تست نفوذ (Penetration Testing)

با توجه به اهمیت حیاتی زیرساختهای شبکه و آی تی سازمانها و شرکت‌ های دولتی و خصوصی مختلف برای پیشرفت و پیشبرد اهداف تعیین شده، تامین امنیت و پایداری این شبکه ها و سامانه ها برای جلوگیری از هرگونه خسارت احتمالی از الزاماتی است که نیازمند توجه ویژه سیاستگذاران و تصمیم گیران این مجموعه ها خواهد بود.

تست نفوذ یا Penetration Testing یکی از متداول ترین و کارا ترین روشهای سنجش امنیت شبکه ها و سامانه های مختلف به منظور کشف آسیب پذیری ها در لایه ها و بخش های مختلف منطبق بر جزئیات و محدوده (Scope) تعیین شده در قرارداد تدوین شده و ارائه دقیق آنها به مشتریان است.

متخصصین نفوذ شرکت ایمن داده تحلیلگران هوشمند آروند با برخورداری از دانش و آگاهی های امنیتی و تسلط بر روشهای نفوذ و عبور از مکانیزم های دفاعی (Offensive and Defense Evasion) و آشنایی کامل با ساختارهای دفاعی (Defensive) در آزمونهای تست نفوذ شبکه ها و سامانه های مختلف را با شبیه سازی جدیدترین روش های نفوذی که توسط هکرها و نفوذ گران غیرقانونی استفاده میشود تحت آزمایش های امنیتی مختلف قرار داده و رخنه ها و آسیب پذیری های امنیتی کشف شده را با ارائه راهکارهای جلوگیری از نفوذ و رفع این آسیب پذیری ها (Mitigation and Prevention Methods) به مشتریان محترم به صورت مکتوب و مدون ارائه مینمایند.

به صورت کلی خدمات تست نفوذ ارائه شده با توجه به قرارداد منعقد شده و درخواست مشتری به سه روش جعبه سفید (White Box)، جعبه خاکستری (Grey Box) و جعبه سیاه (Black Box) ارائه میشوند.

در روشهای ارائه شده، روش جعبه سفید معمولا نفوذ از داخل توسط یکی از عوامل سازمان که به اطلاعات حیاتی همچون سخت افزارها و نرم افزارهای بکار رفته، سورس کدها، زیرساختهای شبکه سازمان، آدرس های آی پی و دیگر اطلاعات دسترسی دارد را شبیه سازی میکند.

در روش جعبه خاکستری در مقایسه با روش جعبه سفید بخشی از اطلاعات در اختیار متخصص نفوذ قرار میگیرد که معمولا نفوذ از خارج سازمان توسط هکری که به بخشی از اطلاعات حیاتی دسترسی پیدا کرده شبیه سازی میشود.

در روش جعبه سیاه که معمولا نفوذ از خارج سازمان را شبیه سازی میکند، بر خلاف روش جعبه سفید هیچ گونه اطلاعاتی در اختیار متخصص نفوذ قرار نمیگیرد و متخصص نفوذ باید تمام اطلاعات مورد نیاز برای انجام آزمونهای امنیتی را با استفاده از روشهای مختلف خود تامین کند. هر کدام از این روشها دارای مزایا خاصی است که متقاضیان محترم با توجه به نیازها و سیاستهای امنیتی سازمان متبوع خود میتوانند به انتخاب آن و انعقاد قرارداد اقدام نمایند.

متخصصین شرکت ایمن داده تحلیلگران هوشمند آروند با توجه روشهای ذکر شده و نیازهای مشتریان خود آمادگی انجام خدمات تست نفوذ در بخشهای مختلف ذیل را دارند:

با توجه به اهمیت بنیادی و ساختاری شبکه ها در برقراری ارتباطات درون و برون سازمانی و  نگهداری و انتقال اطلاعات حیاتی سازمانها و شرکت‌ های دولتی و خصوصی مختلف، عدم توجه به امنیت این شبکه های ارتباطی میتواند خسارات جبران ناپذیری به بار آورد.

خدمات تست نفوذ شبکه ارائه شده با انجام آزمونهایی از قبیل عبور از دیواره آتش (Firewalls Bypass)، عبور از سیستم های نرم افزاری و سخت افزاری کشف و جلوگیری از نفوذ (IDS/IPS Bypass)، تست امنیت و نفوذ به روتر (Router Testing)، شناسایی دی ان اس (DNS Foot printing)، شناسایی پورت ها و سرویسهای فعال برروی آنها (Port Scanning and Installed Services)، آسیب پذیری ها در ساختار و تنظیمات شبکه (Network Configuration Vulnerabilities) و ده ها آزمون دیگر در شبکه های با سیم (Wired Networks) و شبکه های بی سیم (Wireless Networks) و ارائه راهکارهای مناسب فنی برای رفع آسیب پذیری های کشف شده توسط متخصصین شرکت ایمن داده تحلیلگران هوشمند آروند به مشتریان محترم ارائه میشوند.

با توجه به رشد روز افزون وبگاه ها و سامانه های اینترنتی و اهمیت فوق العاده این سامانه ها برای شرکت ها و سازمانهای مختلف برای معرفی و ارائه خدمات و سرویس ها به مشتریان، تامین امنیت و ارزیابی ها و جلوگیری از تهدیدات و مشکلات امنیتی گوناگون و رو به رشد که هر روزه این سامانه ها را تهدید میکند از اهمیت فوق العاده بالایی برخوردار است.

به طور کلی سرویس های تست نفوذ ارائه شده توسط شرکت ایمن داده تحلیلگران هوشمند آروند در این بخش با بهره گیری از سه متد بین المللی شناخته شده نسخه چهارم پروژه منبع باز امنیت سامانه های وب (OWASP Testing Guide  v4) شرکت OWASP، متد OSTMM از شرکت ISECOM و یا متد PTES و با توجه به نوع و ابعاد سامانه های تحت آزمون قرار گرفته ارائه میگردند.

با توجه به نوع تست نفوذ سمت کلاینت یا سمت سرور آزمون هایی همچون تزریق (Injection)، احراز هویت ناقص (Broken Authentication)، تزریق اسکریپت (XSS)، کنترل دسترسی معیوب (Broken Access Control)، عدم تنظیمات صحیح امنیتی (Security Misconfiguration) و غیره بر روی سامانه های تحت آزمون انجام میگردد.

گسترش روز افزون برنامه های موبایل خصوصا برنامه های کاربردی که با اطلاعات مالی یا شخصی ما تعامل دارند و تهدیدات امنیتی رو به رشد که امنیت و یکپارچگی و به تبع آن اطلاعات حیاتی ما را نشانه گرفته اند اهمیت ایمن سازی و تامین امنیت این نرم افزارها را هم برای سازندگان و هم برای کاربران تبیین میکند.

شرکت ایمن داده تحلیلگران هوشمند آروند با بهره گیری از جدیدترین متدهای بین المللی تست نفوذ از جمله پروژه منبع باز موبایل (OWASP Mobile Top 10) و بهره گیری از نرم افزارهای متن باز و اختصاصی در محیطی شبیه سازی شده اقدام به انجام تست نفوذ بر روی ضعف ها و آسیب پذیری های امنیتی از قبیل ذخیره سازی ناامن اطلاعات (Insecure Data Storage)، ارتباطات ناامن (Insecure Communication)، احراز هویت ناامن (Insecure Authentication)، رمز نگاری ناکافی (Insufficient Cryptography)،  مجوز های ناامن (Insecure Authorization) و غیره برروی نرم افزارهای مختلف بهره مند از سیستم عامل های اندروید و آی او اس برای مشتریان محترم خواهد نمود.

تامین امنیت و امن سازی انواع سامانه ها و کنترلر های  صنعتی (Industrial Control System) همچون SCADA، DCS و PLC با توجه به استفاده گسترده در بخش های مختلف اعم از انرژی، درمان و خدمات عمومی از اهمیت فوق العاده بالا و حیاتی برای کشورمان برخوردار است. در کنار مشکلات امنیتی که مستقیما این سامانه ها را تهدید میکند، اتصال این سامانه ها به شبکه های ارتباطی سازمانها گرچه دسترسی و تعامل با این سامانه ها را راحتر میکند ولی به همان نسبت سطح تهدیدات امنیتی را افزایش میدهد.

سیاستهای امنیتی سازمان (Security Policies)، امنیت کنترلر ها و تنظیمات امنیتی (ICS Secure Configuration) ، امنیت شبکه های ارتباطی ، امنیت پروتکل های ارتباطی بکار گرفته شده، بخش بندی و جداسازی فیزیکی و مجازی شبکه (Network Segmentation) از جمله موارد مهمی هستند که برای بخش تست امنیت سامانه های صنعتی توسط متخصصین شرکت ایمن داده تحلیلگران هوشمند آروند مورد تست و ارزیابی قرار میگیرند.

مهندسی اجتماعی (Social Engineering) یا به تعریف برخی از روانشناسان هنر فریب (Art of Deception)  گرچه نسبت به دیگر تست های نفوذ ارائه شده توسط شرکت ایمن داده تحلیلگران هوشمند آروند نیازمند بهره گیری کمتری از مسایل فنی است ولی بدون شک یکی از موثرترین روشهای نفوذ و گردآوری اطلاعات حساس سازمان ها و شرکتهای مختلف با بهره گیری از تکنیک ها و ترفند های روانشناختی است.

در تست نفوذ با بهره گیری از روشهای مهندسی اجتماعی متخصص نفوذ تلاش خواهد کرد با استفاده از ترفند های مختلف و متقاعد کردن کارکنان سازمان یا موسسه تحت تست قرار گرفته به اطلاعات حساس از جمله رمزهای عبور، اطلاعات شخصی کارکنان، اطلاعات مدیران و دیگر اطلاعات مهم دسترسی پیدا کند. برخلاف تصور عمومی این روش کارکرد و شانس موفقیت فوق العاده بالایی دارد و خصوصا در سازمانهایی که کارکنان آموزشهای لازم را ندیده باشند احتمال موفقیت این روش از دیگر روشهای تست نفوذ به مراتب بیشتر بوده و یکی از سریعترین روشها برای جمع آوری اطلاعات است. شرکت ایمن داده تحلیلگران هوشمند آروند آمادگی ارائه خدمات مشاوره ای و آموزشی در این بخش به مشتریان محترم را دارا است.

ارزیابی های امنیتی (Vulnerability Assessments)

ارزیابی های امنیتی (Vulnerability Assessments)، که از جهات مختلف شباهت هایی به تست نفوذ دارد، یکی دیگر از روشهای موثر ایمن سازی از طریق سنجش امنیتی بخش های مختلف سیستم ها و سامانه هایی که نیازمند برخورداری از پایداری و امنیت بالایی هستند است. یکی از شاخص ترین تفاوتهای بین تست نفوذ و ارزیابی امنیتی، عدم تلاش برای نفوذ  (Penetration)و بهره گیری از آسیب پذیری های کشف شده (Exploitation) در ارزیابی امنیتی برخلاف تست نفوذ است. در ارزیابی امنیتی معمولا با توجه به قرارداد منعقد شده ساختار آی تی سازمان با ابزارهای تخصصی دستی و اتوماتیک اسکن شده و نتایج حاصله به صورت مکتوب و مدون برای بهینه سازی های امنیتی در اختیار مشتریان محترم قرار میگیرد. به همین دلیل متخصصین امنیت فراوانی بر این باورند که ارزیابی امنیتی پیش نیاز تست نفوذ بوده و باید بعد از استقرار سیستم امنیتی سازمان و بهینه سازی های امنیتی و انجام ارزیابی های امنیتی اقدام به تست نفوذ به عنوان آخرین مرحله سنجش و ارزشیابی امنیت کرد.

از دیگر تفاوتها برخلاف تست نفوذ که با توجه به نوع و حساسیت های سیستم ها معمولا به صورت دوره ای و هر شش ماه یا یک سال یک بار انجام میگردد، ارزیابی امنیتی باید به صورت مداوم و برنامه ریزی شده خصوصا در زمان هایی همچون تغییرات ساختاری در سیستم های نرم افزاری یا سخت افزاری نصب شده، تغییرات در تنظیمات شبکه یا سامانه های وب صورت میگیرد و یا هنگامی که آسیب پذیری های جدید کشف و منتشر میشوند برای اطمینان از عدم تحت تاثیر گرفتن ساختار شبکه و آی تی سازمان انجام گردد. اصولی ترین روش بهره گیری از مزایای ارزیابی امنیتی برای سازمانها و شرکتها ادغام دائمی آن با برنامه آی تی سازمان و انجام مداوم آن با فاصله های زمانی کوتاه است.

همچون سرویس ها تست نفوذ خدمات ارزیابی امنیتی ارائه شده توسط شرکت ایمن داده تحلیلگران هوشمند آروند بخشهای امنیت شبکه، امنیت سامانه ها و وبگاه ها، نرم افزارهای موبایل و سامانه های صنعتی را در بر میگیرد که با بروز ترین متدهای روز دنیا و در کمترین زمان به مشتریان محترم ارائه میگردند.

بهینه سازی امنیتی (Security Optimization)

بهینه سازی های امنیتی بدون شک یکی از ابتدایی ترین اصولی است که سیاستگذاران و تصمیم گیران آی تی سازمانها و شرکت‌ های دولتی و خصوصی در هنگام نصب، پیکربندی و بهره گیری از سامانه ها و تجهیزات مختلف باید به آن توجه ویژه داشته باشند.

در مشاوره هایی که به منظور بهینه سازی امنیتی انجام میگیرد شرکت ایمن داده تحلیلگران هوشمند آروند با بررسی دقیق و تخصصی و با توجه به نوع سیستم های سخت افزاری و نرم افزاری و معماری بکار گرفته شده و تهدیدات و آسیب پذیری ها مرتبط با این سیستم ها پیشنهاداتی را برای افزایش امنیت و بهبود مقاومت در مقابل حملات احتمالی خدمت مشتریان محترم ارائه مینماید.

جرم شناسی (Forensic)

تمایل روز افزون به استفاده از اینترنت و فناوری های پیشرفته سخت افزاری و نرم افزاری و قابل دسترس بودن آنها برای اقشار مختلف جامعه زمینه ارتکاب جرایم را برای مجرمان رایانه ای و سایبری به وجود آورده است. با توجه به ماهیت این جرایم و گستردگی فضای سایبری کشف و مقابله با اینگونه جرایم به چالش نوینی برای سیستم قضایی و انتظامی کشورها تبدیل شده است. از این رو کشورهای مختلف قوانین جرایم رایانه ای و سایبری را برای دفاع از حقوق شهروندان خود و پیشگیری و مقابله با جرایم رایانه ای و سایبری به تصویب رسانده اند.

دسترسی غیرمجاز به داده های رایانه ای یا مخابراتی، شنود غیرمجاز محتوای در حال انتقال در سیستمهای رایانه ای یا مخابراتی، در دسترس قرار دادن داده ‎های سری در حال انتقال در سیستمهای رایانه ای یا مخابراتی، نقض تدابیر امنیتی سیستمهای رایانه ای یا مخابراتی، ربودن داده های متعلق به دیگری بطور غیرمجاز و تحصیل مال از طریق سامانه رایانه ای یا مخابراتی بطور غیرمجاز تنها بخشی از قانون جرایم رایانه ای جمهوری اسلامی ایران است که به منظور مقابله با جرایم رایانه ای و سایبری در سال ۱۳۸۸ تصویب گردید.

با توجه به افزایش این اعمال مجرمانه در فضای مجازی و سایبری و با توجه به گستردگی روز افزون و خسارات مالی و روانی جبران ناپذیری که این جرایم سایبری به قربانیان خود تحمیل میکنند شرکت ایمن داده تحلیلگران هوشمند آروند با بهره گیری از متخصصین و تجهیزات و امکانات فنی خود و آنالیز و بررسی مدارک، مستندات و شواهد قانونی و بهره گیری از تیم حقوقی مسلط به قوانین جرایم رایانه ای و سایبری کشور آمادگی ارائه خدمات به مشتریان محترم را دارد.

مدیریت اطلاعات ISMS

حفاظت از اطلاعات حیاتی و حساس که منجر به جلب و حفظ اعتماد مشتریان میگردد از الزاماتی است که سیاستگذاران و تصمیم گیران در سازمانها و شرکتهای دولتی و خصوصی باید به آن توجه ویژه ای داشته باشند.

 سیستم مدیریت امنیت اطلاعات یا Information Security Management Systems روشی سیستماتیک برای مدیریت و حفاظت از اطلاعات و داده های حساس با استفاده از استانداردهای مختلف برای سازمانها و شرکتهای دولتی و خصوصی است. سیستم مدیریت امنیت اطلاعات نیازهای سازمانهایی با ابعاد مختلف را پوشش میدهد. ایمن سازی و مدیریت و کنترل ریسک سازمانها گستره وسیعی  شامل افراد، سیستم های سخت افزاری و نرم افزاری و پردازش ها در بخشهای مختلف سازمانها را در برمیگیرد. سیستم ISMS  با طراحی ای دقیق توانایی مواجه با تهدیدات جدید و تغییرات لازم با توجه به رشد نیازهای سازمان مربوطه و حفظ محرمانگی (Confidentiality) یکپارچگی (Integrity) و دسترسی  (Availability)  اطلاعات را دارا است.

بدین منظور استانداردهای متفاوتی برای طراحی و  پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات مدیریت ISMS و سیاست های ایمن سازی و دفاعی سازمانها و موسسات طراحی گردیده که شناخته شده ترین آنها استانداردهای خانواده ISO 27001 است.

استانداردهای خانواده  ISO 27001 برای پیاده سازی و اجرایی کردن سیاستهای ایمن سازی با ارائه راهکارها و چهارچوب های مدون تصحیحی (Corrective Actions) و جلوگیری کننده (Preventive Actions) تقویت سیستم های امنیت اطلاعات ISMS سازمانها را ممکن میسازد. استاندارد ISO 27001 بخشهای مختلفی را پوشش میدهد که در ذیل به مهمترین آنها اشاره میکنیم:

  • ایمن سازی نرم افزاری و سخت افزاری زیرساختهای مهم سازمان
  • ارائه راهکارهایی برای امنیت منابع انسانی و دارایی ها
  • ارائه راهکار برای پیشگیری از انواع جرایم سایبری
  • پیشگیری از خراب کاری در اطلاعات حساس و حیاتی سازمان
  • ایمن سازی اطلاعات و پیشگیری از سرقت درون سازمانی
  • ایمن سازی در مقابل از دست دادن اطلاعات
  • پیشگیری از سوء استفاده از اطلاعات حساس و حیاتی
  • پیشگیری از نفوذ در شبکه
  • پیشگیری از درز اطلاعات شخصی کارکنان و مشتریان

شرکت ایمن داده تحلیلگران هوشمند آروند با توجه به نیازهای سازمانها و شرکتهای خصوصی و دولتی به استقرار سیستم مدیریت امنیت اطلاعات ISMS و دریافت گواهینامه های مختلف بین المللی آماده ارائه مشاوره به مشتریان محترم است.

مشاوره و اجرای طرحهای مطالعاتی و تحقیقاتی

شرکت ایمن داده تحلیلگران هوشمند آروند با پشتوانه بیش از یک دهه فعالیت آکادمیک دانشگاهی در زمینه امنیت فناوری اطلاعات و انجام پروژه های متفاوت تحقیقاتی مطالعاتی اعضای خود و با توجه تعهد و مسئولیت اجتماعی خود و به منظور بومی سازی علوم در زمینه امنیت فناوری اطلاعات و ارتباطات امادگی دارد در زمینه های مختلف امنیت در بخشهای مختلف صنعت آی تی و ترندهای جدید تکنولوژی همچون امنیت در اینترنت اشیا، هوش مصنوعی و امنیت سایبری، امنیت فین تک، بلاک چین و یادگیری عمیق با دانشگاه ها و مراکز علمی و تحقیقاتی همکاری نماید.