fam-section-images

خدمات PenTest گراف

خدمات آزمون نفوذ یا PenTest، روشی است برای ارزیابی امنیتی سیستم‌ها و شبکه‌های کامپیوتری به وسیله شبیه‌سازی حملات به روش‌های مختلف. با انجام آزمون نفوذ، گزارشی مبتنی بر شناسایی و شرح مخاطرات و آسیب‌های امنیتی و نیز راهکارهای برطرف‌سازی آن‌ها، به مشتریان ارائه می‌شود.

ساختار آزمون نفوذ (PenTest) گراف

گزارشات
گزارشات

گزارش مدیریتی گزارش فنی گزارش آماری

انواع آزمون
انواع آزمون

آزمون نفوذ جعبه سفید (بالاترین دقت و کیفیت) آزمون نفوذ جعبه خاکستری (دقت متوسط) آزمون نفوذ جعبه سیاه (انجام تست‌های اولیه)

استانداردها
استانداردها

OWASP Top 10 OWASP Testing Guide 4 OSSTMM

محدوده عملکرد خدمات PenTest گراف

هدف خدمات تست نفوذ، ارزیابی امنیتی برای تشخیص نقاط ضعف و آسیب‌پذیری سیستم و تلاش برای کاهش و یا مرتفع نمودن مخاطرات احتمالی است. در فرآیندهای ارزیابی امنیتی در حد امكان می‌بایست گستره هر چه بیشتری از سرویس‌ها و سامانه‌های دخیل و یا مرتبط با امنیت سیستم مورد ارزیابی قرار گیرند. برای نیل به این مقصود و با توجه به نیازمندی‌های کارفرما دامنه فعالیت و محدوده عملکرد در ارزیابی امنیتی در شرایط عملکرد واقعی قابل تعریف است.

mdr-employee-image

مراحل انجام پروژه تست نفوذ در گراف

۱
دریافت اطلاعات مورد نیاز توسط گروه آزمون از کارفرما

با توجه به انجام آزمون امنیت به صورت از راه دور، اطلاعات دریافتی در این بخش شامل اطلاعات محدودی چون نام و آدرس اینترنتی سامانه‌های مورد آزمون، محدودیت‌های احتمالی پیش رو همچون ساعات انجام آزمون‌های امنیتی و غیره است.

۲
جمع‌آوری اطلاعات، شناسایی و پویش

این مرحله شامل جمع‌آوری هر چه بیشتر اطلاعات در مورد اهداف و خصوصیات کاربردی آن‌ها است که می‌تواند مورد استفاده تیم ارزیابی جهت پیشبرد فعالیت‌ها و نیل به اهداف اصلی در مراحل آتی قرار گیرد.

۳
بررسی امنیتی و کشف آسیب‌پذیری

پس از اتمام گام‌های اول و دوم، در گام سوم، امنیت سیستم‌ها، سامانه‌ها و یا روال‌های موجود به منظور کشف نقاط ضعف احتمالی و یا آسیب‌پذیری‌های امنیتی مورد آزمون قرار گرفته می‌شود

۴
کسب و گسترش دسترسی

مجموعه فعالیت‌های قابل انجام پس از کشف نقاط ضعف، اهمیت ویژه‌ای در نمایش میزان واقعی خطرات موجود و تهدیدهای ناشی از آسیب‌پذیری‌های کشف شده دارد. اطلاعات حاصل از این بخش می‌تواند به ویژه به مدیران اجرایی و مدیران ارشد سازمان، تصویری ملموس از وضعیت امنیتی و یا خطرات احتمالی موجود در حوزه کسب و کار را ارائه دهد.

۵
پاکسازی شواهد و حفظ دسترسی

در صورت امکان و بنابه درخواست کارفرما، اطلاعات مرتبط با حمله و نفوذ که برای پیگیری و شناسایی محل ورود مهاجمین و نقاط ضعف است، حذف می‌شوند. این اطلاعات شامل فایل‌ها، لاگ‌ها، بستن پردازه‌ها، بستن ارتباطات باز، حذف لاگ‌های مرتبط با سرویس‌ها، حذف لاگ‌های فایل سیستم و ... است.

۶
ارائه گزارش فنی

پس از اتمام کلیه فرآیندهای ارزیابی امنیتی، گزارشات فنی شامل شرح فرایندها با جزئیاتی مانند شناسایی اهداف، نمایش گرافیکی تعداد و انواع آسیب‌پذیری‌ها و راهکارهای افزایش ضریب امنیت کل سامانه به تیم کارفرما تحویل می‌شود.

پارامتر های مطرح در ارزیابی و تست نفوذ

پارامترهای مطرح در ارزیابی را می‌توان با توجه به نوع نرم‌افزار تعمیم داده و تقسیم‌بندی کرد. اما به طور کلی می‌توان موارد زیر را در ارزیابی مدنظر داشت:

  • زبان(های) برنامه‌نویسی استفاده شده برای ایجاد برنامه
  • کامپوننت‌های استفاده شده توسط برنامه
  • تاریخچه امنیتی کامپوننت‌های استفاده شده در نرم‌افزار
  • الگوریتم های رمزنگاری استفاده شده در نرم‌افزار
  • تعداد خطوط کدهای نرم‌افزار
  • سطوح دسترسی نرم‌افزار
  • نوع اعتبارسنجی ورودی‌ها توسط نرم‌افزار
  • نوع اعتبارسنجی کاربران توسط نرم‌افزار
  • نوع مدیریت نشست‌ها توسط نرم‌افزار
mdr-employee-image