ارزیابی آسیب پذیری و تست نفوذ (Vulnerability Assessment and Penetration Testing) شامل یک فرایند جامع برای اطمینان از وضعیت امنیتی سازمان می باشد.
هر سازمانی از انواع مختلف ارزیابیهای امنیتی برای بررسی سطح امنیت منابع شبکه استفاده میکند:
ارزیابی آسیبپذیری (Vulnerability Assessment)
ممیزی امنیتی (Security Auditing)
آزمون نفوذ (Penetration Testing)
تیم قرمز (Red Teaming)۱-۱ ارزیابی آسیبپذیری
در ارزیابی آسیبپذیری، ضعفهای امنیتی، کشف شده و شبکه پویش و بررسی میشود. ابزارهای پویش آسیبپذیری، بخشهای مختلف شبکه را پویش میکنند تا آسیبپذیریهای سیستمها، سیستم عاملها، نرمافزارها و … را شناسایی کنند. علاوه بر این، نرمافزارهای پویش آسیبپذیری، اشتباهات رایج در پیکربندیها را نیز شناسایی میکنند.ارزیابی آسیبپذیری دارای محدودیتهایی است از قبیل:نرمافزارهای پویش آسیبپذیری، دارای تواناییهای محدودی در شناسایی آسیبپذیریها هستند.
زمانیکه آسیبپذیریهای جدید کشف شدند، این نرمافزارها نیز باید به روز شوند.متدولوژی مورد استفاده و نیز نرمافزارهای مختلف پویش آسیبپذیری، امنیت را از دیدگاه مختلف مورد ارزیابی قرار میدهند لذا نتایج آنها میتواند متفاوت باشد.
۱-۲ ممیزی امنیتی
ممیزی امنیتی، بررسی وضعیت امنیتی سازمان را در سطوح بالا انجام میدهد. مواردی از قبیل امنیت فیزکی، ، کنترل دسترسی، امنیت شبکه، دفاع در عمق، سازگاری با PCI DSS و … به دقت مورد بررسی قرار میگیرند. این نوع بازرسی، در واقع رویکرد کلی دارد و شاید نیاز باشد که در بررسی امنیت شبکه، از ارزیابی آسیبپذیری یا آزمون نفوذپذیری نیز استفاده شود.۱-۳ آزمون نفوذپذیریآزمون نفوذپذیری، فرآیند ارزیابی معیارهای امنیتی شرکت است. معیارهای امنیتی از لحاظ ضعف طراحی، مشکلات فنی، و آسیبپذیریها مورد آنالیز قرار میگیرند. و نتایج آن طبق گزارش کاملی به مدیران و نیروهای فنی ارائه میشود.اهداف انجام آزمون نفوذپذیری عبارتند از:
شناسایی نقاط ضعف و آسیبپذیر سیستمها و نرمافزارها
شناسای آسیبپذیریهای درونی و بیرونی شبکه
بررسی امکان نفوذ به سیستمها و برنامههاارائه راه حل برای رفع مشکلات و آسیبپذیریهای امنیتی موجوددامنه آزمون نفوذپذیری در شرکت امن نگر سامان موارد زیر را شامل میشود:
آزمون نفوذ سامانههای تحت وب (Web Application)
آزمون نفوذ تجهیزات شبکه و سرویسهای سیستمعامل (Network, Firewall, OS Services)
آزمون نفوذ برنامههای کاربردی موبایل (Mobile Application)
آزمون نفوذ برنامههای دسکتاپ (Desktop Application)
آزمون نفوذ وبسرویس (Web Service)آزمون نفوذ شبکههای بیسیم (Wireless)
آزمون نفوذ رایانش ابری (Cloud Computing)
آزمون نفوذ شبکههای مخابراتی (Telecom)
آزمون نفوذ شبکههای کنترل صنعتی (SCADA , DCS)
آزمون نفوذ سیستمهای ویپ (VOIP)
آزمون نفوذ Core Bankingآزمون نفوذ برنامههای کلاینتی (Client Side Application)
آزمون امنیت فیزیکی (Physical)
آزمون نفوذ اینترنت اشیاء (IoT)۱-۴ Red Teaming
سازمانها میتوانند با شبیهسازی حملات دنیای واقعی و تمرین تدابیر امنیتی، تکنیکها و روشها که معمولاً مهاجمان از آنها بهره میبرند، خود را برای حملات واقعی آماده سازند. بهجای آنکه سعی در جلوگیری از وقوع حوادث امنیتی داشت، بسیار مهم است که تصور نمود که این حوادث امنیتی میتوانند رخ دهند و در آینده نیز اتفاق خواهند افتاد. اطلاعات بهدستآمده از تیم Red Teaming و تمرینات آزمون نفوذ بر روی سایتها، کمک میکند تا بهطور قابلتوجهی دفاع در برابر حملات تقویت شود، استراتژیهای پاسخ به حملات و آموزش در برابر حملات بهبود یابند.
سازمانها نمیتوانند بهطور کامل شکاف بین شناسایی و پاسخ امنیتی مناسب را تنها با تمرکز بر روی راهبردهای پیشگیری از نقص، شناسایی و برطرف نمایند.باید توجه داشت درک این مطلب که نهتنها حفاظت، بلکه شناسایی و پاسخ به نقصها (نه بهاندازه اقدامات امنیتی انجامشده در ابتدا) بسیار مهم است. سازمانها میتوانند با برنامهریزی برای موقعیتهای خطرناک پیش رو، از طریق wargame (تمرینات تدریجی و نفوذ) و Red Teaming (حملات و نفوذ در دنیای واقعی)، توانایی لازم را برای شناسایی تلاشهای نفوذ و واکنشهای مرتبط با نقض امنیتی بهبود ببخشند.