آشنایی با تست نفوذ پشتیبانی VOIP
تستهای نفوذ شامل روشهای متفاوتی می باشد که عبارت است از:
• استفاده از تکنیکهای مهندسی اجتماعی برای دستیابی به سیستمها و دیتابیسهای مربوط به آنها
• فرستادن ایمیلهای فیشینگ برای کسب دسترسی به حساب های کاربری مهم و حساس
• استفاده از گذرواژههای رمزنگاری نشده که در شبکه به اشتراک گذاشته شدهاند به منظور دسترسی به دیتابیسهای حساس
• این تلاشها میتوانند بسیار عمیقتر از یک بررسی آسیبپذیری باشند و ممکن است باعث رد سرویسدهی یا افزایش کارکرد سیستم شوند، که ممکن است بهرهوری را کاهش دهد و دستگاهها را از کار بیاندازد.
شما می توانی قبل از انجام تست نفوذ به کارکنان خود اطلاع دهید اما بهترین روش برای اطلاع از عملکرد تیم امنیتی شما این است که بدوت اطلاع به آنها از این تست استفاده کنید. بنابراین باید سرگروه تیم آبی،-CISO- یا مدیریت سطح بالای تمرین را مطلع سازید. این کار باعث می شود اطمینان حاصل کنند که سناریوی پاسخ هنوز درحال آزمون می باشد اما زمانی که شرایط سختتر شوند، کنترلی دقیقتر صورت خواهد گرفت.بنابراین شما باید هدف خاصی برای انجام تست نفوذ داشته باشید و این هدف را به تیم تست نفوذ اطلاع دهید.
مثلا در صورتیکه بخواهید تاثیر یک برنامه امنیتی جدید برای کسب و کارتان را تست کنید میتوانیداز این تست استفاده کنید. با استفاده از این تست شما می توانید تعیین کنید که اهداف خاصی از برنامه به دست آمده است یا خیر؛ مانند حفظ 99.9 درصد قابلیت استفاده درحین یک حمله.
هدف اولیه تست نفوذ چیست؟
امروزه از تست نفوذ به عنوان رویه ای امنیتی در سازمانها در سطحی گسترده استفاده می شود همچنین صنایعی که دارای اطلاعات خصوصی و حساس می باشند و به ذخیره این اطلاعات می پردازنید از این تست استفاده می کنند .
اما هدف اولیه استفاده از این تست آشکارسازی آسیبپذیریها و یا استفاده از نقطه ضعفها می باشد و هدف اصلی استفاده از این تست به یک هدف با یک استراتژی کلی مربوطه به کسب و کار گره خورده است. به عنوان مثال، پیمانکاران وزارت دفاع باید فرایندهای مناسبی برای حفاظت از اطلاعات غیر محرمانه کنترل شده، به عنوان قسمتی از گواهی CMMC داشته باشند.
همچنین این تست جزو یکی از چندین کنترل امنیتی لازم برای گذراندن نیازهای ممیزی بوده و از طرفی دیگر، اهداف امنیتی یک شرکت نرمافزاری ممکن است به طور گستردهای متفاوت باشد. برای مثال تست نفوذ برنامهها به شناسایی نقصها و نقاط ضعف در کد که مستعد یک حمله حساس می باشند خواهد پرداخت. سپس توسعه دهندگان برای ایجاد اصلاحاتی برای به روزرسانی پایگاه کد تلاش کرده که در اخر، اهداف تجاری انواع تست نفوذ انجام شده را تعیین میکند .
گزارش بر مبنای یافتهها
اما بعد از این ازمایشات مربوط به تست نفوذ انجام پذیرفت گزارشی تهیه و به رهبران اجرایی و صاحیان کسب و کار داده می شود که این ارزش واقعی از هر گونه مشارکت تست نفوذ بوده و برای برای کاهش ریسک و خطرات راهنمایی هایی می کند.
لازم به ذکر است که این زارش ها متناسب با نیازهای امنیت سایبری یک شرکت بر اساس نحوه راهاندازی شبکه آنها می باشد.چگونه شبکه آنها راهاندازی شده است. اهداف کسب و کار آنها در اجرای یک تست نفوذ چیست؟ چه چیزی مورد تست قرار گرفته (نرم افزار، سرورها، اندپوینتها، کنترلهای فیزیکی و …)، ارزش داراییهای محسوس و نامحسوس محافظت شده و بسیاری موارد دیگر را برطرف کند.
ماتریس ریسک- گزارش تست نفوذ
هنگام مشورت با فروشندگان، باید سوالات زیر از آنها پرسیده شود:
آنها چگونه میخواهند یافتههای خود را ارائه دهند. آخرین چیزی که میخواهید پرداخت 30000 دلار برای یک سند PDF بدون هیچ توضیحی به یک شرکت است.