احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

مفهوم ارزیابی امنیت چیست؟ طبقه بندی های ارزیابی امنیت در تست نفوذ

این سری از آموزش را با مفاهیم اصلی و پایه ای در رابطه با تست نفوذ شروع خواهیم کرد تا بحمد الله با داشتن درک صحیحی از آن چه که در آینده قصد انجام آن را داریم، بتوانیم بدرستی و در کمترین زمان و خطا تست نفوذ را به مقصد دلخواه انجام دهیم. در پایان این سری از آموزش مفاهیم تست نفوذ، شما با قوانین تست نفوذ در ارزیابی های امنیتی آشنا خواهید شد و خواهید آموخت که چرا سنجش آسیب پذیری ها به تنهایی برای تشخیص و حذف آن ها در شبکه کافی نمیباشد. دست اخر نیز نحوه صحیح گرفتن تست نفوذ، لزوم انجام تست نفوذ و ... بشما آموزش داده میشود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
مفاهیم تست نفوذ (Penetration Testing Concepts)

ارزیابی های امنیتی

هر شرکت و سازمانی برای رتبه بندی سطح امنیتی خود بر روی منابع شبکه اش، از روش های مختلفی برای ارزیابی امنیتی استفاده میکند. صاحبان مشاغل باید روش ارزیابی خود را بر اساسی انتخاب کنند که به موقعیت و پیش نیاز های شبکه شان متناسب در بیاید. به عبارتی هرکسی نمیتواند بنا به دلخواه هود از هر روشی استفاده نماید و باید ببیند که ایا آن روش نسبت به موقعیت شبکه، انتظارات را برآورده خواهد نمود یا خیر. افرادی که از روش های مختلف برای ارزیابی امنیتی استفاده میکنند باید مهارت های مخالفی را دارا باشند. بنابراین انجام دهنده تست نفوذ، چه یکی از افراد شرکت باشد و چه یک شرکت واسط، باید تجربه کافی در بحث تست نفوذ را داشته باشند. دسته بندی ارزیابی امنیتی شامل بازرسی مورد به مورد امنیت، ارزیابی آسیب پذیری و تست نفوذ یا هک قانونی میباشد.

مفاهیم تست نفوذ (Penetration Testing Concepts)

طبقه بندی ارزیابی امنیتی

ارزیابی امنیتی بطور گسترده به سه شاخه تقسیم میشوند:

1- ممیزی امنیت (Security Audit): ممیزی امنیت نوعا با تمرکز بر روی افراد و فرآینده ها، امنیت را در سطح شبکه طراحی، پیاده سازی و مدیریت میکند. این موضوع خط مبنایی میشود برای درگیر کردن دو مقوله قوانین و فرآینده در یک شرکت. در یک ممیزی امنیت، ارزیاب، قوانین امنیتی سازمان و روش ها همگی از یک خط مبنا استفاده میکنند. مدیریت IT معمولا از ممیزی امنیت شروع میشود. موسسه بین المللی استاندارد و تکنولوژی (NIST)، نحوه و نوع اجرای ممیزی امنیت را در قالب کتابچه ای تدوین کرده و مجموعه ابزارهای مرتبط را با نام ASSET در اختیار گذارده است.در یک سیستم، پیمایش مورد به مورد امنیت میتواند بصورت دستی و یا بصورت اتوماتیک صورت بپذیرد. شما میتوانید از طریق تکنیک های زیر بصورت دستی از این قابلیت استفاده لازم را ببرید:

  • مصاحبه با کارکنان
  • کنترل دسترسی بر روی اپلیکیشن ها و سیستم های عامل
  • تحلیل دسترسی فیزیکی به سیستم ها

همچنین با استفاده از تکنیک های معرفی شده در ذیل میتوانید بصورت اتوماتیک فرآیند بازرسی مورد به مورد را انجام دهید:

  • تولید گزارش های بازرسی
  • مانیتورینگ و رصد تغییرات بوجود آمده در فایل ها

2. بازرسی آسیب پذیری: یک بازرسی آسیب پذیری بشما کمک زیادی میکند تا بتوانید آسیب پذیری های موجود در شبکه را شناسایی نمایید. برای انجام یک بازرسی آسیب پذیری، باید مهارت لازم را داشته باشید و بقول معروف در این زمینه حرفه ای عمل کنید. از طریق یک بازرسی صحیح، تهدیدات احتمالی از جانب هکرها، کارمندان سابق، کارمندان شاغل و غیره که ممکن است صورت پذیرند، قابل پیش بینی خواهد بود.

3. تست نفوذ: تست نفوذ در واقع اجرای تست و آزمایش بر روی امنیت یک سازمان توسط شبیه سازی اعمالی که هکرها انجام میدهند است. این تست بشما کمک میکند تا سطوح مختلف آسیب پذیری ها و راه هایی که یک هکر خارجی میتواند به شبکه شما آسیب بزند را قبل از وقوع حمله و نفوذ واقعی، بشناسید.خوب دوستان تا اینجا توانستیم بصورت مختصر و تیتروار با مراحل یک ارزیابی امنیتی صحیح آشنا شویم. در قسمت بعد بطور مفصل در رابطه با هریک از 3 دسته بندی بالا صحبت خواهیم نمود.

سربلند و ITPro باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات