



حملات به سیستمهای فناوری اطلاعات و شبکههای سازمانها، معمولاً رو به افزایش است، اگرچه ماهیت و اهداف آن ممکن است متفاوت باشد. در درجه اول، حملات، بهمنظور علائق فنی و نیز آشکارسازی شکافهای امنیتی سازمان مقابل بکار میرود. در این بین، حملاتی بسیار خطرناک هستند که با هدف بزهکاری صورت میپذیرند که طی آن، هکرها، استفاده از آسیبپذیریهای سیستمهای فناوری اطلاعات را به منظور حصول مزیتهای غیرقانونی و یا جلب توجه اجتماعی، مورد هدف قرار میدهند.
شرکت TÜV IT، به منظور شناسایی آسیبپذیریها و پیشگیری از حملات، خدمات آزمایش نفوذ (Penetration Tests) را پیشنهاد میدهد. آزمایشهای نفوذ که آزمایشهای کنترل شدهای برای نفوذ در سیستم یا شبکه فناوری اطلاعات هستند، به منظور بررسی اینکه امنیت سیستمهای فناوری اطلاعات در معرض خطر تهدیدات خارجی هستند و یا اینکه امنیت فناوری اطلاعات، با اقدامات امنیتی مناسب، تضمین شده است، بکار میروند. این شرکت از استانداردهای آزموده شدهای همانند راهنمای German BSI، و روش آزمون امنیت متنباز (OSSTMM) متعلق به انستیتوی امنیت و متدولوژیهای باز (ISECOM) برای این مهم استفاده مینماید. برخی از خدمات ارائه شونده در این حوزه عبارتند از ARP Scans، Port Scans، Network Sniffing، Exploitation of Vulnerabilities، Black-Box and White-Box Tests، Automated and Manual Tests.
Web Application Tests
حملات هدفمند به برنامههای کاربردی تحت وب، یکی از بزرگترین خطرات سایبری امروزه است و متأسفانه معمولاً با این واقعیت روبرو هستیم که علیرغم وجود دیوارههای آتش برای حفاظت، اغلب موفقیتآمیز هستند.
در راستای ارائه خدمات خاص امنیتی، شرکت TÜV IT، ضعفهای برنامههای کاربردی تحت وب را شناسایی و در حذف آن کمک مینماید. این شرکت، آزمایشهای نفوذ کاملی را در روشهایBlack-Box و White-Box انجام میدهد. روشهای اجرایی و فرآیندهای آزمایش، مبتنی بر استانداردها و تجارب برتر شناخته شده (همانند OWASP، WASC و German BSI) و با ترکیبی از روشهای آزمایش خودکار و دستی، انجام میشوند. طی این روشها، ضعفهای مشخص برنامههای کاربردی، همانند SQL injection یا Cross-Site-Scripting شناسایی میشوند.
همچنین بنا بهدرخواست مشتری، آزمایشهای موفق میتوانند منجر به صدور گواهینامه Trusted Site Security یا Trusted Product Security بشوند.