کنترل شماره بیست از سری کنترل های سازمانی

CIS logo
تست نفوذ و آزمون های تیم قرمز

چرا این کنترل حیاتی است؟

مهاجمان غالباً از شکاف بین طرح های دفاعی خوب، اهداف، شرایط اجرا یا نگهداری سوءاستفاده می کنند. مثال هایی در این زمینه عبارتند از: بازه زمانی بین اعلام آسیب پذیری، در دسترس بودن اصلاحیه های تولید کننده و نصب واقعی بر روی هر دستگاه. در اشاره به مثال های دیگر میتوان از موارد ذیل نام برد: سیاست های مناسبی که هیچ مکانیزم اجرایی ندارند (به ویژه مواردی که برای محدود کردن اقدامات خطرناک انسانی در نظر گرفته شده اند)، عدم استفاده از تنظیمات مناسب برای دستگاه هایی که به شبکه افزوده و یا حذف می شوند و عدم درک تعامل بین ابزارهای دفاعی متعدد یا عملکردهای سیستم عادی که دارای پیامدهای امنیتی است. یک وضعیت دفاعی موفق نیاز به یک برنامه جامع مرکب از سیاست های مؤثر و حاکمیت، دفاع فنی قوی و اقدامات مناسب افراد دارد. در یک محیط پیچیده که فناوری به طور مداوم در حال تغییر و تحول است و شگردهای جدید مهاجم بطور منظم ظاهر می شود، سازمان ها باید بطور دوره ای دفاع خود را برای شناسایی شکاف ها و ارزیابی آمادگی آنها از طریق انجام آزمون نفوذ امتحان کنند.

تست نفوذ با شناسایی و ارزیابی آسیب پذیری هایی که در شرکت قابل تشخیص هستند آغاز می شود. در مرحله بعد، آزمایش ها طراحی و اجرا می شوند تا بطور مشخص نشان دهند كه چگونه طرف مقابل می تواند اهداف امنیتی سازمان را زیر پا بگذارد (به عنوان مثال حفاظت از دارایی فکری خاص) یا دستیابی به اهداف خصمانه خاص (مثلاً ایجاد فرمان و زیرساخت های كنترلی پنهان). نتایج به دست آمده به کمک مستندات ارائه شده، بینش عمیق تری در مورد خطرات تجاری آسیب پذیری های مختلف ارائه می دهد. تمرینات تیم قرمز به منظور بهبود آمادگی سازمان، رویکردی جامع را در طیف کاملی از خط مشی های سازمان، فرآیندها و دفاع ها برای بهبود آموزش متخصصان دفاعی و بازرسی سطح عملکرد فعلی در پیش می گیرد. تیم های قرمز مستقل می توانند بینش های ارزشمند و عینی در مورد وجود آسیب پذیری ها، اثربخشی دفاع ها و کاهش کنترل های موجود و حتی آن هایی که برای اجرای آینده برنامه ریزی شده اند ارائه دهند.

CIS logo

نکات اصلی


  • برنامه ای برای تستهای نفوذ ایجاد کنید که شامل طیف گسترده ای از حملات ترکیبی مانند حملات بیسیم مبتنی بر مشتری و برنامه های وب باشد.
  • یک بستر آزمایشی ایجاد کنید که از یک محیط تولیدی به منظور انجام آزمون های خاص نفوذ و حملات تیم قرمز علیه عناصری که به طور معمول در تولید مورد سنجش قرار نمی گیرند تقلید کند. مواردی نظیر حمله به کنترل نظارت و جمع آوری داده ها و سایر سیستمهای کنترل.
CIS logo

سامانه های مرتبط برای پیاده سازی این کنترل

CIS logo

صفحه قبل