با افزایش روز افزون استفاده از کامپیوتر و اینترنت در زندگی انسان نیاز به امنیت اطلاعات به امری بدیهی و بسیار مهم برای موسسات و سازمانها بدل شده است. به منظور افزایش امنیت شبکه نیاز است تا پیش از هکرها نقاط ضعیف و آسیبپذیر شبکه را شناسایی و نسبت به رفع این نقایص اقدام گردد. شرکت سیاره فناوری اطلاعات از طریق ارزیابی امنیتی و تست نفوذپذیری این امکان را برای سازمانها فراهم میآورد که ضمن حفظ اطلاعات محرمانه، از نقاط آسیبپذیر شبکه خود اطلاع یافته و نسبت به رفع آن اقدام کنند.
ارزیابی آسیب پذیری ها (Vulnerability Assessment):
در ارزیابی آسیبپذیری، ضعفهای امنیتی شناخته شده شبکه، پویش و بررسی می شوند. ابزارهای ارزیابی آسیبپذیری ها، بخشهای مختلف شبکه را پویش میکنند تا آسیبپذیریهای سیستمها، سیستم عاملها، نرمافزارها را شناسایی کنند. علاوه بر این، نرمافزارهای پویش آسیبپذیری، اشتباهات رایج در پیکربندیها را نیز شناسایی میکنند.
آزمون نفوذپذیری (Penetration Test):
آزمون نفوذپذیری، فرآیند ارزیابی امنیتی شبکه ها، سایت ها یا سیستم های کامپیوتری است که بوسیله شبیه سازی یک حمله که توسط هکر انجام می شود، صورت می گیرد و هدف از انجام آن، اطمینان از صحت پیکربندی امنیتی سیستم ها، اطمینان از ایمنی در مقابل آخرین آسیب پذیری ها، یافتن نقاط ضعف پیش از سوءاستفاده مهاجمان از آنها، کاهش هزینه های ترمیم و کاهش مخاطرات نفوذ مهاجمان می باشد.
اهداف انجام آزمون نفوذپذیری عبارتند از:
شناسایی نقاط ضعف و آسیبپذیر سیستمها و نرمافزارها
شناسای آسیبپذیریهای درونی و بیرونی شبکه
بررسی امکان نفوذ به سیستمها و برنامهها
ارائه راه حل برای رفع مشکلات و آسیبپذیریهای امنیتی موجود
دستیابی به راهحل جامع برای رفع آسیبپذیریهای احتمالی آینده
انواع آزمون نفوذپذیری:
از نقطه نظر سطح دانشی که در اختیار تستکننده قرار میگیرد، آزمون نفوذپذیری را میتوان به سه نوع زیر دستهبندی کرد:
جعبه سفید (White Box): تست کننده با شناخت سیستم و بازبینی از کدها همچنین شبکه داخلی یک سازمان، آسیبپذیریهای برنامه کاربردی و شبکه مورد نظر را کشف مینماید.
جعبه خاکستری (Gray Box): در این روش، اطلاعات مختصری درباره زیرساخت و سرویسهای شبکه هدف در اختیار تست کننده قرار داده میشود.
جعبه سیاه (Black Box): در این روش، تستکننده بدون دانستن زیرساخت و سرویسهای شبکه هدف، و با استفاده از دانش و ابزارهای مناسب، سعی در کشف آسیبپذیریهای برنامه کاربردی مینماید.