تشخیص آسیب پذیری متناسب با چرخه حیات توسعه نرم افزار با رویکردی از ترکیب فارنزیک و ارزیابی در سازمانهای ایرانی
Paper ID : 1232-ICTCK (R5)
Authors:
1سعید خلیل پور *, 2عمید خطیبی بردسیری
1کارشناس امنیت بانک
2دانشگاه ازاد اسلامی واحد کرمان
Abstract:
حجم وسیعی از مخاطرات امنیتی بر اثر تزریق داده های آلوده یا سوء استفاده از نقاط ضعف ناشی از کد نویسی ناامن در برنامه ها (علی الخصوص وب محور) منتج می شود.علیرغم وجود تجهیزات امنیتی ذی قیمت نظیر فایروال، همچنان نگرانی امنیتی از مسایل عمده مسئولین حوزه فناوری اطلاعات سازمانها می باشد زیرا که حفره های امنیتی ناشناخته یا نهفته در زمانی گریبانگیر کسب وکار سازمان خواهد شد که طرحهای تداوم کسب وکار نیز آنها را پیش بینی ننموده و برای برند و اعتبار آن موسسه، لطمات زیادی را به بار خواهد آورد. از این رو انتخاب یک ابزار یا روش یا فرایند کشف نقاط ضعف یک سامانه نرم افزاری، رابطه مستقیم با فعالیت یک سازمان خواهد داشت.در راستای پیشگیری از تشکیل تهدید، راهبرد شناسایی و جلوگیری از آسیب پذیری، از سیاستهای امنیتی اکثر موسسات می باشد.یکی از ساز وکار مرسوم این استراتژی، برگزاری ارزیابی قبل از ارایه خدمات است. لذا با عنایت به برون سپاری تولید نرم افزار به سایر شرکتها، ارایه یک روش ساخت یافته جهت مقابله با موضوعاتی نظیر back door های احتمالی،تهدیدات حاصل از بکارگیری تجهیزات خارجی ازالزامات هر سازمانی خواهد بود.بنابراین در این مقاله سعی گردیده یک چارچوب کلی جهت کشف آسیب پذیری براساس ترکیب فارنزیک و ارزیابی امنیتی ارایه شود.
Keywords:
آزمون امنیتی، آنالیز ایستای کد، آزمون نفوذ،پزشکی قانونی.
Status : Paper Accepted