آشنایی با روال صدور گواهی امنیت نرم افزار

شرکت تریداتس مفتخر است به عنوان اولین و تنها دارنده ی مجوز عملیاتی افتا با گرایش آزمون و ارزیابی امنیتی در شرق کشور ، با بهره گيري از مزاياي استانداردهاي مطرح در حوزه  امنيت و ارزیابی شبكه، چارچوبي فراگير و چابك براي ارزيابي و ایمن سازی انواع نرم افزارها و شبکه ايجاد كرده است.

درشرکت تریداتس تست امنیتی نرم‌افزار در سه سطح امنیتی مختلف قابل انجام است.

سطح یک (Black Box)

معمولاً برای نرم‌افزارهایی مناسب است که در آن‌ها اطمینان کمتری نسبت به نظارت‌های امنیتی صحیح مورد نیاز است و یا برای تأمین یک آنالیز سریع بر روی نرم‌افزارهای سازمانی و همچنین برای کمک به ایجاد یک لیست اولویت‌بندی شده برای نیازمندی‌های امنیتی به عنوان بخشی از یک پروژه چند فازه استفاده می‌شود. نظارت‌های سطح ۱ می‌تواند به صورت خودکار توسط ابزارها و یا به صورت دستی و بدون دسترسی به سورس‌کد انجام شود

اغلب تهدیدات نسبت به نرم‌افزارها از طرف مهاجمانی است که از تکنیک‌های ساده و آسان برای شناسایی آسیب‌پذیری‌هایی که راحت کشف و یا راحت بهره‌برداری می‌شوند، استفاده می‌کنند. این برخلاف روش یک مهاجم مصمم است که انرژی زیادی برای حمله به یک نرم‌افزار مشخص صرف می‌کند. بنابراین، اگر اطلاعات پردازش شده توسط نرم‌افزار شما دارای ارزش بالایی است، شما قطعاً نباید به استاندارد سطح ۱ اکتفا کنید.

سطح دو ( Gray Box or Crystal Box)

اطمینان می‌دهد که مکانیزم‌های امنیتی درستی بکار گرفته شده، این مکانیزم‌ها مؤثر بوده و همچنین در داخل نرم‌افزار به درستی تعبیه شده‌اند. سطح ۲ معمولاً برای نرم‌افزارهایی مناسب است که می‌توانند شامل این موارد باشند: نرم‌افزارهایی که اطلاعات مرتبط با بهداشت و درمان را ارزیابی می‌کنند، نرم‌افزار که مرتبط به کسب‌وکارهای حساس هستند، نرم‌افزارهایی که عملکرد آن‌ها از حساسیت بالایی برخوردار بوده و یا مربوط به پردازش اموال هستند.

تهدیدات نسبت به نرم‌افزارهای سطح ۲ معمولاً مربوط به مهاجمان باانگیزه و دارای مهارت بالاست که بر روی یک هدف خاص تمرکز کرده و از ابزارها و روش‌های مؤثر در کشف و بهره‌برداری از ضعف‌های نرم‌افزار، استفاده می‌کنند.

در اين روش كارشناسان تست نفوذ به مانند يك كارمند سازمان، حق دسترسي به منابعي كه بقيه كاركنان هم مي‌توانند دسترسي داشته باشند دسترسي دارد و با اين نوع دسترسي اقدام به ارائه تست مي‌نمايد. در برخی موارد ممکن است توسط افراد مجاز نظیر کارکنان ناراضی و یا افراد غیر مجاز که با استفاده از بد افزار به شبکه ی داخلی دسترسی دارند، آسیب پذیری های نرم افزاری و منطقی مورد سو استفاده قرار می گیرند. هدف از این آزمون یافتن و رفع این آسیب پذیری هاست.

سطح سه (White Box)

معمولاً منحصر به نرم‌افزارهایی است که نیازمند سطوح قابل توجهی از تاییدات امنیتی هستند، مانند نرم‌افزارهایی که در زمینه نظامی، سلامت و امنیت، زیرساخت‌های حیاتی و غیره مورد استفاده قرار می‌گیرند. سازمان‌ها برای نرم‌افزارهایی که وظیفه اجرای امور حیاتی را دارند و ایجاد مشکل در آن‌ها می‌تواند تأثیر بسزایی در عملکرد و یا حتی بقای سازمان داشته باشد، نیازمند استاندارد سطح ۳ هستند.

یک نرم‌افزار در سطح ۳ نیازمند آنالیز، معماری و همچنین برنامه‌نویسی دقیق‌تر نسبت به تمامی سطوح دیگر است. یک نرم‌افزار امن به‌گونه‌ای هدفمند (برای تسهیل کردن مقاوم‌بودن، مقیاس‌پذیری و مهم‌تر از همه لایه‌های امنیتی) ماژول بندی شده و هر ماژول از مسؤولیت‌های امنیتی مربوط به خود به صورت دقیق و کامل محافظت می‌کند. این مسؤولیت‌ها شامل نظارت به منظور حصول از محرمانگی (مثلاً با رمزنگاری)، جامعیت (برای مثال اعتبارسنجی ورودی)، دسترسی‌پذیری، احراز هویت (از جمله بین سیستم‌ها)، عدم انکار، مجوز دهی و بازرسی (loggong) است.

سطح مورد نیاز جهت دریافت گواهی امنیت نرم افزار

برای دریافت گواهی امنیت نرم افزار لازم است تا حداقل آزمون های  سطح دو بر روی نرم افزار مربوطه انجام شود بر همین اساس با انجام آزمون های سطح یک به تنهایی، گواهی امنیت نرم افزار صادر نخواهد شد. بدیهیست که رد صورت اعلام نیاز کارفرما  آزمون سطح سه نیز جهت گواهی امینت نرم افزار قابل انجام خواهد بود.

زیر ساخت آزمون

جهت انجام آزمون های مورد نیاز صدور گواهی امنیت نرم افزار، از دو بستر عملیاتی و آزمایشی می توان استفاده کرد. در زیر ساخت آزمایشی یک نسخه از نرم افزار بر روی شبکه آزمایشگاه تست نفوذ شرکت تریداتس و یا کارفرما نصب شده و مورد آزمون و ارزیابی امنیتی قرار می گیرد. مزیت این روش سرعت بالا و قابلت اطمینان از عدم اخلال در عملکرد سامانه ی اصلی می باشد. اما در زیر ساخت عملیاتی، آزمون و ارزیابی امنیتی بر روی سامانه ی نصب شده بر شبکه ی عملیاتی بوده و نیاز به نصب نسخه ی دیگر نمیباشد. از مزایای این روش ارزیابی عملکرد شبکه یعمیاتی در مواحهه با حملات می باشد اما این فرایند ممکن است باعث کندی و در موارد معدودی باعث ایجاد اخلال در عملکرد سامانه شود. البته لازم به ذکر است که کليه ابزارهای و حملاتی که در طول پروژه از آنها استفاده می شوند ابزارهای استاندارد بوده و به هيچ عنوان آسيبی به سيستم ها و وارد نخواهد نکرد و چنانچه احتمالی وجود داشته باشد که حمله و یا ابزاری خللی در عملکرد شبکه و یا سامانه های ایجاد نماید این موضوع از قبل به اطلاع کارفرما رسیده و در صورت اعلام رضایت کارفرما با هماهنگی قبلی انجام خواهد شد.

تمامی گواهی های امنیت نرم افزار صادر شده در شرکت تریداتس از طریق سایت این شرکت قابل استعلام و مشاهده بوده و مورد تایید سازمان فناوری اطلاعات ایران و افتای ریاست جمهوری می باشند.