«شرکت فنی-مهندسی نوآوران افراتک هوشمند» ابزارهای آزمون نفوذ ( pentest ) و ارزیابی امنیتی ذیل را تامین و پشتیبانی مینماید:
Nessus Professional
محصول شرکت tenable، پس از سالها بهبود مداوم، به ابزاری بدل شده است که فرایند ارزیابی آسیبپذیریها را خودکار و آسان مینماید. این ابزار میتواند در مدت زمان بسیار کمی، گزارش بسیار جامعی را درباره داراییهای مدنظر شما ارائه نماید. وجود پالیسیهای پیشفرض فراوان به منظور بررسی انطباق با استانداردهای بینالمللی و پایگاهداده قدرتمند و کامل از آسیبپذیریها، از مهمترین قابلیتهای این ابزار است. این ابزار مناسب سازمانهایی است که در گامهای نخستین پیادهسازی اقدامات بنیادی امنیت اطلاعات و استقرار فرایند مدیریت آسیبپذیری هستند. علاوه بر این، پیمانکاران آزمون نفوذ ( pentest ) نیز میتوانند از این ابزار برای ارزیابی و شناخت نقاط ضعف سازمان کارفرما و وضعیت آنها استفاده کنند.
Tenable.io
شرکت tenable، این محصول کلانمنظوره را برای کاربردهای مربوط به مدیریت آسیبپذیریها بهطور ساختارمند برای سازمانهایی با دغدغههای امنیتی بالا ارائه داده است. این ابزار به سازمان امکان اجرای چندین اسکن ارزیابی به صورت همزمان، با سیاستهای مختلف یا در مکانهای جغرافیایی متنوع را میدهد و قابلیت مدیریت این اسکنها را از یک کنسول مرکزی فراهم مینماید.
Tenable.io
شرکت tenable، این محصول کلانمنظوره را برای کاربردهای مربوط به مدیریت آسیبپذیریها بهطور ساختارمند برای سازمانهایی با دغدغههای امنیتی بالا ارائه داده است. این ابزار به سازمان امکان اجرای چندین اسکن ارزیابی به صورت همزمان، با سیاستهای مختلف یا در مکانهای جغرافیایی متنوع را میدهد و قابلیت مدیریت این اسکنها را از یک کنسول مرکزی فراهم مینماید.
نرم افزار اسکن آسیبپذیری Standard Acunetix
Acunetix یکی از ابزارهای برتر برای اسکن آسیبپذیری برنامههای کاربردی تحتوب است که با شبیهسازی حملات پیشرفته برنامه کاربردی (از قبیل SQL Injection و XSS) در چارچوبی بیخطر برای سایت، آن را از نظر امکان وقوع حمله توسط مهاجمها بررسی میکند. امکان تست نقاط ضعف شناخته شدهای همچون OWASP top25 و بیش از 4500 آسیب پذیری وب روی پلتفرمهای شناخته شده همچون Joomla، WordPress و Durpal در این ابزار فراهم است.
نرم افزار ارزیابی امنیتی Premium Acunetix
این ابزار ضمن اینکه از همان قابلیتهای Acunetix Standard برخوردار است، این امکان را فراهم میآورد که محیط ارزیابی با محیطهای توسعه و بسترهای Issue-tracking شناخته شدهای چون Jira، Jenkins و Bugzilla یکپارچه شود و فرایند برطرفسازی نقاط ضعف امنیتی را تسهیل مینماید. از جمله دیگر قابلیتهای این ابزار میتوان موارد ذیل اشاره کرد:
امکان یکپارچه شدن با SDLC توسعه نرمافزار سازمان
امکان یکپارچه شدن با نرمافزار ارزیابی امنیت شبکه OpenVAS
امکان ارائه گزارشهای مدیریت آسیبپذیریهای امنیتی جداگانه متناسب با تیم توسعه و سطوح مدیریتی
امکان ارائه گزارشهای انطباق با چارچوبها و استانداردهایی همچون PCI-DSS و ISO/IEC 27001
امکان تعریف سطوح دسترسی متنوع تا جزئیترین پالیسی متناسب با نقشهای متفاوت نظیر ممیز، آزمونگر، مدیرسیستم
امکان ارائه بر روی محیط ابری و همچنین نصب و استفاده تجاری بر روی سیستم عامل لینوکس
نرم افزار ارزیابی امنیتی Premium Acunetix
این ابزار ضمن اینکه از همان قابلیتهای Acunetix Standard برخوردار است، این امکان را فراهم میآورد که محیط ارزیابی با محیطهای توسعه و بسترهای Issue-tracking شناخته شدهای چون Jira، Jenkins و Bugzilla یکپارچه شود و فرایند برطرفسازی نقاط ضعف امنیتی را تسهیل مینماید. از جمله دیگر قابلیتهای این ابزار میتوان موارد ذیل اشاره کرد:
امکان یکپارچه شدن با SDLC توسعه نرمافزار سازمان
امکان یکپارچه شدن با نرمافزار ارزیابی امنیت شبکه OpenVAS
امکان ارائه گزارشهای مدیریت آسیبپذیریهای امنیتی جداگانه متناسب با تیم توسعه و سطوح مدیریتی
امکان ارائه گزارشهای انطباق با چارچوبها و استانداردهایی همچون PCI-DSS و ISO/IEC 27001
امکان تعریف سطوح دسترسی متنوع تا جزئیترین پالیسی متناسب با نقشهای متفاوت نظیر ممیز، آزمونگر، مدیرسیستم
امکان ارائه بر روی محیط ابری و همچنین نصب و استفاده تجاری بر روی سیستم عامل لینوکس
نرم افزار ارزیابی امنیتی-360 Acunetix
ضمن اینکه همان قابلیتهای Acunetix Premium را فراهم میسازد، به سازمانهای بزرگ به بسترهای مختلف توسعه و عملیات (به طور مثال در قالب DevSecOpes) امکان میدهد تا بسترهای متنوعی من جمله راهکارهای CI/CD را همزمان با این ابزار مدیریت آسیبپذیری یکپارچهسازی کند.
ابزار ارزیابی امنیتی Burp Suite
محصول شرکت PortSwigger، که جهت ارزیابی وضعیت امنیت وبسایتها و برنامههای کاربردی تحت وب با رویکرد بررسی نفوذپذیری ( pentest ) هدفمند استفاده میشود. هر چند از نظر قابلیتهای پویش آسیبپذیری شبیه محصولات Acunetix است، ولی با توجه به قابلیتهای برجسته ذیل، برای ارزیابیهای جعبه سیاه مناسب است:
امکان شناسایی و محدود کردن هدف در کوچکترین بخشهای سایت و زیرساختها
دارای قابلیتهای کامل برای بررسی brute force و گذشتن از پنل login سایت
امکان اجرای تست موارد با تنظیمات جزئی و تخصصی در ماهیت پویش برای یک ارزیاب حرفهای
ابزار ارزیابی امنیتی Burp Suite
محصول شرکت PortSwigger، که جهت ارزیابی وضعیت امنیت وبسایتها و برنامههای کاربردی تحت وب ( pentest ) با رویکرد بررسی نفوذپذیری هدفمند استفاده میشود. هر چند از نظر قابلیتهای پویش آسیبپذیری شبیه محصولات Acunetix است، ولی با توجه به قابلیتهای برجسته ذیل، برای ارزیابیهای جعبه سیاه مناسب است:
امکان شناسایی و محدود کردن هدف در کوچکترین بخشهای سایت و زیرساختها
دارای قابلیتهای کامل برای بررسی brute force و گذشتن از پنل login سایت
امکان اجرای تست موارد با تنظیمات جزئی و تخصصی در ماهیت پویش برای یک ارزیاب حرفهای
ابزار آزمون نفوذ Core Impact
یکی از شناختهشدهترین محصولات شرکت Core Security و از قدیمیترین و بارزترین ابزارهای تجاری آزمون نفوذ ( pentest ) است. این ابزار با شبیهسازی حملات و سوءاستفاده از آسیبپذیریها، توان جلوگیری، تشخیص و واکنش سازمانها را ارزیابی میکند. این همچنین میزان پیادهسازی صحیح اقدامات امنیتی را در برطرفسازی نقاط ضعف سیستمها مورد تست قرار میدهد تا از اثربخشی اقدامات اطمینان حاصل شود. از قابلیتهای برجسته آن میتوان به موارد ذیل اشاره کرد:
قابلیت مکاشفه شبکه و سیستمهای واقع در شبکه
قابلیت شناسایی و استخراج اطلاعات سرویسهای تحت وب روی شبکه با اتکا به پشتیبانی از انواع احراز هویت
قابلیت بررسی و درستیسنجی نتایج اسکن ابزارهای پویش شبکه و آسیبپذیری مطرح همچون: ابزار Acunetix، ابزار Burp Suite، Nessus، NMap، Tripwire IP360 و Fortify WebInspect
امکان استفاده سریع و خودکار برای کاربران مبتندی
قابل ارائه به همراه بیش از 14,000 اکسپلویت تجاری منحصربفرد جهت نفوذ به آسیبپذیری و اضافه شدن بیش از 10 اکسپلویت جدید بهصورت ماهیانه
امکان کنترل شدت اثرگذاری شبهحمله در هدف با کمک agent موقت و خودتخریب
قابلیت تست آسیبپذیریهای مرجع مرتبط با OWASP Top 10
امکان تست نفوذپذیری انواع سیستمعامل کاربری، سرور، کلانمنظوره و صنعتی (SCADA) و همچنین Cisco IOS