شرکت های تست نفوذ بالا در ایالات متحده آمریکا

تهدیدات سایبری افزایش یافته در طی چند سال گذشته به طرز چشمگیری افزایش یافته است ، و مجرمان سایبری ابزارهای دسترسی آسان برای نقض سازمان ها به هر اندازه دارند. مشاغل کوچکتر "میوه کم آویز" برای هکرها در نظر گرفته می شوند ، اما همانطور که دیده ایم به اندازه متوسط و شرکت به اندازه آنها مجهز نیستند تا منظره تهدید فعلی را کنترل کنند. یکی از قدرتمندترین راهکارهایی که یک شرکت با هر اندازه می تواند اجرا کند ، البته آزمایش نفوذ است.

در اینجا لیستی از شرکتهای برتر تست نفوذ برای شما وجود دارد تا بتوانید بهترین شرکت آزمایش قلم را برای پروژه خود انتخاب کنید

آزمایش نفوذ می تواند ارزشمند باشد

به گفته NIST-انستیتوی ملی استاندارد و فناوری ، آزمایش نفوذ می تواند بسیار ارزشمند باشد ، اما این کار فشرده است و برای به حداقل رساندن ریسک سیستم های هدفمند نیاز به تخصص زیادی دارد. سیستم ها ممکن است در طول آزمایش نفوذ آسیب دیده یا در غیر این صورت غیرقابل استفاده شوند ، حتی اگر این سازمان از دانستن چگونگی ارائه یک سیستم توسط یک متجاوز سودمند باشد. اگرچه آزمایش کنندگان نفوذ با تجربه می توانند این خطر را کاهش دهند ، اما هرگز نمی توان آن را به طور کامل از بین برد. به همین دلیل انتخاب یک تیم باتجربه برای پروژه شما یک گام مهم است.

انتخاب بهترین شرکت تست نفوذ برای پروژه خود

در این مقاله ، ما بهترین و برتر شرکت های آزمایش نفوذ بر اساس مجموعه ای از کنترل ها را مرور می کنیم و عمدتاً روی ارائه دهندگان خدمات کنترل قلم کنترل شده مبتنی بر ایالات متحده تمرکز می کنیم. هر شرکت آزمایش قلم در این لیست ، آزمایش نفوذ در سطح جهانی را به عنوان خدمات اصلی خود ارائه می دهد. بسیاری از شرکت های تست نفوذ شبکه و شرکت های کاربردی "پنتست" وجود دارد ، اما همه آنها آزمایش قلم کنترل شده دستی را ارائه نمی دهند. در این مقاله گسترش یافته است که ما در ارائه خدمات عمیق شرکت های برتر تست نفوذ که روی روشهای هک دستی واقعی تمرکز می کنند ، شناسایی می کنیم ، اما ما انواع شرکت های اسکن کننده آسیب پذیری یا تیم های خدمات سطح خردسال را ذکر نمی کنیم. ما همچنین لیستی از ارائه دهندگان خدمات مستقر در هند را درج کرده ایم ، اما به خاطر داشته باشید که بررسی عمیق ما در مورد شرکت های برتر تست قلم ، همه در ایالات متحده هستند. اگر شما یک شرکت ایالات متحده هستید که به دنبال یک شریک امنیت سایبری قابل اعتماد هستید که آزمایش نفوذ کنترل شده را فقط در ایالات متحده ارائه می دهد ، از این مقاله به شما کمک می کند تا ارائه دهندگان خدمات برتر قلم ایالات متحده را کشف کنید. این مقاله ماهانه به روز می شود.

آزمایش نفوذ - تعریف

تست نفوذ یا تست قلم روشی برای آزمایش دفاع از داده های یک سازمان از یک محیط هک اخلاقی کنترل شده است. دامنه تست نفوذ تعریف شده است و یک شرکت تست نفوذ تلاش خواهد کرد تا شبکه یک شرکت را هک کند تا نقاط ضعف شبکه سازمان را افشا کند و از آن سوء استفاده کند. راه حل های متنوعی برای بازار، اغلب اوقات مجهز نیستند و تجربه مناسبی برای مدیریت موفقیت آمیز راه حل های امنیت سایبری مناسب و آزمایش های امنیتی پیشگیرانه شبکه ندارند.

این فرآیند معمولاً یک سیستم هدف را شناسایی می کند و اهداف خاصی را مشخص می کند، تیم آزمایش آن سیستم یا سیستم ها را کشف می کند و سپس برای دستیابی به اهداف تست نفوذ تلاش می کند. یک پروژه تست نفوذ ممکن است تست نفوذ جعبه سفید (که اعتبارنامه و اطلاعات شبکه را ارائه می کند، معمولاً برای ارزیابی تهدیدات داخلی استفاده می شود) یک تست قلم سیاه=جعبه (هیچ اطلاعاتی به جز سیستم هدف، یعنی آدرس IP برنامه وب ارائه نمی کند) و یک خاکستری است.-تست نفوذ جعبه که ترکیبی از تست نفوذ جعبه سیاه و جعبه سفید خواهد بود (که در آن برخی اطلاعات با تیم تست نفوذ به اشتراک گذاشته می شود). تست نفوذ یک ارزیابی پیشگیرانه است که به تعیین آسیب پذیر بودن یک سیستم در برابر حمله توسط بازیگران بد (هکرها، مجرمان، تروریست ها و غیره) کمک می کند.

یک تست نفوذ، تأثیر بالقوه آسیب پذیری ها را بر سازمان شناسایی می کند و تلاش های اصلاحی مناسب را برای رفع آسیب پذیری ها برای کاهش نهایی ریسک توصیه می کند. بدون دانش مناسب، بسیاری از اوقات یک تست آسیب پذیری، بسیاری از موارد مثبت کاذب را نشان می دهد که IT را سردرگم و در حالت نگرانی دائمی قرار می دهد. یک تست نفوذ دستی واقعی فقط آسیب پذیری های تایید شده را نشان می دهد که به طور بالقوه برای اکسپلویت ها با هم زنجیر شده اند با اثبات مفهوم برای هر کدام.

مرکز ملی امنیت سایبری بیان می کند که تست نفوذ به عنوان «روشی برای کسب اطمینان از امنیت یک سیستم فناوری اطلاعات از طریق تلاش برای نقض برخی یا همه امنیت آن سیستم، با استفاده از ابزارها و تکنیک های مشابهی که دشمن ممکن است، تعریف می کند».

شرکت های دارای رتبه برتر تست نفوذ

لیست برتر شرکتهای تست نفوذ بر اساس شرکتهایی است که با برنامه ریزی تست نفوذ واقعی (تست قلم) ارائه می دهند و تنوع شرکتهای نرم افزاری آزمایش نفوذ خود را انجام نمی دهند یا اسکن های آسیب پذیری را به عنوان یک آزمایش نفوذ مبدل می کنند. اگر می خواهید تفاوت حاصل از یک اسکن آسیب پذیری را در مقابل یک آزمایش نفوذ درک کنید ، می توانید مقاله ای را در اینجا مشاهده کنید که آن موضوع را پوشش می دهد.

بهترین شرکت های آزمایش نفوذ رتبه بندی شده:

بنگاههای آزمایش نفوذ ایالات متحده توسط یک "Mock Pentest" از 30 ارائه دهنده به علاوه درخواست شده است و بر اساس پاسخ یا عدم پاسخگویی بسیاری از شرکت ها که بیان می کنند تست PEN را به دلیل این واقعیت که خدمات آنها را ارائه می دهند ، رتبه برتر را کسب نکردندآزمایش نفوذ واقعی نیست. این لیست شامل Do-It Yourself یا ارائه خدمات یک اندازه یا خدمات اسکن خودکار نیست. این لیست از بهترین ارائه دهندگان خدمات آزمایش نفوذ با اندازه گیری معیارهای بررسی زیر مشخص شده است.

1. پاسخ به موقع و تجربه کلی مشتری
2. مقایسه اسناد و گزارش های Scoping نفوذ و نفوذ
3. پشتیبانی از اطلاعات موجود
4. اعتبار ، گواهینامه ها ، تجربه آزمایش قلم صنعت- سطح ارشد تیم با تجربه شبکه است
5. بحث و گفتگو با تیم مهندسی
6. قیمت و ارزش
7. آزمایش نفوذ دستی (MCPT) در مقایسه با گزارش آسیب پذیری خودکار (PTAAS)
8. در دسترس بودن مجدد
9. قابلیت های scoping- پروژه های کوچک تا بزرگ از جمله- برنامه ، شبکه های داخلی / خارجی ، آزمایشات IC / SCADA

در اینجا لیست شرکتهای برتر تست نفوذ وجود دارد:

1. امنیت Redbot

بررسی اجمالی:

Redbot Security می تواند محدوده پروژه را برای هر اندازه مشتری و/یا بودجه سفارشی کند. Redbot Security یک شرکت تست نفوذ بوتیک با تیمی از کارشناسان صنعت در سطح Sr است. گزارش آنها اثبات دقیق مفهوم را نشان می دهد و این شرکت در تست نفوذ دستی تخصص دارد. Redbot Security در آزمایش اکسپلویت مبتنی بر انسان برنامه ها، شبکه های فناوری اطلاعات داخلی/خارجی و OT تخصص دارد. از آنجایی که Redbot Security یک گروه کوچک تر و تخصصی تر تست نفوذ است، این شرکت می تواند بر ایجاد روابط با مشتری و ارائه یک تجربه مشتری برتر از طریق مهندسان ارشد پیوسته که بیش از 20 سال در صنعت دارند تمرکز کند. این شرکت با خدمات سطح سازمانی و نرخ خدمات بسیار رقابتی، تقاضای بالایی دارد و برای هر پروژه ای به دنبال آن است. مجموعه مشتریان Redbot Security از شرکت های بازار متوسط گرفته تا حساب های سازمانی را شامل می شود و مجموعه ای از رهبران بازار و نام های تجاری قابل تشخیص را در خود دارد.

2. Rapid7

بررسی اجمالی:

در Rapid7، ما به ساده سازی مجموعه از طریق دید مشترک، تجزیه و تحلیل و اتوماسیون که تیم های شما را حول چالش ها و موفقیت های امنیت سایبری متحد می کند، معتقدیم. چه به دنبال یک پلت فرم امنیتی جامع باشید، چه ارزیابی برای درک بهتر وضعیت امنیتی خود، یا چیزی در این بین، ما از شما حمایت می کنیم.

3. خدمات تست نفوذ Secureworks

بررسی اجمالی:

Secureworks به هر آزمون نفوذ به عنوان منحصر به فرد برای هر سازمان نزدیک می شود. روش شناسی ما توسط برترین آزمایش کنندگان امنیت صنعت انجام می شود، و از تاکتیک ها و اطلاعات اختصاصی ما توسط Secureworks Counter Threat Unit™ استفاده می شود. هم تست نفوذ و هم تست نفوذ پیشرفته برای نشان دادن اینکه چگونه یک مهاجم با به خطر انداختن سیستم های درون محدوده به محیط شما دسترسی غیرمجاز پیدا می کند و فرصت های محوری میزبان های در معرض خطر را برجسته می کند طراحی شده اند. بر اساس یافته ها، Secureworks یافته ها را با همه مخاطبان مرتبط مورد بحث قرار می دهد و یک اقدام سفارشی برای هر دو گروه رهبری و مخاطبان فنی ارائه می کند.

4. خدمات تست نفوذ FireEye

بررسی اجمالی:

محصولات امنیتی سایبری Fireye با تهدیدهای مداوم پیشرفته امروز (APTS) مبارزه می کنند. به عنوان یک قطعه جدایی ناپذیر از یک استراتژی دفاعی تطبیقی ، پیشنهادات امنیتی شبکه ای پیشرفته ما در برابر حملات سایبری محافظت می کند که از ابزارهای سنتی مبتنی بر امضای مانند نرم افزار ضد ویروس ، فایروال های نسل بعدی و ابزارهای ماسهبازی دور می شوند. این شرکت آزمایش نفوذ را از طریق شخص ثالث با پشتیبانی اضافی برای اصلاح ارائه می دهد که باعث می شود آنها به لیست شرکت های تست نفوذ برتر ما بپیوندند.

5. خدمات آزمایش نفوذ Veracode

بررسی اجمالی:

تست نفوذ دستی Veracode (MPT) فن آوری های اسکن خودکار Veracode را با بهترین خدمات تست نفوذ در کلاس برای یافتن منطق کسب و کار و سایر آسیب پذیری های پیچیده در برنامه های وب ، موبایل ، دسک تاپ ، پشتی و IoT تکمیل می کند. با استفاده از یک فرآیند اثبات شده برای اطمینان از رضایت بالای مشتری ، Veracode MPT نتایج مفصلی از جمله شبیه سازی حمله را از طریق بستر امنیتی برنامه Veracode ، که در آن نتایج آزمایش دستی و خودکار در برابر سیاست شرکت شما ارزیابی می شود ، ارائه می دهد. توسعه دهندگان می توانند در مورد یافته ها با مشاوران امنیتی برنامه Veracode مشورت کنند و آسیب پذیری های کشف نشده را برای تأیید اصلاح موفقیت آمیز انجام دهند.

بازیکنان برتر (کلید) در بازار تست نفوذ:

مشاهده گزارش های تحقیقاتی بازار شخص ثالث 2021-2022 در اینجا:

در اینجا همچنین آخرین جدول مقایسه به روز شده از 10 شرکت تست نفوذ برتر با نگاه به خدمات ارائه شده (آخرین به روز شده در 26 اوت 2022)

بهترین رتبه بندی هزینه آزمایش نفوذ توسط شرکت

لیست بهترین ارائه دهندگان خدمات آزمایش نفوذ در سراسر جهان

(مصاحبه نشده است - شرکت های آزمایش نفوذ هند در سراسر جهان)

چه موقع سازمان شما باید آزمایش نفوذ را انجام دهد؟

• هنگامی که زیرساخت های شبکه ، دستگاه ها یا برنامه های کاربردی را دارید ، به دنبال خدمات آزمایش نفوذ باشید
• به روزرسانی ها ، اصلاحات ، تکه ها ، تغییرات فایروال که در زیرساخت ها و برنامه ها ایجاد شده است
• هنگامی که سیاست ، انطباق و مقررات تغییر می کند. وقت آن است که یک آزمایش نفوذ را سفارش دهید
• مکان های جدید باید آزمایش شده از قلم باشد

شکاف ها را در انطباق کشف کنید

استفاده از آزمایش نفوذ به عنوان ابزاری برای شناسایی شکاف در انطباق نسبت به مهندسی امنیت واقعی کمی به حسابرسی نزدیکتر است ، اما آزمایش کنندگان با تجربه با تجربه اغلب یک محیط را نقض می کنند زیرا شخصی همه دستگاه ها را لکه دار نمی کند ، یا احتمالاً به این دلیل که یک دستگاه غیر سازگار قرار داده شده است"به طور موقت" و در نهایت به یک منبع مهم تبدیل شد. در محیط تنظیم شده امروز ، بسیاری از سازمان ها به دنبال راه های بهتری برای ارزیابی مداوم وضعیت انطباق خود هستند. بیشتر مقررات دارای چندین مؤلفه خاص مربوط به حسابرسی و امنیت سیستم هستند.

سازمان های آزمایش قلم ایالات متحده به طور معمول توانایی دامنه طیف گسترده ای از پروژه ها را دارند. هنگام جستجوی بهترین شرکت آزمایش نفوذ برای پروژه خود ، باید اهداف و انتظارات خود را به روشنی تعریف کنید. شرکت های آزمایش نفوذ بزرگتر ممکن است اگر در مقیاس کوچکتر باشد ، پروژه شما را کنار بگذارد ، زیرا مهندسان برتر آنها روی پروژه های بزرگتر و فشرده تر کار می کنند.

انواع مختلف خدمات آزمایش نفوذ

خدمات آزمایش نفوذ

بسیاری از خدمات آزمایش نفوذ که توسط شرکت های ذکر شده انجام می شود شامل تکنیک های متداول هک می شود و ممکن است شامل استفاده از ابزارهای آزمایش خودکار نفوذ به همراه آزمایش نفوذ دستی باشد.

• جمع آوری اطلاعات منبع باز (OSINT) جمع آوری و جمع آوری داده ها
• شمارش خدمات در دسترس عموم
• تکنیک های حمله مبتنی بر ایمیل (غیر فیشینگ).
• سرریز بافر و شرایط زیر کار یا شرایط مسابقه
• سرویس های پیکربندی نادرست
• خدمات ناامن
• حدس زدن رمز عبور و رمزهای عبور پیش فرض
• دستکاری پروتکل
• Man-in-the-Middle (MitM) رهگیری یا پخش مجدد اعتبارنامه ها
• بهره برداری و دور زدن احراز هویت
• آزمایش پیاده سازی رمزنگاری
• مجوزهای ضعیف یا ناامن فایل و اشتراک گذاری فایل
• بهره برداری از روابط اعتماد دامنه
• تنظیمات نادرست امنیت پایگاه داده

لطفاً انتساب Redbot Security را با این گرافیک اضافه کنید.

درباره شرکت Pen-Test مناسب برای پروژه خود تحقیق کنید.

خدمات تست نفوذ یک تست امنیتی کنترل شده است که در آن مهندس حملات دنیای واقعی را تقلید می کند تا روش هایی را برای دور زدن ویژگی های امنیتی یک برنامه، سیستم یا شبکه شناسایی کند. بر اساس شرکت تست نفوذی که استخدام می کنید، تست نفوذ تقریباً همیشه شامل راه اندازی حملات دنیای واقعی به سیستم ها و داده های واقعی است که از ابزارها و تکنیک هایی استفاده می کنند که معمولاً توسط مهاجمان استفاده می شود. با دانستن اینکه سیستم شما مورد حمله قرار خواهد گرفت، پس از آن بسیار مهم است که شما فقط بهترین شرکت امنیت سایبری سطح Sr را استخدام کنید که کاملاً سیستم شما را درک کند. علاوه بر این، بسیار مهم است که تیمی که استخدام می کنید درگیر، قابل دسترس (در داخل ایالات متحده) و دارای یک برنامه ارتباطی قوی باشد.

بیشتر تست های نفوذ شامل جستجوی ترکیبی از آسیب پذیری ها در یک یا چند سیستم است که می تواند برای دستیابی به دسترسی بیشتر از آنچه که از طریق یک آسیب پذیری به دست می آید، استفاده شود. مهندسان سطح پایین یا شرکت های اسکن آسیب پذیری (آنهایی که بسته های 1 اندازه مناسب را ارائه می دهند) معمولاً نمی دانند چگونه ترکیبی از آسیب پذیری های مختلف را برای دستیابی به بهره برداری زنجیره ای کنند. نکته ویژه: این نوع گزارش ها (گزارش های آسیب پذیری مبدل به تست های نفوذ) معمولاً بیش از حد هستند و حاوی بسیاری از موارد مثبت نادرست و اطلاعات نامربوط هستند. تیم IT شما در دریایی از کاغذ بازی و کرک گم خواهد شد.(برای اطلاعات بیشتر در مورد تفاوت بین اسکن آسیب پذیری در مقابل تست نفوذ، لطفاً از اینجا دیدن کنید.)

علاوه بر این، بسیاری از تست های نفوذ کنترل شده دستی تعیین می کنند که آیا سیستم های شما قادر به تحمل الگوهای حمله به سبک دنیای واقعی هستند یا خیر. بدیهی است که با دانستن این موضوع، زمانی که سیستم ها قدیمی هستند و به طور بالقوه زیرساخت های حیاتی را اجرا می کنند، به یک تعامل آزمایشی حساس تر تبدیل می شود. در اینجا درباره ICS/SCADA تست بیشتر بیاموزید.

مهاجمان پیچیده هستند و همیشه به دنبال روش های جدید برای بهره برداری از قربانیان خود هستند. مهندسان امنیت سایبری باید به طور مستمر در مورد روش ها و بهره برداری های جدید به روزرسانی و تحقیق شوند تا بتوانند از محیط تهدید فعلی پیشی بگیرند. برخی از راه حل های مفید (آسان) را که فوراً به امنیت شبکه شما کمک می کند را در اینجا بررسی کنید.

NIST می گوید: «خدمات تست نفوذ می تواند ارزشمند باشد، اما کار فشرده است و برای به حداقل رساندن خطر برای سیستم های هدفمند به تخصص زیادی نیاز دارد. سیستم ها ممکن است در طول دوره آزمایش نفوذ آسیب ببینند یا غیرقابل کار شوند، حتی اگر سازمان از دانستن اینکه چگونه یک سیستم می تواند توسط یک نفوذگر غیرقابل اجرا شود، سود می برد. اگرچه تسترهای باتجربه نفوذ می توانند این خطر را کاهش دهند، اما هرگز نمی توان آن را به طور کامل حذف کرد. تست نفوذ باید تنها پس از بررسی دقیق، اطلاع رسانی و برنامه ریزی انجام شود.

انواع دیگر تست نفوذ اغلب شامل روش های غیر فنی حمله است. برای مثال Redbot Security شرکتی است که نقض شبیه سازی شده کنترل ها و رویه های امنیتی فیزیکی را که ممکن است یک شرکت داشته باشد، ارائه می کند. هدف می تواند اتصال به یک شبکه، سرقت تجهیزات، گرفتن اطلاعات حساس (احتمالاً با نصب دستگاه های keylogging) یا ایجاد اختلال در ارتباطات باشد.

NIST 800 هشدار می دهد که «هنگام انجام آزمایش های امنیتی فیزیکی باید احتیاط کرد - نگهبانان امنیتی باید از نحوه تأیید صحت فعالیت آزمایش کننده، از جمله از طریق یک نقطه تماس یا اسناد آگاه شوند. یکی دیگر از ابزارهای غیرفنی حمله، استفاده از مهندسی اجتماعی است، مانند قرار گرفتن به عنوان یک عامل میز کمک و تماس برای درخواست رمز عبور کاربر، یا تماس با میز کمک در ظاهر کاربر و درخواست برای بازنشانی رمز عبور."

برای اطلاعات تست نفوذ اضافی و مواد مرجع تست نفوذ:

"آزمایش نفوذ می تواند برای تعیین مفید باشد:

• این سیستم چقدر الگوهای حمله به سبک دنیای واقعی را تحمل می کند
• سطح احتمالی پیچیده ای که یک مهاجم برای به خطر انداختن موفقیت آمیز سیستم نیاز دارد
• اقدامات متقابل اضافی که می تواند تهدیدات علیه سیستم را کاهش دهد
• توانایی مدافعان برای شناسایی حملات و پاسخ مناسب.

آزمایش نفوذ می تواند بسیار ارزشمند باشد ، اما این کار فشرده است و برای به حداقل رساندن ریسک سیستم های هدفمند نیاز به تخصص زیادی دارد. سیستم ها ممکن است در طول آزمایش نفوذ آسیب دیده یا در غیر این صورت غیرقابل استفاده شوند ، حتی اگر این سازمان از دانستن چگونگی ارائه یک سیستم توسط یک متجاوز سودمند باشد. اگرچه آزمایش کنندگان نفوذ با تجربه می توانند این خطر را کاهش دهند ، اما هرگز نمی توان آن را به طور کامل از بین برد. آزمایش نفوذ فقط باید پس از بررسی دقیق ، اعلان و برنامه ریزی انجام شود "

سیستم های کنترل صنعتی (ICS) ، از جمله کنترل نظارت و کسب داده ها (SCADA)

IC ها در بسیاری از صنایع مانند برقی ، آب و فاضلاب ، حمل و نقل ، روغن و گاز طبیعی ، شیمیایی ، دارویی و تولید (به عنوان مثال ، خودرو ، هوافضا و غیره) یافت می شود. از آنجا که انواع مختلفی از IC ها با سطح مختلف خطر و تأثیر بالقوه وجود دارد ، روش ها و تکنیک های مختلفی برای تأمین امنیت IC ها وجود دارد ، از جمله آنها آزمایش نفوذ است.

نمونه هایی از پیامدهای احتمالی یک حادثه ICS:

* تأثیر بر امنیت ملی - عمل تروریسم را تسهیل کنید.* کاهش یا از دست دادن تولید در یک سایت یا چندین سایت به طور همزمان.* آسیب یا مرگ کارمندان.* آسیب یا مرگ افراد در جامعه.* آسیب به تجهیزات.* انتشار ، انحراف یا سرقت مواد خطرناک.* آسیب محیطی.* نقض الزامات نظارتی.* آلودگی محصول.* بدهی های حقوقی کیفری یا مدنی.* از دست دادن اطلاعات اختصاصی یا محرمانه.* از دست دادن تصویر برند یا اعتماد به نفس مشتری.

کنترل های امنیتی که در خانواده NIST SP 800-53 ارزیابی ریسک (RA) قرار می گیرند ، سیاست و رویه هایی را برای توسعه ، توزیع و حفظ یک سیاست ارزیابی ریسک مستند ارائه می دهند که هدف ، دامنه ، نقش ها ، مسئولیت ها و انطباق را توصیف می کند. روشهای اجراییک سیستم اطلاعاتی و داده های مرتبط بر اساس اهداف امنیتی و طیف وسیعی از سطح ریسک طبقه بندی می شوند. ارزیابی ریسک برای شناسایی خطرات و میزان آسیب هایی که می تواند ناشی از دسترسی غیرمجاز ، استفاده ، افشای ، اختلال ، اصلاح یا تخریب یک سیستم اطلاعاتی و داده ها باشد ، انجام می شود. همچنین در این کنترل ها مکانیسم هایی برای ارزیابی ریسک به روز و انجام آزمایش های دوره ای و ارزیابی آسیب پذیری وجود دارد.

راهنمایی های تکمیلی برای کنترل های RA را می توان در اسناد زیر یافت:

• NIST SP 800-30 راهنمایی در مورد انجام ارزیابی های ریسک و به روزرسانی ها ارائه می دهد [79].
• NIST SP 800-39 راهنمایی در مورد مدیریت ریسک در تمام سطوح سازمانی ارائه می دهد [20].
• NIST SP 800-40 راهنمایی در مورد دست زدن به تکه های امنیتی را ارائه می دهد [40].
• NIST SP 800-115 راهنمایی در مورد آزمایش امنیت شبکه را ارائه می دهد [41].
• NIST SP 800-60 راهنمایی در مورد تعیین دسته های امنیتی برای انواع اطلاعات را ارائه می دهد [25].
• NIST SP 800-100 راهنمایی در مورد مدیریت و برنامه ریزی امنیت اطلاعات را ارائه می دهد [27].

تست نفوذ برنامه وب برای PCI - در اینجا بیشتر بدانید

گزارش تحقیقات نقض داده های Verizon 2014 3،937 حوادث مربوط به برنامه وب را گزارش کرده است ، با 490 افشای داده های غیرمجاز تأیید شده است (Verizon ، 2014) "

OWASP 10 مهمترین خطرات امنیتی برنامه وب

OWASP Top 10 یک سند آگاهی قدرتمند برای امنیت برنامه های وب است. این نشانگر اجماع گسترده در مورد مهمترین خطرات امنیتی برای برنامه های وب است. اعضای پروژه شامل انواع کارشناسان امنیتی از سراسر جهان هستند که تخصص خود را برای تولید این لیست به اشتراک گذاشته اند.

ما از همه شرکت ها می خواهیم که این سند آگاهی را در سازمان خود اتخاذ کنند و روند اطمینان از اینکه برنامه های وب آنها این خطرات را به حداقل می رساند ، شروع کنند. اتخاذ OWASP Top 10 شاید مؤثرترین قدم برای تغییر فرهنگ توسعه نرم افزار در سازمان شما به یک کد امن باشد.

کتابچه راهنمای تست امنیت منبع باز (OSSTMM)

OSSTMM روشی برای آزمایش امنیت عملیاتی مکانهای فیزیکی ، گردش کار ، آزمایش امنیت انسانی ، آزمایش امنیت فیزیکی ، آزمایش امنیت بی سیم ، آزمایش امنیت ارتباط از راه دور ، آزمایش امنیت شبکه های داده و انطباق است. OSSTMM می تواند به جای یک راهنمای آزمایش نفوذ ، از مرجع IOS 27001 پشتیبانی کند.

OSSTMM بخش های کلیدی زیر را شامل می شود:

• • معیارهای امنیتی عملیاتی
  • تحلیل اعتماد
  • جریان کار.
  • آزمایش امنیت انسانی
  • آزمایش امنیت فیزیکی
  • تست امنیت بی سیم
  • تست امنیت ارتباط از راه دور
  • تست امنیتی شبکه های داده
  • مقررات مربوط به انطباق
  • گزارش با ستاره (گزارش حسابرسی آزمون امنیتی)

  امنیت نرم افزار برنامه - 11 اقدامات اجرای توصیه شده:

  1. وصله
  2. اجرای یک فایروال برنامه وب (WAF)
  3. خطا در حال بررسی همه ورودی ها
  4. برای جستجوی نقاط ضعف امنیتی از یک اسکنر خودکار استفاده کنید
  5. ضد عفونی خروجی پیام های خطا
  6. محیط های توسعه و تولید تفکیک
  7. تجزیه و تحلیل کد ایمن ، دستی و خودکار
  8. فرآیندهای امنیتی فروشنده را تأیید کنید
  9. سختگیری پیکربندی پایگاه داده
  10. توسعه دهندگان را برای نوشتن کد ایمن آموزش دهید
  11. مصنوعات توسعه را از کد تولید حذف کنید

  در حالی که بسیاری از کنترل ها به طور قطع از ماهیت فنی برخوردار هستند ، مهم است که نحوه متفاوت بودن کنترل ها با تکنیک های برنامه نویسی را تشخیص دهیم. بسیاری از مواردی که ممکن است به عنوان کنترل ها فکر کنیم ، باید به درستی در استانداردها یا دستورالعمل های کدگذاری قرار بگیرند. به عنوان نمونه ، NIST SP800-53 پنج کنترل مربوط به مدیریت جلسه را پیشنهاد می کند:

  • کنترل جلسه همزمان
  • قفل جلسه
  • خاتمه جلسه
  • ممیزی جلسه
  • صحت جلسه

  توجه داشته باشید که سه مورد از این موارد در دسته کنترل های دسترسی قرار دارد. در بیشتر موارد ، NIST صریحاً خواستار این سازمان است تا برخی از عناصر نحوه اجرای این کنترل ها را تعریف کند.

  خلاصه

  اگر تکالیف خود را انجام دهید ، پیدا کردن شرکت آزمایش نفوذ قابل اعتماد مناسب کار سختی نیست. بسیاری از ارائه دهندگان خدمات آزمایش نفوذ مستقر در ایالات متحده وجود دارند که خدمات آزمایش نفوذ کنترل شده را ارائه می دهند. برای شناسایی بهترین شرکت تست نفوذ برای پروژه خود ، باید تجربه ، اعتبارنامه ، اسناد اسکوپینگ و کیفیت خدمات مشتری را در نظر بگیرید. پس از شناسایی بهترین شرکت آزمایش نفوذ برای پروژه خود ، گزارش تحویل داده شده به همان اندازه از کیفیت آزمون مهم است. گزارش آزمایش نفوذ باید شامل توصیه های اصلاح باشد و آسیب پذیری ها باید به عنوان بحرانی ، بالا ، متوسط ، کم و اطلاعاتی طبقه بندی شوند.