+6531591803
+91 9962590571 / +91 8220666148

VAPT

For Enquiry

[contact-form-7 id=”4259″ title=”Product Certification”]

تقييم الثغرات واختبار الاختراق

شهادة VAPT هي فن اكتشاف الثغرات والحفر بعمق للبحث عن النسبة التي يمكن اختراق الهدف ، فقط في حالة وجود هدف شرعي هجوم. سيتضمن اختبار الاختراق استغلال الشبكة ، والخوادم ، وأجهزة الكمبيوتر ، والجدران النارية ، وما إلى ذلك ، للكشف عن نقاط الضعف وإبراز المخاطر العملية التي تنطوي عليها هذه الثغرات الأمنية المحددة.

مراحل تقييم الضعف واختبار الاختراق

يمكن تقسيم شهادة اختبار الاختراق إلى عدة مراحل ؛ سيختلف هذا اعتمادًا على المنظمة ونوع الاختبار الذي يتم إجراؤه – داخليًا أو خارجيًا. دعونا نناقش كل مرحلة:

  • مرحلة الاتفاقية.
  • التخطيط والاستطلاع.
  • الوصول.
  • الحفاظ على الوصول. < /li>
  • جمع الأدلة وإنشاء التقارير.

لماذا تعتبر شهادة اختبار الاختراق مهمة؟

يمكنهم تقديم أفراد أمن حقيقيين الخبرة في التعامل مع التطفل.

يجب إجراء شهادة اختبار الاختراق دون إبلاغ العمال وستسمح للإدارة بالتحقق مما إذا كانت سياساتها الأمنية فعالة أم لا.

اختبار الاختراق يمكن تخيل الشهادة مثل تدريب على الحرائق. سوف يكشف عن جوانب السياسة الأمنية التي تفتقر. على سبيل المثال ، توفر العديد من سياسات الأمان قدرًا كبيرًا من التركيز على منع واكتشاف هجوم على أنظمة الإدارة ولكنها تهمل عملية طرد المهاجم.

قد تكتشف أثناء اختبار الاختراق شهادة أثناء اكتشاف مؤسستك للهجمات ، أن أفراد الأمن لم يتمكنوا بشكل فعال من إبعاد المهاجم من النظام بطريقة فعالة قبل أن يتسببوا في الضرر.

إنهم يقدمون تعليقات حول الطرق الأكثر تعرضًا للخطر في شركتك أو تطبيقك. يفكر مختبرو الاختراق خارج الصندوق ، وسيحاولون الدخول إلى نظامك بأي وسيلة ممكنة ، كما يفعل مهاجم العالم الحقيقي ، وقد يكشف هذا عن نقاط ضعف لا تُحصى لفريق الأمن أو التطوير الذي لم يفكر فيه قط. تمنحك الشهادة ملاحظات حول إعطاء الأولوية لأي استثمار أمني مستقبلي.

يمكن استخدام تقارير شهادة اختبار الاختراق للمساعدة في التدريب لتقليل الأخطاء. تطبيق أو جزء من تطبيق سيساعدون في تطويره ، وسيكونون أكثر حماسًا بكثير لتعليمهم الأمني ​​وتجنب ارتكاب أخطاء مماثلة في المستقبل.

أنواع اختبار الاختراق بناءً على معرفةالهدف:

الصندوق الأسود

عندما لا يعرف المهاجم الهدف ، يشار إليه على أنه اختبار اختراق الصندوق الأسود. يتطلب هذا النوع الكثير من الوقت ويستخدم أداة اختبار القلم أدوات آلية لاكتشاف نقاط الضعف ونقاط الضعف.

الصندوق الأبيض

عندما يتم اختبار الاختراق نظرًا للمعرفة الكاملة بالهدف ، يُطلق عليه اختبار اختراق الصندوق الأبيض. يمتلك المهاجم معرفة كاملة بعناوين IP وعناصر التحكم الموجودة ونماذج التعليمات البرمجية وتفاصيل نظام التشغيل وما إلى ذلك ، وهو يتطلب وقتًا أقل مقارنةً باختبار اختراق الصندوق الأسود.

صندوق رمادي

عندما يكون لدى المختبر نصف المعلومات حول الهدف ، يشار إليه باسم اختبار اختراق الصندوق الرمادي. في هذه الحالة ، سيكون لدى المهاجم بعض المعرفة بمعلومات الهدف مثل عناوين URL وعناوين IP وما إلى ذلك ، ولكن لن يكون لديه معرفة كاملة أو وصول كامل.

أنواع اختبار الاختراق بناءً على الموقع of Tester:

  • إذا تم إجراء اختبار الاختراق من خارج الشبكة ، فيُشار إليه باختبار الاختراق الخارجي
  • المهاجم موجود داخل الشبكة ، يُشار إلى محاكاة هذا السيناريو باسم اختبار الاختراق الداخلي
  • عادةً ما يتم إجراء الاختبار المستهدف بواسطة فريق تكنولوجيا المعلومات في المؤسسة وفريق اختبار الاختراق اللذين يعملان معًا
  • في اختبار الاختراق الأعمى ، لا يتم تزويد مُختبِر الاختراق بأي معلومات مسبقة باستثناء اسم المؤسسة
  • في اختبار مزدوج التعمية ، كحد أقصى ، قد يكون شخص واحد أو شخصان فقط داخل المؤسسة على دراية بإجراء الاختبار

أنواع اختبار الاختراق حسب مكان إجرائه:

اختبار اختراق الشبكة

يهدف نشاط اختبار اختراق الشبكة إلى اكتشاف نقاط الضعف والضعف المتعلقة بالبنية التحتية للشبكة في المؤسسة. يتضمن تكوين جدار الحماية & أمبير ؛ تجاوز الاختبار واختبار التحليل الدقيق وهجمات DNS وما إلى ذلك. تتضمن حزم البرامج الأكثر شيوعًا التي تم فحصها أثناء هذا الاختبار ما يلي:

  • Secure Shell (SSH)
  • SQL Server
  • MySQL
  • بروتوكول نقل البريد البسيط (SMTP)
  • بروتوكول نقل الملفات

اختبار اختراق التطبيق

في اختبار اختراق التطبيقات ، يتحقق اختبار الاختراق ، إذا تم اكتشاف أي ثغرات أمنية أو نقاط ضعف في التطبيقات المستندة إلى الويب. يتم فحص مكونات التطبيق الأساسية مثل ActiveX و Silverlight و Java Applets و APIs. لذلك ، يتطلب هذا النوع من الاختبار وقتًا طويلاً.

اختبار الاختراق اللاسلكي

في اختبار الاختراق اللاسلكي ، فإن جميع الأجهزة اللاسلكية المستخدمة في شركة يتم اختبارها. يتضمن عناصر مثل الأجهزة اللوحية وأجهزة الكمبيوتر المحمولة والهواتف الذكية وما إلى ذلك. يكتشف هذا الاختبار نقاط الضعف فيما يتعلق بنقاط الوصول اللاسلكية وبيانات اعتماد المسؤول والبروتوكولات اللاسلكية.

الهندسة الاجتماعية

يتضمن اختبار الهندسة الاجتماعية محاولة الحصول على معلومات سرية أو حساسة عن طريق خداع موظف في المؤسسة عمدًا. لديك مجموعتان فرعيتان هنا.

  • الاختبار عن بُعد – يتضمن خداع الموظف للكشف عن معلومات حساسة عبر وسيلة إلكترونية
  • الاختبار البدني – يتضمن استخدام وسائل مادية لجمع معلومات حساسة ، مثل تهديد أو ابتزاز موظف

اختبار الاختراق من جانب العميل

الغرض من هذا النوع من الاختبار هو تحديد مشكلات الأمان من حيث البرامج التي يتم تشغيلها على محطات عمل العميل. هدفه الأساسي هو البحث عن الثغرات الأمنية في برامج العميل واستغلالها. على سبيل المثال ، متصفحات الويب (مثل Internet Explorer و Google Chrome و Mozilla Firefox و Safari) وحزم برامج إنشاء المحتوى (مثل Adobe Framemaker و Adobe RoboHelp) ومشغلات الوسائط وما إلى ذلك.

لمزيد من المعلومات حول هيئة إصدار شهادات اختبار الاختراق والدور الذي يمكن أن نلعبه في جهودك للحصول على الشهادة لها ، لا تتردد في الاتصال بنا. لبدء عملية الاعتماد ، يمكنك أيضًا طلب عرض أسعار.

كيفية التقدم

  • إنهاء المنتج الذي تريد الحصول على شهادة مثل منتجات مختلفة أو نفس المنتج مع مجموعة ليتم اعتمادها
  • اتصل بنا مع نموذج الطلب المكتمل لمناقشة تفاصيل الشهادة.
  • تقديم أول وثائق من قبل الشركة المصنعة /التاجر (استنادًا إلى معيار الشهادة ، بما في ذلك شهادات الاختبار)
  • تأكد من أن الوثائق تفي بمتطلبات الامتثال.
  • قم بمراجعة المنتج للتأكد من أن المنتج يلبي المتطلبات القياسية.
  • التقييم النهائي للوثيقة والتوصية.
  • منح شهادة الامتثال.

لمعرفة المزيد

انقر هنا لمعرفة المزيد حول تفاصيل المنتج إجراءات الاعتماد

يرجى الاتصال بنا لإجراء مناقشة مجانية حول شهادة لمؤسستك! اطلب عرض أسعار الآن!