در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

معرفی مفاهیم اولیه در تست نفوذ سنجی

این سری از آموزش را با مفاهیم اصلی و پایه ای در رابطه با تست نفوذ شروع خواهیم کرد تا بحمد الله با داشتن درک صحیحی از آن چه که در آینده قصد انجام آن را داریم، بتوانیم بدرستی و در کمترین زمان و خطا تست نفوذ را به مقصد دلخواه انجام دهیم. در پایان این سری از آموزش مفاهیم تست نفوذ، شما با قوانین تست نفوذ در ارزیابی های امنیتی آشنا خواهید شد و خواهید آموخت که چرا سنجش آسیب پذیری ها به تنهایی برای تشخیص و حذف آن ها در شبکه کافی نمیباشد. دست اخر نیز نحوه صحیح گرفتن تست نفوذ، لزوم انجام تست نفوذ و ... بشما آموزش داده میشود.

مفاهیم تست نفوذ (Penetration Testing Concepts)

ارزیابی های امنیتی

هر شرکت و سازمانی برای رتبه بندی سطح امنیتی خود بر روی منابع شبکه اش، از روش های مختلفی برای ارزیابی امنیتی استفاده میکند. صاحبان مشاغل باید روش ارزیابی خود را بر اساسی انتخاب کنند که به موقعیت و پیش نیاز های شبکه شان متناسب در بیاید. به عبارتی هرکسی نمیتواند بنا به دلخواه هود از هر روشی استفاده نماید و باید ببیند که ایا آن روش نسبت به موقعیت شبکه، انتظارات را برآورده خواهد نمود یا خیر. افرادی که از روش های مختلف برای ارزیابی امنیتی استفاده میکنند باید مهارت های مخالفی را دارا باشند. بنابراین انجام دهنده تست نفوذ، چه یکی از افراد شرکت باشد و چه یک شرکت واسط، باید تجربه کافی در بحث تست نفوذ را داشته باشند. دسته بندی ارزیابی امنیتی شامل بازرسی مورد به مورد امنیت، ارزیابی آسیب پذیری و تست نفوذ یا هک قانونی میباشد.

مفاهیم تست نفوذ (Penetration Testing Concepts)

طبقه بندی ارزیابی امنیتی

ارزیابی امنیتی بطور گسترده به سه شاخه تقسیم میشوند:


1- ممیزی امنیت (Security Audit): ممیزی امنیت نوعا با تمرکز بر روی افراد و فرآینده ها، امنیت را در سطح شبکه طراحی، پیاده سازی و مدیریت میکند. این موضوع خط مبنایی میشود برای درگیر کردن دو مقوله قوانین و فرآینده در یک شرکت. در یک ممیزی امنیت، ارزیاب، قوانین امنیتی سازمان و روش ها همگی از یک خط مبنا استفاده میکنند. مدیریت IT معمولا از ممیزی امنیت شروع میشود. موسسه بین المللی استاندارد و تکنولوژی (NIST)، نحوه و نوع اجرای ممیزی امنیت را در قالب کتابچه ای تدوین کرده و مجموعه ابزارهای مرتبط را با نام ASSET در اختیار گذارده است.در یک سیستم، پیمایش مورد به مورد امنیت میتواند بصورت دستی و یا بصورت اتوماتیک صورت بپذیرد. شما میتوانید از طریق تکنیک های زیر بصورت دستی از این قابلیت استفاده لازم را ببرید:

  • مصاحبه با کارکنان
  • کنترل دسترسی بر روی اپلیکیشن ها و سیستم های عامل
  • تحلیل دسترسی فیزیکی به سیستم ها

همچنین با استفاده از تکنیک های معرفی شده در ذیل میتوانید بصورت اتوماتیک فرآیند بازرسی مورد به مورد را انجام دهید:

  • تولید گزارش های بازرسی
  • مانیتورینگ و رصد تغییرات بوجود آمده در فایل ها

2. بازرسی آسیب پذیری: یک بازرسی آسیب پذیری بشما کمک زیادی میکند تا بتوانید آسیب پذیری های موجود در شبکه را شناسایی نمایید. برای انجام یک بازرسی آسیب پذیری، باید مهارت لازم را داشته باشید و بقول معروف در این زمینه حرفه ای عمل کنید. از طریق یک بازرسی صحیح، تهدیدات احتمالی از جانب هکرها، کارمندان سابق، کارمندان شاغل و غیره که ممکن است صورت پذیرند، قابل پیش بینی خواهد بود.

3. تست نفوذ: تست نفوذ در واقع اجرای تست و آزمایش بر روی امنیت یک سازمان توسط شبیه سازی اعمالی که هکرها انجام میدهند است. این تست بشما کمک میکند تا سطوح مختلف آسیب پذیری ها و راه هایی که یک هکر خارجی میتواند به شبکه شما آسیب بزند را قبل از وقوع حمله و نفوذ واقعی، بشناسید.خوب دوستان تا اینجا توانستیم بصورت مختصر و تیتروار با مراحل یک ارزیابی امنیتی صحیح آشنا شویم. در قسمت بعد بطور مفصل در رابطه با هریک از 3 دسته بندی بالا صحبت خواهیم نمود.

سربلند و ITPro باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#آسیب_پذیری #تست_نفوذ_چیست؟ #مفاهیم_انجام_تست_نفوذ #آسیب_پذیری_های_سیستم #تست_نفوذ_به_شبکه_های_وایرلس #آسیب_پذیری_client-side_script #آسیب_پذیری_در_شبکه #آسیب_پذیری_های_شبکه_های_وایرلس
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....