تحلیل و ارزیابی امنیتی کد منبع

تحلیل و ارزیابی امنیتی کد منبع

شرح خدمت

تست نفوذ پذیری سامانه های تحت وب و نرم افزارها

تحلیل و ارزیابی امنیتی کد منبع یا همان سورس کد نرم افزار های تحت وب و اپلیکیشن ها، در واقع اقدامی برای حفاظت مستقیم از اطلاعات و دانش سازمان می‌باشد. جهت انجام این مهم نیاز به یک تیم شامل متخصصان تست نفوذ و برنامه نویسی بوده تا پارامترهای مختلفی از جمله کد منبع، پایگاه داده، ارتباطات آنها و شماتیک ظاهری نرم افزار که در شکل زیر بطور کامل نمایش داده شده، مورد آزمون و ارزیابی قرار گیرد.

 

از جمله اقدامات در خصوص امنیت نرم‌افزارهای کاربردی می‌توان به موارد زیر اشاره نمود:

- حفاظت در مقابل افشای کد منبع

- نواقص و ضعف های موجود در برنامه

- عدم سواستفاده از اطلاعات دیتابیس

- کشف آسیب پذیری های نرم افزار

- اعمال سیاست‌ها و کنترل‌های دسترسی بخش‌های مختلف نرم‌افزار

مسئله امنیت نرم‌افزار در واقع از همان ابتدای پیاده‌سازی آغاز و تا زمان حیات نرم‌افزار ادامه دارد .

با توجه به روش های مختلفی که جهت انجام تست نرم افزار وجود دارد، انتخاب استاندارد مناسب برای ارزیابی یکی از مهم‌ترین گام‌های انجام ارزیابی امنیتی نرم‌افزار در سطح کد به شمار می‌رود که این استانداردها عبارتند از:

  • متدلوژی OWASP , OWASP-MSTG
  • استاندارد ASVS
  • استاندارد CWE
  • PCI Data Security Standard

دامنه تحلیل و ارزیابی امنیتی کدمنبع در شرکت امن افزار گستر آپادانا موارد زیر را شامل می‌شود:

  • ارزیابی امنیتی نرم‌افزارهای تحت وب و ویندوزی
  • ارایه راهکارهای عملیاتی جهت امن سازی نرم افزار ها و پایگاه داده آنها با انواع زبان های برنامه نویسی در مقابل بدافزارها
  • ارزیابی امنیتی نرم‌افزارهای اندرویدی، IOS و ارائه راه کارهای امن سازی
  • ارائه الگوریتم‌های رمزنگاری در تمامی سطوح (سطح کد، سطح داده، سطح بانک اطلاعاتی، سطح شبکه)
  • ارایه راهکارهای عملیاتی جهت درهم سازی کد نرم افزار
  • بررسی و آنالیز معماری، استراتژی و أصول توسعه نرم‌افزار
  • بررسی و آنالیز معماری بانک اطلاعاتی مورد استفاده
  • بررسی تحلیل نرم‌افزار و ارائه طرح جامع توسعه امن
  • ارزیابی سامانه در سطح کد به صورت جعبه سفید با در اختیار داشتن کدمنبع
  • ارزیابی سامانه در سطح کد به صورت جعبه سیاه با دسترسی به نسخه نهایی

 

مراحل انجام ارزیابی امنیتی و تست نفوذ نرم افزار های ویندوزی

  • تست به صورت دستی و اتوماتیک طبق استاندارد انجام خواهد گرفت. خروجی به صورت یک مستند جامع به همره ارائه راه حل در جهت امن سازی ارائه خواهد شد.

 

تست در 2 مرحله انجام خواهد شد:

مرحله اول: در این مرحله پس از دریافت دسترسی ها به نرم افزار، کلیه ابعاد نرم افزار با روش های استاندارد مورد آزمون و ارزیابی قرار میگیرد و گزارشات مربوط بطور کامل و جامع ارائه می شود.

 مرحله دوم: پس از برطرف سازی مشکلات  ارائه شده و اعلام نتیجه انجام خواهد شد.

در صورتی که بنابر نتیجه آزمون و مطابق با استانداردها و روال‌های تعریف شده، نرم‌افزار تحت آزمون مرحله دوم قابل دریافت گواهینامه باشد، گواهینامه ارائه خواهد شد، در غیر این صورت این تست تکرار شده تا کلیه آسیب پذیزی ها مرتفع و نرم افزر قابلیت دریافت گواهینامه را داشته باشد.

 

مزایای انجام تست نفوذ برنامه های کاربردی توسط شرکت امن افزار گستر آپادانا:

ارائه گواهینامه رسمی بررسی و تاییدیه امنیتی نرم افزار

گواهینامه معتبری  که پس از امن سازی و تست مجدد نرم افزار شما، توسط شرکت امن افزار گستر آپادانا "دارای مجوز آزمون و ارزیابی امنیتی از سوی نهاد افتای ریاست جمهوری" ارائه می گردد، این اطمینان را به شما و مشتریانتان می دهد که نرم افزار شما با اقدامات شناسایی پیشگیرانه و برطرف کردن خطر حمله یا نفوذ امنیتی، مورد تایید می باشد.

مدیریت هوشمندانه و ارائه راهکار های جامع جهت رفع کامل آسیب پذیری ها

تست نفوذ اطلاعات دقیقی از مخاطرات امنیتی موجود تهیه می نماید، که با استفاده از آن سازمان ها می توانند به صورت پیشگیرانه، به شناسایی آسیب پذیری ها از لحاظ درجه اهمیت و یا بررسی درستی آن آسیب پذیری اقدام نمایند. این ویژگی به سازمان ها، امکان انجام روال های مرتفع سازی، طبقه بندی و اولویت بندی مناسب را داده و با اعمال وصله های امنیتی درست، تغییر در ساختار کد و نهایتا با اختصاص تجهیزات و تنظیمات امنیتی، حفاظت از اطلاعات را تضمین نمایند.

جلوگیری از تبعات افشای اطلاعات

بازیابی اطلاعات نرم افزاری که مورد نفوذ قرار گرفته است، سازمان ها را متحمل هزینه های هنگفت مالی می نماید. حفاظت از اطلاعات نرم افزار ها یک امر مهم جهت حفظ چشم اندازها و فعالیت ها بوده و بروز اتفاقات امنیتی در نرم افزار باعث کاهش اعتماد مشتریان، شرکای تجاری، عدم بهره وری منابع انسانی و خدمات رسانی، میگردد.

تست نفوذ در جهت رعایت استانداردها و جلوگیری از جرایم بازرسی قوانین دولتی

تست نفوذ به سازمان ها کمک می کند تا در پیاده سازی قوانین و مقررات ابلاغی توسط دولت و یا نهادهای وابسته در حوزه امنیت، کمتر دچار مشکل شده و با بررسی و آنالیز طبق قوانین و مقررات تنظیم شده، مانع از بروز هرگونه تخلف ناشی از بازرسی های دوره ای توسط متولیان این امر گردد.

شرح خدمات

تحلیل و ارزیابی امنیتی کد منبع یا همان سورس کد نرم افزار های تحت وب و اپلیکیشن ها، در واقع اقدامی برای حفاظت مستقیم از اطلاعات و دانش سازمان می‌باشد. جهت انجام این مهم نیاز به یک تیم شامل متخصصان تست نفوذ و برنامه نویسی بوده تا پارامترهای مختلفی از جمله کد منبع، پایگاه داده، ارتباطات آنها و شماتیک ظاهری نرم افزار که در شکل زیر بطور کامل نمایش داده شده، مورد آزمون و ارزیابی قرار گیرد.

 

از جمله اقدامات در خصوص امنیت نرم‌افزارهای کاربردی می‌توان به موارد زیر اشاره نمود:

  • حفاظت در مقابل افشای کد منبع
  •  نواقص و ضعف های موجود در برنامه
  • عدم سواستفاده از اطلاعات دیتابیس
  •  کشف آسیب پذیری های نرم افزار
  •  اعمال سیاست‌ها و کنترل‌های دسترسی بخش‌های مختلف نرم‌افزار

مسئله امنیت نرم‌افزار در واقع از همان ابتدای پیاده‌سازی آغاز و تا زمان حیات نرم‌افزار ادامه دارد .

با توجه به روش های مختلفی که جهت انجام تست نرم افزار وجود دارد، انتخاب استاندارد مناسب برای ارزیابی یکی از مهم‌ترین گام‌های انجام ارزیابی امنیتی نرم‌افزار در سطح کد به شمار می‌رود که این استانداردها عبارتند از:

  • متدلوژی OWASP , OWASP-MSTG
  • استاندارد ASVS
  • استاندارد CWE
  • PCI Data Security Standard


دامنه های ارزیابی

 

دامنه تحلیل و ارزیابی امنیتی کدمنبع در شرکت امن افزار گستر آپادانا موارد زیر را شامل می‌شود:

 

  • ارزیابی امنیتی نرم‌افزارهای تحت وب و ویندوزی
  • ارایه راهکارهای عملیاتی جهت امن سازی نرم افزار ها و پایگاه داده آنها با انواع زبان های برنامه نویسی در مقابل بدافزارها
  • ارزیابی امنیتی نرم‌افزارهای اندرویدی، IOS و ارائه راه کارهای امن سازی
  • ارائه الگوریتم‌های رمزنگاری در تمامی سطوح (سطح کد، سطح داده، سطح بانک اطلاعاتی، سطح شبکه)
  • ارایه راهکارهای عملیاتی جهت درهم سازی کد نرم افزار
  • بررسی و آنالیز معماری، استراتژی و أصول توسعه نرم‌افزار
  • بررسی و آنالیز معماری بانک اطلاعاتی مورد استفاده
  • بررسی تحلیل نرم‌افزار و ارائه طرح جامع توسعه امن
  • ارزیابی سامانه در سطح کد به صورت جعبه سفید با در اختیار داشتن کدمنبع
  • ارزیابی سامانه در سطح کد به صورت جعبه سیاه با دسترسی به نسخه نهایی


مراحل انجام

 

مراحل انجام ارزیابی امنیتی و تست نفوذ نرم افزار های ویندوزی

 

تست به صورت دستی و اتوماتیک طبق استاندارد انجام خواهد گرفت. خروجی به صورت یک مستند جامع به همره ارائه راه حل در جهت امن سازی ارائه خواهد شد.

 

سمت کلایت (Application Client - agent

  •     بررسی پروتکل های ارتباطی
  •      نسخه سمت کلاینت
  •      مهندسی معکوس
  •      کشف آسیب پذیری
  •      بررسی ترافیک

سمت سرور (Application Server Side)

  •      بررسی نرم افزار سمت سرور
  •     ارتباط با پایگاه داده
  •     ارتباط با DC
  •    توابع و Lib های مورد استفاده

 

مستند سازی و تحلیل آسیب پذیری ها نیز در 2 مرحله انجام خواهد شد:

مرحله اول: در این مرحله پس از دریافت دسترسی ها به نرم افزار، کلیه ابعاد نرم افزار با روش های استاندارد مورد آزمون و ارزیابی قرار میگیرد و گزارشات مربوط بطور کامل و جامع ارائه می شود.

 مرحله دوم:

پس از برطرف سازی مشکلات  ارائه شده و اعلام نتیجه در صورتی که بنابر نتیجه آزمون و مطابق با استانداردها و روال‌های تعریف شده، نرم‌افزار تحت آزمون مرحله دوم قابل دریافت گواهینامه باشد، گواهینامه ارائه خواهد شد، در غیر این صورت این تست تکرار شده تا کلیه آسیب پذیزی ها مرتفع و نرم افزر قابلیت دریافت گواهینامه را داشته باشد.


مزایا

 

مزایای انجام تست نفوذ برنامه های کاربردی توسط شرکت امن افزار گستر آپادانا:

 

ارائه گواهینامه رسمی بررسی و تاییدیه امنیتی نرم افزار

گواهینامه معتبری  که پس از امن سازی و تست مجدد نرم افزار شما، توسط شرکت امن افزار گستر آپادانا "دارای مجوز آزمون و ارزیابی امنیتی از سوی نهاد افتای ریاست جمهوری" ارائه می گردد، این اطمینان را به شما و مشتریانتان می دهد که نرم افزار شما با اقدامات شناسایی پیشگیرانه و برطرف کردن خطر حمله یا نفوذ امنیتی، مورد تایید می باشد.

مدیریت هوشمندانه و ارائه راهکار های جامع جهت رفع کامل آسیب پذیری ها

تست نفوذ اطلاعات دقیقی از مخاطرات امنیتی موجود تهیه می نماید، که با استفاده از آن سازمان ها می توانند به صورت پیشگیرانه، به شناسایی آسیب پذیری ها از لحاظ درجه اهمیت و یا بررسی درستی آن آسیب پذیری اقدام نمایند. این ویژگی به سازمان ها، امکان انجام روال های مرتفع سازی، طبقه بندی و اولویت بندی مناسب را داده و با اعمال وصله های امنیتی درست، تغییر در ساختار کد و نهایتا با اختصاص تجهیزات و تنظیمات امنیتی، حفاظت از اطلاعات را تضمین نمایند.

جلوگیری از تبعات افشای اطلاعات

بازیابی اطلاعات نرم افزاری که مورد نفوذ قرار گرفته است، سازمان ها را متحمل هزینه های هنگفت مالی می نماید. حفاظت از اطلاعات نرم افزار ها یک امر مهم جهت حفظ چشم اندازها و فعالیت ها بوده و بروز اتفاقات امنیتی در نرم افزار باعث کاهش اعتماد مشتریان، شرکای تجاری، عدم بهره وری منابع انسانی و خدمات رسانی، میگردد.

تست نفوذ در جهت رعایت استانداردها و جلوگیری از جرایم بازرسی قوانین دولتی

تست نفوذ به سازمان ها کمک می کند تا در پیاده سازی قوانین و مقررات ابلاغی توسط دولت و یا نهادهای وابسته در حوزه امنیت، کمتر دچار مشکل شده و با بررسی و آنالیز طبق قوانین و مقررات تنظیم شده، مانع از بروز هرگونه تخلف ناشی از بازرسی های دوره ای توسط متولیان این امر گردد.

 

 

سوالات متداول

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.