ارزیابی امنیتی در ابتدا با تعیین محدوده مجاز با پویش توسط ابزارهای حرفه ای موجود شروع می شود. در این فرآیند به روز بودن پایگاه داده ابزارهای مورد استفاده بسیار مهم است. پس از دریافت گزارش آسیب پذیری ها که در سطوح مختلف دسته بندی می شوند، مرحله تحلیل آغاز می شود که نیاز به یک متخصص و تحلیلگر شبکه و امنیت است تا شدت تهدیدات را براساس کسب و کار شما تعیین کند و راهکار متناسب با آن را ارائه نماید. این فرآیند بهتر است به صورت دوره ای اجرا شود تا تغییرات و آسیب پذیری ها کشف شوند و تهدیدات در شبکه کاهش یابد.

به عنوان یک نکته دیگر می توان ارزیابی امنیتی را مقدمه ای و فاز صفر برای آزمون نفوذ دانست.

آزمون نفوذ یک فرآِیند برنامه ریزی شده و سیستمی و هماهنگ شده با مسئولین شرکت/سازمان است، برای کشف آسیب پذیری ها جهت نفوذ به سیستم عامل سرور، شبکه و یا برنامه های کاربردی. معیارهای امنیتی از لحاظ ضعف طراحی، مشکلات فنی، عدم کارکرد بخشهای مختلف و آسیب‌پذیری‌ها مورد آنالیز قرار می‌گیرند. بسته به نوع سرویس و هماهنگی صورت گرفته بهره کشی از سیستم و سرویس صورت می گیرد.

دانش و آگاهی های امنیتی و آشنایی کامل با ساختارهای دفاعی (Defensive) و تسلط بر روشهای نفوذ و عبور از مکانیزمهای دفاعی(Offensive and Defense Evasion)  توسط متخصصین در آزمون تست نفوذ امر اجتناب ناپذیر است.

آزمون نفوذ به روش‌های متفاوتی قابل انجام است. بیشترین تفاوت میان این روش‌ها، در میزان اطلاعات مرتبط با جزییات پیاده‌سازی سیستم در حال تست است که در اختیار تیم آزمون نفوذ قرار داده می‌شود. با توجه به این موضوع آزمون نفوذ را می‌توان به سه دسته Black-Box ، White – Box و Gray-Box تقسیم نمود.

آزمون Black-Box با فرض عدم دانش قبلی از زیر ساختهایی است که قرار است مورد آزمون قرار گیرند. متخصصان باید پیش از آنالیز و بررسی، ابتدا  قلمرو (Scope) سیستم‌ها را بطور دقیق مشخص کنند. آزمون Black-Box در واقع شبیه‌سازی کردن حمله‌ای است که توسط نفوذگری انجام می‌شود که در ابتدا با سیستم آشنایی ندارد.

از سوی دیگر در آزمون White-Box اطلاعات ضروری مانند معماری شبکه، کدهای منبع، اطلاعات آدرس IP و شاید حتی دسترسی به بعضی از کلمات عبور،در اختیار تیم ارزیابی امنیتی قرار می‌گیرد. آزمون  White-Box حمله‌ای را شبیه سازی می‌کند که ممکن است در اثر افشای اطلاعات محرمانه از شبکه داخلی یا حضور نفوذگر در داخل سازمان بوجود آید. آزمون White-Box دارای گستردگی وسیعی می‌باشد و محدوده آن شامل بررسی شبکه محلی تا جستجوی کامل منبع نرم افزارهای کاربردی به منظور کشف آسیب‌پذیری‌هایی که تا کنون از دید برنامه نویسان مخفی مانده است، می‌باشد.

روش های متنوع دیگری نیز وجود دارد که در واقع مابین دو روش ذکر شده در بالا قرار می‌گیرند که معمولا از آنها به تست های Gray-Box تعبیر می‌شود.

آزمون نفوذ خارجی به انواع آزمونهایی اطلاق می‌شود که در خارج از محدوده سازمانی که قرار است مورد آزمون نفوذ قرار بگیرد، انجام می‌شود و آزمونهای داخلی در حوزه مکانی آن سازمان و در میان افرادی که آن سازمان فعالیت می‌کنند انجام می‌شود.

نوع اول در واقع سناریویی را بررسی می‌کند که مهاجم با دسترسی داشتن به منابع مورد نیاز خود، از جمله آدرس های IP که از سازمان مورد نظر در اختیار دارد و یا با در اختیار داشتن کد منبع نرم افزارهایی که در سازمان استفاده می‌شوند و در اینترنت موجود می باشند اقدام به پویش و کشف آسیب‌پذیری نماید.

در نوع دوم سناریویی بررسی می‌شود که مهاجم به هر طریق ممکن موفق به ورود به سازمان مورد نظر شده و با جمع آوری داده های مورد نظر اقدام به حمله می‌کند. با ورود به محدوده مکانی یک سازمان مهاجم می تواند سناریوهای مختلفی را پیاده سازی نماید. برای نمونه با استفاده از شبکه بی‌سیم داخلی و بررسی داده‌های به اشتراک گذاشته شده که می تواند اطلاعات کارمندان باشد، حدس زدن کلمات عبور اصلی برای مهاجم ساده‌تر خواهد شد.

شرکت راهکارهای امن ویرا به صورت تخصصی گستره ای از خدمات امنیت را ارائه می دهد، برای اطلاعات بیشتر به صفحه خدمات مراجعه فرمائید.