استفاده از فناوری اطلاعات و زیرساختهای آن بر امکانات و تسهيلاتی که در اختيار سازمانها میگذارد آنان را در معرض مشکلات و خطراتی نيز قرار میدهد. شبکههای کامپیوتری اگرچه یک بستر یکپارچه را برای ارتباط اجزای مختلف یک کسب و کار فراهم میآوردند و یک مزیت رقابتی شمرده میشوند، اما در صورتیکه مورد تهاجم نفوذگران قرار گیرند، به نقطه آسیبپذیری تبدیل خواهند شد.
برنامههای کاربردی (اعم از برنامههای تحت وب، دسکتاپی و موبایلی) نیز نقش حیاتی در سازمانهای مدرن بازی میکنند و پنجره ارتباطی سازمانها و مخاطبانشان هستند. اهمیت این موضوع زمانی بیشتر مشخص میگردد که سارقان اینترنتی با نفوذ به این برنامهها میتوانند عملکرد یک کسب و کار را مختل و اطلاعات حیاتی را به سرقت برند.
تست نفوذپذیری یکی از راههای شناخته شده و استاندارد برای شناسایی نقاط آسیبپذیری و کمک به رفع آنهاست.
در تست نفوذ، با استفاده از تکنیکهای فنی، حملات واقعی به زیرساختهای فناوری اطلاعات سازمانهای متقاضی شبیهسازی میشود. این امر به سازمانها کمک میکند تا با تشخیص به موقع یک آسیبپذیری، از دسترسی و آسیبرسانی هکرهای واقعی به سرمایههای سازمان جلوگیری نمایند. این آسیبپذیریها ممکن است ناشی از نوع تکنولوژی مورد استفاده، ضعف در پیکربندی تجهیزات و یا ضعف در سیستم عامل و Frameware آنها و یا ضعف در برنامه نویسی و منطق کسب و کار پیش بینی شده در آن باشد.
تجربه چندین ساله آشنا ایمن در خصوص مشاوره و پیادهسازی استانداردهای امنیتی همچونITSM ،ISMS وPCI-DSS ما را بر آن داشت تا چارچوبی بومی جهت انجام ارزیابیهای امنیتی و تدوین راه حلهای مناسب نمائیم. این چارچوب که با نام Ashna Secure Framework (ASF) معرفی شده است، شرایط لازم را جهت استقرار استانداردهای امنیتی مرتبط فراهم میسازد. این رویکرد مطابق با نیازمندیهای مشتری و نوع صنعت مخاطب سرویس امنیتی، منعطف میباشد.
یکی از اجزای مهم این چارچوب که با بهرهگیری از تجارب چندین ساله اجرایی و با تکیه بر استانداردها و Best Practice های بین المللی همچونOWASP،ISSAF ،OSSTMM و PWK تدوین شده، متدولوژی آزمون نفوذپذیری است که تحت عنوان ASPTM (ASHNA Secure Penetration Testing Methodology) معرفی میشود. این متدولوژی به بیان روشهای فنی و اجرایی آزمون نفوذپذیری در آشنا ایمن میپردازد و دامنه مجموعهای از خدمات عرضه شده در این حوزه را شفاف مینماید.
در این متدولوژی موارد زیر مد نظر قرار گرفته است:
- مفاهیم پایه در آزمون نفوذپذیری نظیر انواع تست،انواع هکرها و غیره
- اطلاعات اولیه موردنیاز جهت انواع آزمون نفوذپذیری جعبه سیاه، جعبه خاکستری و جعبه سفید
- دامنه انجام ارزیابیها بر روی زیرساخت و تجهیزات شبکه، سرویس دهندهها، رادیوها و تجهیزات ارتباطی، تجهیزات امنیتی، برنامههای کاربردی و برنامههای موبایلی، شبکههای کنترل صنعتی و غیره
- ابزارهای مورد استفاده در تست نفوذ مانند پویشگرهای تجاری مختلف
- معیارهای ارزیابی و امتیازدهی آسیب پذیری بر اساس استانداردهای روز دنیا
- مدل سازی تهدیدات بر اساس الگوهای تجاری
- شبیهسازی حملات و تهدیدات
- استفاده از آسیبپذیریهای اختصاصی (0day)
- تشریح مراحل انجام آزمون نفوذ
- روشهای رفع آسیبپذیریهای شناسایی شده
- گزارشدهی کلیه فعالیتهای انجام شده در طول انجام پروژه

در متدولوژی آشنا ایمن تکنیکهای متفاوتی برای آزمون نفوذپذیری وجود دارد. با توجه به فناوریهای موجود در سازمان/شرکت هدف و همچنین بر اساس محدوده مشخص شده برای آزمون نفوذپذیری، امکان انتخاب ماژولهای فنی متفاوتی (مانند شبکه و اپلیکیشنها) وجود دارد که هر یک از آنها یک بخش از محدوده مورد انتظار را پوشش میدهد. این ماژولها عبارتند از:
پس از انجام تستهای نفوذپذیری، نوبت به پیاده سازی راهکارهای پیشنهادی جهت امن سازی آسیب پذیری هاست. تیم امن سازی در کنار تیم تست نفوذ، علاوه بر بررسی چک لیستهای امنیتی، جهت پیاده سازی راهکارهای امن سازی نیز اقدام خواهد کرد. این خدمات ممکن است به بازنگری معماری امنیت سازمان و به روز رسانی سرویسها منجر شود.
شرکت آشنا ایمن با دارا بودن مجوز ارائه خدمات عملیاتی افتا در خصوص ارزیابی و آزمون امنیتی (تست نفوذپذیری) از سوی سازمان فناوری اطلاعات و همچنین مجوز فعالیت از سازمان پدافند غیرعامل و شورایعالی انفورماتیک کشور، طیف وسیعی از خدمات ارزیابی امنیتی (تست نفوذ) و همچنین خدمات امنسازی (Hardening) را برای سازمانها و بنگاههای اقتصادی ارائه مینماید