جزییات بازدید : 7634
تاریخ انتشار : 13 / خرداد / 1398
شرکت تریداتس مفتخر است به عنوان اولین و تنها دارنده ی مجوز عملیاتی افتا با گرایش آزمون و ارزیابی امنیتی در شرق کشور ، با بهره گيري از مزاياي استانداردهاي مطرح در حوزه امنيت و ارزیابی شبكه، چارچوبي فراگير و چابك براي ارزيابي و ایمن سازی انواع نرم افزارها و شبکه ايجاد كرده است.
درشرکت تریداتس تست امنیتی نرمافزار در سه سطح امنیتی مختلف قابل انجام است.
سطح یک (Black Box)
معمولاً برای نرمافزارهایی مناسب است که در آنها اطمینان کمتری نسبت به نظارتهای امنیتی صحیح مورد نیاز است و یا برای تأمین یک آنالیز سریع بر روی نرمافزارهای سازمانی و همچنین برای کمک به ایجاد یک لیست اولویتبندی شده برای نیازمندیهای امنیتی به عنوان بخشی از یک پروژه چند فازه استفاده میشود. نظارتهای سطح ۱ میتواند به صورت خودکار توسط ابزارها و یا به صورت دستی و بدون دسترسی به سورسکد انجام شود
اغلب تهدیدات نسبت به نرمافزارها از طرف مهاجمانی است که از تکنیکهای ساده و آسان برای شناسایی آسیبپذیریهایی که راحت کشف و یا راحت بهرهبرداری میشوند، استفاده میکنند. این برخلاف روش یک مهاجم مصمم است که انرژی زیادی برای حمله به یک نرمافزار مشخص صرف میکند. بنابراین، اگر اطلاعات پردازش شده توسط نرمافزار شما دارای ارزش بالایی است، شما قطعاً نباید به استاندارد سطح ۱ اکتفا کنید.
سطح دو ( Gray Box or Crystal Box)
اطمینان میدهد که مکانیزمهای امنیتی درستی بکار گرفته شده، این مکانیزمها مؤثر بوده و همچنین در داخل نرمافزار به درستی تعبیه شدهاند. سطح ۲ معمولاً برای نرمافزارهایی مناسب است که میتوانند شامل این موارد باشند: نرمافزارهایی که اطلاعات مرتبط با بهداشت و درمان را ارزیابی میکنند، نرمافزار که مرتبط به کسبوکارهای حساس هستند، نرمافزارهایی که عملکرد آنها از حساسیت بالایی برخوردار بوده و یا مربوط به پردازش اموال هستند.
تهدیدات نسبت به نرمافزارهای سطح ۲ معمولاً مربوط به مهاجمان باانگیزه و دارای مهارت بالاست که بر روی یک هدف خاص تمرکز کرده و از ابزارها و روشهای مؤثر در کشف و بهرهبرداری از ضعفهای نرمافزار، استفاده میکنند.
در اين روش كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم ميتوانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مينمايد. در برخی موارد ممکن است توسط افراد مجاز نظیر کارکنان ناراضی و یا افراد غیر مجاز که با استفاده از بد افزار به شبکه ی داخلی دسترسی دارند، آسیب پذیری های نرم افزاری و منطقی مورد سو استفاده قرار می گیرند. هدف از این آزمون یافتن و رفع این آسیب پذیری هاست.
سطح سه (White Box)
معمولاً منحصر به نرمافزارهایی است که نیازمند سطوح قابل توجهی از تاییدات امنیتی هستند، مانند نرمافزارهایی که در زمینه نظامی، سلامت و امنیت، زیرساختهای حیاتی و غیره مورد استفاده قرار میگیرند. سازمانها برای نرمافزارهایی که وظیفه اجرای امور حیاتی را دارند و ایجاد مشکل در آنها میتواند تأثیر بسزایی در عملکرد و یا حتی بقای سازمان داشته باشد، نیازمند استاندارد سطح ۳ هستند.
یک نرمافزار در سطح ۳ نیازمند آنالیز، معماری و همچنین برنامهنویسی دقیقتر نسبت به تمامی سطوح دیگر است. یک نرمافزار امن بهگونهای هدفمند (برای تسهیل کردن مقاومبودن، مقیاسپذیری و مهمتر از همه لایههای امنیتی) ماژول بندی شده و هر ماژول از مسؤولیتهای امنیتی مربوط به خود به صورت دقیق و کامل محافظت میکند. این مسؤولیتها شامل نظارت به منظور حصول از محرمانگی (مثلاً با رمزنگاری)، جامعیت (برای مثال اعتبارسنجی ورودی)، دسترسیپذیری، احراز هویت (از جمله بین سیستمها)، عدم انکار، مجوز دهی و بازرسی (loggong) است.
سطح مورد نیاز جهت دریافت گواهی امنیت نرم افزار
برای دریافت گواهی امنیت نرم افزار لازم است تا حداقل آزمون های سطح دو بر روی نرم افزار مربوطه انجام شود بر همین اساس با انجام آزمون های سطح یک به تنهایی، گواهی امنیت نرم افزار صادر نخواهد شد. بدیهیست که رد صورت اعلام نیاز کارفرما آزمون سطح سه نیز جهت گواهی امینت نرم افزار قابل انجام خواهد بود.
زیر ساخت آزمون
جهت انجام آزمون های مورد نیاز صدور گواهی امنیت نرم افزار، از دو بستر عملیاتی و آزمایشی می توان استفاده کرد. در زیر ساخت آزمایشی یک نسخه از نرم افزار بر روی شبکه آزمایشگاه تست نفوذ شرکت تریداتس و یا کارفرما نصب شده و مورد آزمون و ارزیابی امنیتی قرار می گیرد. مزیت این روش سرعت بالا و قابلت اطمینان از عدم اخلال در عملکرد سامانه ی اصلی می باشد. اما در زیر ساخت عملیاتی، آزمون و ارزیابی امنیتی بر روی سامانه ی نصب شده بر شبکه ی عملیاتی بوده و نیاز به نصب نسخه ی دیگر نمیباشد. از مزایای این روش ارزیابی عملکرد شبکه یعمیاتی در مواحهه با حملات می باشد اما این فرایند ممکن است باعث کندی و در موارد معدودی باعث ایجاد اخلال در عملکرد سامانه شود. البته لازم به ذکر است که کليه ابزارهای و حملاتی که در طول پروژه از آنها استفاده می شوند ابزارهای استاندارد بوده و به هيچ عنوان آسيبی به سيستم ها و وارد نخواهد نکرد و چنانچه احتمالی وجود داشته باشد که حمله و یا ابزاری خللی در عملکرد شبکه و یا سامانه های ایجاد نماید این موضوع از قبل به اطلاع کارفرما رسیده و در صورت اعلام رضایت کارفرما با هماهنگی قبلی انجام خواهد شد.
تمامی گواهی های امنیت نرم افزار صادر شده در شرکت تریداتس از طریق سایت این شرکت قابل استعلام و مشاهده بوده و مورد تایید سازمان فناوری اطلاعات ایران و افتای ریاست جمهوری می باشند.