در راستای اجرای خدمات رسیدگی به آسیبپذیری، تیمهای مجرب موجود در این مرکز اقدام به شبیهسازی حملات واقعی به شبکه سازمان درخواستکننده مینمایند و نقاط ضعف موجود در شبکه را شناسایی و به کارفرما اطلاعرسانی میکنند.
دلایل و اهداف انجام ارزیابی:
• مشخص شدن نقاط ضعف شبکه قبل از سوءاستفاده نفوذگران
• اطمینان صاحبان شبکه از صحت پیكربندی امنیتی سیستمها
• اطمینان صاحبان شبکه از بهروزبودن سیستمها
• اطمینان صاحبان شبکه از مصون بودن در مقابل آسیبپذیریهای شناخته شده
• کاهش احتمال نفوذ و درنتیجه کاهش هزینههای ترمیم شبکه
انواع روشهای اجرای آزمونهای ارزیابی:
• آزمون جعبه سیاه:آزمونی است كه در آن مجری آزمون بدون آنکه اطلاعاتی در مورد شبكه مورد آزمون و سیستمهای هدف از سوی كارفرما دریافت کند، اقدام به یافتن راهی برای نفوذ مینماید. در این روش مجری آزمون تمامی اطلاعات مورد نیاز را شخصاً بهدست میآورد.
• آزمون جعبه سفید:آزمونی است كه در آن مجری آزمون قبل از اجرای آزمون، اطلاعات اولیه کاملی را از كارفرما دریافت میکند. این اطلاعات شامل توپولوژی شبکه، سیستم عاملهای مورد استفاده، برنامههای مورد استفاده و ... میباشد. معمولاً هدف از اجرای این آزمون، یافتن تمامی روشهای نفوذ به شبکه است.
• آزمون جعبه كریستالی:آزمونی است كه قبل از اجرای آن، یك مجوز دسترسی استاندارد به شبكه در اختیار مجری آزمون قرار میگیرد. هدف از اجرای این آزمون، بررسی تهدیداتی است كه از سوی پرسنل و كارمندان داخلی شركت قابل انجام است.
