راه پرداخت
رسانه فناوری‌های مالی ایران

تمدید پروانه فعالیت بهسازان ملت در حوزه خدمات عملیاتی افتا

به گفته ابراهیم خلیل‌زاده، مدیر واحد مهندسی امنیت بهسازان ملت، کسی که مجوز افتا داشته باشد می‌تواند برای شرکت‌ها و سازمان‌ها آزمون ازریابی امنیتی انجام دهد و تمدید مجدد این مجوز به آنها این امکان را می‌دهد تا در زمینه ارزیابی امنیتی سامانه‌ها با غیر از بانک ملت همکاری داشته باشند.

پروانه فعالیت درحوزه عملیاتی افتا (امنیت فضای تولید و تبادل اطلاعات) به مدت دو سال دیگر برای شرکت بهسازان ملت تمدید شد. به این ترتیب این شرکت اجازه دارد تا بر اساس این پروانه تحت نظارت سازمان فناوری اطلاعات ایران، با گرایش آزمون و ارزیابی امنیتی در کشور فعالیت کند.

به گفته ابراهیم خلیل‌زاده، مدیر واحد مهندسی امنیت بهسازان ملت، کسی که مجوز افتا داشته باشد می‌تواند برای شرکت‌ها و سازمان‌ها آزمون ازریابی امنیتی انجام دهد و تمدید مجدد این مجوز به آنها این امکان را می‌دهد تا در زمینه ارزیابی امنیتی سامانه‌ها با غیر از بانک ملت همکاری داشته باشند.

از اقدامات جدیدی که بهسازان ملت به بحث ارزیابی امنیتی خود اضافه کرده، علاوه بر تجهیز تیمشان، می‌توان به توانایی ارزیابی امنیتی به سبک red team اشاره کرد.

برای آشنایی بیشتر با سبک red team ، خلیل‌زاده اینطور توضیح می‌دهد: «در ازریابی امنیت معمولی روال به این صورت است که یک نرم‌افزار یا یک سامانه همراه با اطلاعات اولیه مانند نام کاربری و پسورد در اختیار شما قرار می‌گیرد که بتوانید وارد سامانه شوید و شروع کنید به ازریابی سامانه تا منجر به کشف آسیب‌پذیری در سامانه شود. بحث red team فضایش متفاوت است.

شما قصد نفوذ به یک سازمان را می‌کنید و از هر ابزار و روشی هم برای رسیدن به مقصد استفاده می‌کنید. یکی از بزرگترین مولفه‌‌هایی که در مورد red team مطرح است، استفاده از مهندسی اجتماعی است. برای مثال من به اپراتور یک شرکت زنگ می‌زنم و سعی می‌کنم اپراتور را فریب دهم تا اپراتور نرم‌افزاری که مد نظرم است را در سیستمش نصب کند و از آن طریق بتوانم سیستم اپراتور را در اختیار بگیرم و ارتباطی بین خودم و شبکه آن شرکت ایجاد کنم تا نفوذ را گسترش دهم. در red team از مجموعه تکنیک‌ها و روش‌های متفاوت‌تری استفاده می‌شود که یکی از مهمترین روش‌ها استفاده از همین مهندسی اجتماعی است.»

درواقع باید گفت که ارزیابی امنیتی توسط red team آزمون نفوذی است که به صورت هدفمند و با هدف دسترسی به داده، ماشین و دارایی حیاتی و مهم یک سازمان انجام می‌شود. در این مدل ارزیابی یافتن آسیب‌پذیری تنها راه نبوده و تیم به هر روش ممکن در تلاش برای نفوذ به زیرساخت سازمان خواهد بود. در زمان تست red team ، گروه زیرساخت و امنیت سازمان از انجام تست بی‌اطلاع بوده و در صورتی که متوجه نفوذ شوند باید مانند واکنش به تهدیدات واقعی، اقدام به جلوگیری از نفوذ کنند. البته باید گفت که این خدمات صرفا با هماهنگی مدیران بالا دستی انجام می‌شود.

حتی به گفته مدیر واحد مهندسی امنیت بهسازان ملت، اطلاعات موجود در سطل آشغال (Recycle bin) شرکت‌ها هم می‌تواند برای نفوذ به سیستم و سامانه آن شرکت، کمک‌کننده باشد. او در ادامه توضیح داد که روش‌ها محدود به روش‌های فنی ارزیابی امنیت یک نرم‌افزار نیست و هر روشی که شما بتوانید نفوذتان را در یک شبکه انجام دهید، به کار گرفته می‌شود.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.