خدمات آزمون نفوذ - تست نفوذ

آزمون نفوذ و ارزیابی امنیتی

آزمون نفوذ (پن تست) روشی است برای ارزیابی امنیتی سیستم‌ها و شبکه‌های کامپیوتری به وسیله انجام/شبیه‌سازی حملات به روش‌های مختلف به منظور کشف و شناسایی و گزارش مخاطرات و آسیب‌پذیری‌های امنیتی و ارائه راهکارهای برطرف سازی آن‌ها. هدف از اجرای آزمون نفوذ، شناسایی نقاط ضعف و راه‌های احتمالی نفوذ قبل از شناسایی آن‌ها توسط مهاجمین و خرابکاران است

استانداردها

OWASP Top 10
OWASP Testing Guide 4
OSSTMM

انواع آزمون

آزمون نفوذ جعبه سفید (بالاترین دقت و کیفیت)
آزمون نفوذ جعبه خاکستری (دقت متوسط)
آزمون نفوذ جعبه سیاه (پایین ترین دقت)

گزارشات

گزارش مدیریتی
گزارش فنی
گزارش آماری

امنیت همانند زنجیریست که قدرت آن به اندازه ضعیف‌ترین حلقه آن است!

ارزیابی امنیتی به صورت Red-Teaming

ارزیابی امنیتی توسط تیم قرمز (Red-Teaming) آزمون نفوذی است که به صورت متمرکز و با هدف دسترسی به داده/ماشین/دارایی حیاتی و مهم یک سازمان انجام می شود. در این مدل ارزیابی یافتن آسیب پذیری مهم نبوده و تیم به هر روش ممکن در تلاش برای نفوذ به زیرساخت سازمان خواهد بود. در زمان تست تیم قرمز، تیم زیرساخت و امنیت سازمان از انجام تست بی اطلاع بوده و در صورتی که متوجه نفوذ شوند می بایستی مانند واکنش به تهدیدات واقعی، اقدام به جلوگیری از نفوذ نمایند. این خدمات صرفا با هماهنگی مدیران بالا دستی انجام می شود.

شرایط انجام

عدم آگاهی تیم های امنیت و زیرساخت
اطلاع مدیران بالا دستی
تعیین اهداف اصلی از انجام ارزیابی
عدم تعریف IPبرای عبور از مکانیزم های امنیتی سازمان

مزایا نسبت به آزمون نفوذ

شبیه سازی حملات پیشرفته (APT)
اطمینان از امنیت داده ها و سامانه های حیاتی
ارزیابی امنیتی کلیه مبادی ورودی زیرساخت
بررسی امنیت کاربران سازمان
بررسی امنیت کانال مکاتبات

اهداف

اخذ دسترسی به اطلاعات/زیرساخت/برنامه های حیاتی و حساس سازمان ها
بررسی ضریب امنیت زیرساخت و صحت عملکرد قابلیت های امنیتی
بررسی عملکرد تیم واکنش به تهدیدات پیشرفته

Red-Teaming ابزاری است در دست مدیران برای تخمین سطح مخاطرات و قدرت واکنش سازمان در زمان وقوع تهدیدات

مشاوره امنیت اطلاعات

گراف کلیه خدمات مشاوره خود را به صورت میز مشاوره ارائه می‌نماید. منظور از میز مشاوره ارائه خدمات مشاوره توسط گروهی از متخصصان شرکت است. تفاوت اصلی خدمات مشاوره به صورت میز مشاوره در آن است که افرادی که در میز مشاوره حاضر می‌شوند علاوه بر دارا بودن دانش کلی در حوزه‌های مختلف امنیت اطلاعات و ارتباطات، به صورت تخصصی در یک حوزه خاص از فناوری اطلاعات و ارتباطات در بخش امنیت اطلاعات فعالیت نموده اند. تخصص‌های قابل ارائه در میز مشاوره شرکت گراف به شرح زیر می‌باشد:

متخصص امنیت اطلاعات و ارتباطات زیرساخت

متخصص ارزیابی‌های امنیتی و آزمون نفوذ

متخصص استاندارد‌ها و متدولوژی‌های امنیتی

متخصص امنیت برنامه‌های کاربردی تحت وب، رومیزی و موبایل

متخصص تهدیدات پیشرفته سایبری

متخصص برگزاری و طراحی دوره‌های آموزشی امنیت اطلاعات و ارتباطات

مشاوره تا حصول نتیجه

از موارد متمایز دیگر خدمات مشاوره شرکت گراف، ارائه خدمات Advisor است. در این نوع خدمات تیم مشاوره شرکت گراف پس از ارائه راهکارها در حوزه مشاوره، در کنار تیم مجری تا نتیجه گیری نهایی و اجرای تصمیمات خواهد بود و در واقع این همراهی به صورت نظارت بر انجام مسئولیت ها تا حصول نتیجه مطلوب بوده و کارفرما در مسیر اجرا تنها نخواهد بود

هزینه

هزینه خدمات مشاوره به دو صورت ساعتی و پروژه ای می باشد. ایراد روش اول در آن است که با توجه به عدم حضور متخصصات میز در محیط کارفرما،‌ ساعت هایی که در شرکت کار انجام شده برای کارفرما قابل بررسی نیست. در روش دوم کارفرما به ساعت انجام شده کاری نداشته و صرفا هدف مشخص شده را مد نظر قرار داده و رسیدن به نتیجه مد نظر است.

تخصص ها

میز مشاوره شامل تخصص های مختلفی است که می توان به متخصص امنیت اطلاعات و ارتباطات زیرساخت، ارزیابی‌های امنیتی و آزمون نفوذ، استاندارد‌ها و متدولوژی‌های امنیتی، امنیت برنامه‌های کاربردی تحت وب، رومیزی و موبایل، تهدیدات پیشرفته سایبری و برگزاری و طراحی دوره‌های آموزشی امنیت اطلاعات و ارتباطات اشاره نمود.

میز مشاوره، حلقه گمشده خدمات مشاوره در داخل کشور است؛ یک مشاور با پشتوانه ی یک تیم!

شناسایی و رسیدگی به تهدیدات

در زمان وقوع تهدیدات سایبری، دو فعالیت بایستی صورت بگیرد. اول شناسایی تهدید و تعیین وضعیت فعلی و دوم رسیدگی به رخداد و مدیریت بحران. شرکت گراف با تکیه بر توان متخصصان خود اقدام به ارائه خدماتی برای شناسایی تهدیدات قبل از وقوع و رسیدگی به رخدادها پس از وقوع جهت جلوگیری از گسترش میزان آلودگی و سرقت اطلاعات نموده است. این خدمات برای مشتریان محصول Graph ATD به صورت ویژه بوده و تیم رسیدگی به رخداد در کمتر از ۱ ساعت در شهر تهران در محل مشتری حضور پیدا خواهد کرد. برای سایر مشتریانی که از محصول Graph ATD استفاده نمی کنند این زمان بین ۲ تا ۴ ساعت از زمان اعلام خواهد بود.

گزارشات

تیم رسیدگی به تهدیدات علاوه بر گزارش های روزانه و هفتگی، در صورت شناسایی موارد مهم بدون معطلی تیم های فنی کارفرما را مطلع خواهد کرد. گزارشات در دو بخش گزارشات شناسایی تهدید واقع شده و روش جلوگیری از آن بوده و علاوه بر گزارش فنی، گزارش مدیریتی نیز ارائه می شود

نشت اطلاعات

از مهمترین اتفاقات هر تهدید، سرقت و نشت اطلاعات است. اولویت اول تیم رسیدگی به رخداد شناسایی میزان تهدید اتفاق افتاده و اطلاعات به سرقت رفته است تا در مرحله اول از نشت و سرقت بیشتر اطلاعات جلوگیری شود و در مرحله دوم مبادی ورودی تهدید از بین رفته و سیستم در وضعیت پایدار قرار گیرد.

تیم

اعضاء تیم رسیدگی به رخداد دارای تخصص های مختلف در زمینه کشف و شواهد قرائن قانونی از قبیل مهندسی معکوس، بررسی لاگ، مجازی سازی، تحلیل ارتباطات زیرساخت شبکه، شناسایی بدافزار و ... هستند. این تخصص ها و تجربه بالای افراد تیم، به عنوان بازوی اجرایی در مقابله با منبع تهدید در کنار شما خواهد بود

خدمات گراف