنها را ارتقا دهيد.

تعريف آزمون
آزمون نفوذ روشي است كه توسط آن قادر خواهيد بود آسيب پذيري هاي موجود در شبكه پايگاه وب و بانكهاي اطلاعاتي خود را شناسايي كرده و پيش از آنكه نفوذگران واقعي به سيستم شما وارد شوند سطح امنيتي شبكه خود را ارتقا دهيد. اين خدمات شما را نسبت به آسيب پذيريهاي شناخته شده و بعضا ناشناخته شبكه و برنامه هاي كاربردي آگاه مي كند و باعث ميشود بتوانيد پيش از آنكه مورد سوء استفاده افراد بدنيت قرار گيريد آنها را مورد اصلاح قرار دهيد.

سرويس هاي ارزيابي امنيتي:
گروه تست نفوذ پذيري آشنا ايمن، با توجه به فناوري‌هاي موجود در سايت هدف، سرويس هاي ارزيابي امنيتي به شرح زير ارائه مي دهد:
1. ارزيابي امنيت فيزيكي (Physical Security)
2. ارزيابي امنيت شبكه و سرويس‌ها ( Network and Services Security)
3. ارزيابي امنيت شبكه‌هاي بي سيم ( Wireless Security)
4. ارزيابي امنيت پرسنلي و مهندسي اجتماعي (Personal Security and Social Engineering)
5. ارزيابي امنيت برنامه‌هاي كاربردي (Application Security)
6. ارزيابي امنيت سرويس‌هاي اينترنتي (Internet Services Security)
7. ارزيابي مديريت سيستم‌هاي امنيتي (Managing Security Systems)

مخاطبين:
• سازمان ها و ادارات
• موسسات مالي و اعتباري و بانك ها
• بيمارستان ها و مراكز خدمات رساني
• وزارتخانه ها
• و هر مجموعه اي كه Website فعال داشته باشد.

مراحل تست نفوذ

در ASPTM مراحل تست نفوذ به شرح زير مي‌باشد كه البته اين مراحل متناسب با نوع و مشخصات تست نفوذ قابل انتخاب مي‌باشد. بطور كلي تست نفوذ شامل مراحل زير خواهد بود:

1- تعيين نوع ، قلمرو و مشخصات تست نفوذ
خروجي :
- مستند SOW براي تست نفوذ

2- جمع آوري اطلاعات غيرفعال
خروجي:
- گزارش شناخت اوليه هدف تست نفوذ

3- جمع آوري اطلاعات فعال

خروجي:
- گزارش شناخت هدف تست نفوذ
- انتخاب ابزارهاي تست آسيب پذيري‌ها
- تعيين روش هاي فني ارزيابي آسيب پذيري‌ها
- آدرس هاي IP سرويس‌دهنده‌ها و ميزبان ها
- ليست پورت هاي باز و سرويس‌ها موجود بر روي آن ها
- شناسايي مسيرهاي عبور داده ها به مقاصد مختلف (network routes) در صورت امكان و نفوذ به سيستم
- ترسيم نقشه لايه خارجي شبكه (فايروال ها ، روترها، ...) در صورت امكان و نفوذ به سيستم
- مكانيسم هاي كنترل دسترسي در صورت وجود و و نفوذ به سيستم
- Access Server ها در صورت وجود و نفوذ به سيستم
- توپولوژي شبكه و ارتباط بين سيستم ها در صورت امكان و نفوذ به سيستم
- آخرين تاريخ راه اندازي شدن سرويس‌دهنده‌ها در صورت امكان و نفوذ به سيستم
- نوع و نسخه سيستم عامل و سرويس‌ها در حال اجرا در صورت امكان و نفوذ به سيستم

4- ارزيابي آسيب پذيري‌ها :
اين مرحله به عنوان مهمترين فاز تست نفوذ كلية آسيب پذيري‌هاي هدف را شناسايي مي‌كند. اين مرحله خود از چند مرحلة جزئي تر تشكيل شده است كه در ادامه به آن مي‌پردازيم:
i. ارزيابي خودكار
ii. ارزيابي دستي
iii. ارزيابي خلاقانه

5- نفوذ به سيستم و نشانه گذاري :
پس از شناسايي قطعي آسيب پذيري‌ها، موقع آنست كه به سيستم نفوذ نموده و نشانه‌هاي لازم جهت اثبات ورود به سامانة هدف را ايجاد نماييم. براي اين منظور نيز آشنا ايمن از بانك Exploit خود استفاده نموده و حتي الامكان آسيب-پذيري‌هاي قابل نفوذ را مورد استفاده قرار مي‌دهد. و پس از نفوذ به سيستم اقدام به ايجاد نشانه‌هاي مختلف مانند:

- تغيير صفحة وب با رنگ زمينه
- ايجاد يك فايل بر روي كامپيوتر هدف با محتواي مشخص
- گرفتن تصوير از Remote Desktop
- گرفتن فيلم از عمليات نفوذ
- اضافه نمودن يك Comment در پيكره¬بندي تجهيزات
- دستكاري Banner سرويس‌ها
- كپي فايل‌هاي سيستم هدف

خروجي:
- نفوذ به سيستم و دستيابي به دسترسي‌هاي غيرمجاز در صورت امكان
- ايجاد Proof of Concept در صورت امكان
- Dface نمودن در صورت نياز
- فيلم، Snapshot و ... در صورت امكان

6- تسخير بلند مدت سيستم:
در صورتي كه كارفرما اجازه دهد سيستم‌هاي نفوذ شده مي‌تواند Rootkit شده و يا بر روي آن¬ها Backdoor هاي مناسب نصب گردد و در اين شرايط سيستم‌ها براي مدت طولاني در تسخير گروه تست نفوذ قرار مي‌گيرد. گاهاً ممكن است از اين روش براي نفوذ به لاية ديگري از سيستم‌ها استفاده شود. به عنوان مثال نفوذ از لاية Internet Server به Local Server.

خروجي:
- دسترسي بلند مدت به سيستم جهت جمع آوري اطلاعات بيشتر در صورت امكان

7- تهيه گزارش تست نفوذ :
پس از انجام مراحل فوق و مجموعه مستندات توليد شده در مراحل مختلف جمع¬آوري شده و در قالبهای مشخصي تدوين مي‌گردد .


تست نفوذ، نفوذ اخلاقی، ارزيابي امنيتي
ارزیابی امنیتی برنامه‌های کاربردی
معرفی یک ابزار نفوذ
فرم درخواست تست وب سايت
مقالات مربوط به تست نفوذ
بد افزار W32.StuxNet
 
 
Ashna Secure logo

تمامي حقوق مادي و معنوي اين ب سايت متعلق به شركت آشنا ايمن مي باشد.

فهرست مشتریان و پروژه ها
فيدهاي RSS
شبكه هاي اجتمائي عضو 		 شرایط همکاری و جذب نیرو
 ارتباط با ما
 همکاران داخلی و خارجی
 معرفی شركت آشنا ايمن
 ليست دوره هاي آموزشي