مراجعة

تتألف عمليات تدقيق الامتثال من تقييم مدى مطابقة الممارسات فيما يتعلق بمراجع سلامة الزبناء، والمراجع التنظيمية أو الممارسات التي لوحظت عموما في منظمات مماثلة، واقتراح خطط عمل للتوافق التدريجي والممارسات، والمعايير، التي تغطي كامل نطاق المراجعة (الهندسة المعمارية، والوسائل، والتنظيم، والإجراءات، الخ).
اعتمادا على نطاق المراجعة أو الحاجة التي أعرب عنها الزبون، يأخذ مراجعو الحسابات مراجع السلامة التي يروج لها الزبون والقيود التنظيمية والإجراءات ومدونات قواعد السلوك والقواعد التنظيمية والتقنية والمراجع المعيارية للمنظمة الدولية للتوحيد القياسي ISO 27001 (معايير أمن المعلومات)أوISO 22301(معايير إستمرارية الأعمال) في أحدث إصداراتها كأساس للتحليل.

بناء على متطلبات رسمية ضمن هذه الوثائق و / أو على أساس مراجع RISKILIENCE الموحد من تجربتنا من المنظمات المماثلة، زبائننا يقترحون خطط التدقيق ونقاط التفتيش أثناء عملية المراجعة.

الهدف من التدقيق التقني هو تقديم حصر لممارسات السلامة الجيدة بشأن المكونات التقنية لنظام المعلومات، وتحديد مواطن الضعف، وتقييم مدى أهميتها (واستغلالها) و اقتراح التوصيات ذات الصلة.
والبنية التحتية التقنية أو التطبيقات التي يتم نشرها على شبكة الإنترنت، والواجهات البينية لنظام معلومات الشركة، هي أهداف مفضلة. قد تتعرض المنظمة لمخاطر تشغيلية أو قانونية.
في نهج للكشف عن الضعف، يوفرRISKILIENCE البنية التحتية لمراجعة الحسابات والبعثات لدعم إيرادات التطبيق والتحقق من صحته.
تستند هذه الخدمات إلى خبرة مراجعي الحسابات وعلى المنهجيات المجربة (OWASP، OSSTM). ويشمل هذا النهج المجالات التقنية مثل جمع المعلومات، مراقبة البنية التحتية، التحكم في نظام التوثيق، إدارة الجلسات، مراقبة التفويض، وظائف الأعمال والجوانب التقنية (AJAX، خدمات الويب)
تعرف فرقنا كيفية وضع هذه المراجعات ونتائجها في عملية التقييم الداخلي وإدارة المخاطر.

اختبارات التسلل مناسبة بشكل خاص لاختبار سلامة البيئة ووصف مقاومتها لمستوى معين من الهجوم. كما أنها تجعل الفاعلين (صناع القرار، والإداريين، الخ) على دراية بالشركة المستهدفة من خلال إظهار واقع الهجوم.

اعتمادا على هدف الزبون، يتم إجراء الاختبارات من خلال نهج مختلفة لأغراض مختلفة:

– الحرمان من الخدمة: هو رفض الخدمة على الأجهزة النشطة للشبكة. يتم تحليل هذه الثغرات عن طريق رمز، أو باستخدام الأدوات المناسبة. والهدف من ذلك هو تحليل إمكانيات جعل الجهاز غير متوفر، وبالتالي خلق اضطرابات على IS الشركة.
– مقاومة السيطرة على الأجهزة عن بعد: جمع نقاط الضعف على المواد الحساسة للشركة أو على المواد الفعالة. استغلال هذه الثغرات الأمنية يسمح لكم بالسيطرة على الأجهزة مباشرة أو عن طريق الارتداد. عند وضع الجهاز تحت السيطرة، يمكن للمهاجم محاولة للسيطرة على آلة أخرى أكثر حساسية أو تنفيذ العديد من الإجراءات الأخرى.
– مقاومة التجسس: جمع نقاط الضعف على المواد وكذلك بروتوكولات نقل المعلومات. عند استغلال هذه النقاط، يتم إجراء محاولات لاعتراض حركة المرور على IS داخلي أو الوصول إلى المعلومات المخزنة على أجهزة معينة.
– مقاومة تغيير البيانات التجارية: هو جمع نقاط الضعف على قواعد البيانات أو على وسائط التخزين. الغرض من استغلال هذه الثغرات هو توضيح إمكانية تعديل أو حذف البيانات من الIS.
– مقاومة العلامة التجارية: جمع نقاط الضعف على مواقع الشركة (ناقلات الصور الرئيسية في الخارج). استغلال هذه الثغرات الأمنية يجعل من الممكن توضيح إمكانية جعل البيانات حساسة، وتغيير الصفحات الرئيسية.

RISKILIENCE يقدم فئتين رئيسيتين من اختبار التسلل مع أو بدون معرفة مسبقة:

– الاختبارات الخارجية: مراجعي RISKILIENCE يضعون أنفسهم كمهاجمين خارجيين. يحاولون الدخول من الإنترنت من خلال نقاط الضعف التي يتعين تحديدها. والهدف ليس بالضرورة اختراق شبكة الزبون، ولكن أن تكون شاملة قدر الإمكان من خلال سرد نقاط الضعف التي يمكن استغلالها من قبل مهاجم فعلي. يتم إجراء هذه الاختبارات من منصات الاختبار لدينا.
– الاختبارات الداخلیة: یقوم مدققو RISKILIENCE بدور المهاجم الداخلي. يتم إجراء هذه الاختبارات من داخل نظام معلومات الشركة ويمكن استخدامها لاختبار نقاط الضعف الداخلية التي قد تكون موجودة. والهدف هو الوصول إلى الموارد الحرجة للشبكة الداخلية للشركة، إذا لزم الأمر، لتسليط الضوء على نقاط الضعف في النظام.