اختبار الاختراق: خيارك الأمثل لتعزيز الأمن السيبراني

وقت القراءة 6 دقيقة

اختبار الاختراق اختبار الاختراق: خيارك الأمثل لتعزيز الأمن السيبراني مجموعة ريناد المجد لتقنية المعلومات RMG

منذ تزايد الهجمات السيبرانية اتجهت المؤسسات للاهتمام بشكل كبير لتعزيز الأمن السيبراني ضمن أقسامها لحماية المؤسسة من أي هجمات ضارة قد تؤدي بنتائج كارثية على أنظمة وبيانات وشبكات المؤسسة، وقد تم إسناد هذه المهمة لقادة المؤسسات خصوصاً مدراء الأمن السيبراني، والذين يتولون مهمة وضع خطط استباقية للتعافي من الكوارث وتجهيز خطط دفاعية وتقوية أنظمة وشبكات المؤسسة لتكون المؤسسة على أهبّة الاستعداد للتصدي للهجمات الإلكترونية(الهجمات السيبرانية)، وقد تحدثنا مسبقاً عن 6 من أهم أدوات الأمن السيبراني للحماية الفعالة من الهجمات الإلكترونية والتي كان اختبار الاختراق إحداها.

في مقال اليوم سنتحدث بشكل مفصل أكثر عن اختبار الاختراق ليكون مرجعاً لمدراء الأمن السيبراني وأي شخص لديه الرغبة بالتعرف أكثر عن هذا الموضوع والدخول في هذا المجال.

ما هو اختبار الاختراق pen test؟

سنبدأ أولاً بمعرفة المعنى الكامن وراء اختبار الاختراق أو ما يطلق عليه بالإنكليزية (Penetration test) ، والذي يعرف أيضاً بالعامية باسم اختبار القلم (pen test) أو القرصنة الأخلاقية (ethical hacking).

اختبار الاختراق

اختبار الاختراق (أو اختبار القلم) هو تمرين أمني يحاول فيه خبير الأمن السيبراني اكتشاف واستغلال الثغرات الأمنية الموجودة في نظام الكمبيوتر، ويكون الغرض من هذا الهجوم المحاكي هو تحديد أي نقاط ضعف قد تكون موجودة في دفاعات النظام والتي يمكن للمهاجمين الاستفادة منها.

يمكننا تشبيه هذا الموضوع بتوظيف بنك ما لشخص ليحاكي محاولات السارق (كأن يمثل على أنه سارق) لاقتحام البنك وسرقة الأموال منه، فإذا نجح “السارق” ودخل البنك أو وصل الخزنة، فسيحصل البنك عندها على معلومات قيمة حول الكيفية التي يحتاجون بها لتشديد إجراءاتهم الأمنية.

 

يمكن أن يتضمن اختبار القلم محاولة اختراق أي عدد من أنظمة التطبيقات، على سبيل المثال، واجهات بروتوكول التطبيق (APIs)، وخوادم الواجهة الأمامية / الخلفية) للكشف عن نقاط الضعف، مثل المدخلات غير المصححة المعرضة لهجمات حقن التعليمات البرمجية.

في سياق أمان تطبيق الويب، يتم استخدام اختبار الاختراق بشكل شائع لزيادة جدار حماية تطبيق الويب (WAF)، حيث يمكن استخدام الرؤى التي يوفرها اختبار الاختراق لضبط سياسات أمان WAF وتصحيح نقاط الضعف المكتشفة.

من المسؤول عن إجراء اختبار الاختراق؟

من الشائع إجراء اختبار الاختراق (اختبار القلم) بواسطة شخص لديه معرفة مسبقة قليلة أو معدومة بكيفية قيامك بتأمين أنظمة مؤسستك، لأنه قد يكون قادرًا على كشف النقاط العمياء التي فاتها المطورون الذين قاموا ببناء النظام، ولهذا السبب، عادة ما يتم إحضار المقاولين الخارجيين لإجراء الاختبارات.

المسؤول عن اختبار الاختراقغالبًا ما يُشار إلى هؤلاء المتعاقدين باسم “المتسللين الأخلاقيين” حيث يتم توظيفهم لاختراق نظام المؤسسة بإذن منها بغرض زيادة الأمان فيها.

العديد من المتسللين الأخلاقيين هم من المطورين ذوي الخبرة الحاصلين على درجات علمية متقدمة وشهادة في اختبار الاختراق.

 

 

يمكنك الاطلاع على تدريب الهاكر الأخلاقي المعتمد (CEH) الذي تقدمه لكم شركة RMG من هنا.

من ناحية أخرى، بعض المتسللين المجرمين الذين تم إصلاحهم يستخدمون الآن خبراتهم للمساعدة في إصلاح الثغرات الأمنية بدلاً من استغلالها.

يمكن أن يختلف أفضل مرشح لإجراء اختبار القلم اختلافًا كبيرًا اعتمادًا على الشركة المستهدفة ونوع اختبار الاختراق الذي يريدون البدء فيه.

مراحل اختبار الاختراق

لننظر الآن في كيفية إجراء عملية اختبار الاختراق، من الممكن تقسيم عملية اختبار الاختراق (اختبار القلم) إلى خمس مراحل هي كالآتي:

1.    التخطيط والاستطلاع

في هذه المرحلة يتم العمل على تحديد نطاق وأهداف الاختبار، بما في ذلك الأنظمة التي سيتم تناولها وإجراء الاختبار عليها، وطرق الاختبار التي سيتم استخدامها.

كما سيتم في المرحلة الأولى جمع المعلومات الاستخبارية (على سبيل المثال، أسماء الشبكة والمجالات، وخادم البريد) لفهم كيفية عمل الهدف بشكل أفضل ونقاط الضعف المحتملة فيه.

2.    المسح

الخطوة التالية هي اختبار وفهم كيفية استجابة التطبيق المستهدف لمحاولات التطفل (الهجمات) المختلفة.

يتم ذلك عادةً باستخدام:

  • التحليل الثابت: حيث يتم في هذا التحليل فحص كود التطبيق لتقدير الطريقة التي يتصرف بها أثناء التشغيل، يمكن لبعض الأدوات مسح الكود بالكامل في مسار واحد.
  • التحليل الديناميكي: فحص كود التطبيق في حالة التشغيل، وتعتبر هذه الطريقة أفضل للمسح، لأنها توفر عرضًا في الوقت الفعلي لأداء التطبيق.

3.    الحصول على حق الوصول

تستخدم هذه المرحلة هجمات تطبيقات الويب، مثل البرمجة النصية عبر المواقع، وإدخال SQL، والأبواب الخلفية، للكشف عن نقاط ضعف الهدف.

بعد اكتشاف نقاط الضعف، يحاول المختبرون استغلال هذه الثغرات الأمنية، عادةً عن طريق تصعيد الامتيازات، وسرقة البيانات، واعتراض حركة المرور، وما إلى ذلك، لفهم الضرر الذي يمكن أن تسببه هذه الثغرة.

4.    الحفاظ على الوصول

الهدف من هذه المرحلة هو معرفة ما إذا كان يمكن استخدام الثغرة التي تم اكتشافها بالمرحلة السابقة لتحقيق وجود مستمر في النظام الذي تم استهدافه، أي لفترة كافية قد تمكن المهاجم من الوصول بشكل متعمق داخل النظام.

الفكرة هنا هي تقليد التهديدات المستمرة المتقدمة، والتي غالبًا ما تبقى موجودة في نظام ما لعدة أشهر ويكون هدفها سرقة البيانات الحساسة للمؤسسة.

5.    التحليل

يتم في هذه المرحلة تجميع نتائج اختبار الاختراق في تقرير يشرح بالتفصيل:

  • نقاط الضعف المحددة التي تم استغلالها
  • البيانات الحساسة التي تم الوصول إليها
  • مقدار الوقت الذي تمكنت فيه أداة اختبار الاختراق من البقاء في النظام دون اكتشافها

يتم تحليل هذه المعلومات من قبل أفراد الأمن السيبراني في المؤسسة للمساعدة في تكوين إعدادات WAF للمؤسسة، وحلول أمان التطبيقات الأخرى لتصحيح الثغرات الأمنية والحماية من الهجمات المستقبلية.

طرق اختبار الاختراق

إذاً فإن عملية اختبار الاختراق لا تجري بطريقة واحدة، حيث يوجد عدة طرق يتم استخدمها من قبل المختبرين تم تصنيفها وفق الآتي:

أولاً: الاختبار الخارجي External testing

تستهدف اختبارات الاختراق الخارجية أصول الشركة المرئية على الإنترنت، على سبيل المثال، تطبيق الويب نفسه، وموقع الشركة على الويب، وخوادم البريد الإلكتروني و DNS.

الهدف من هذا الاختبار هو الوصول إلى البيانات القيمة واستخراجها.

ثانياً: الاختبار الداخلي Internal testing

في الاختبار داخلي، يقوم المختبِر بمحاكاة هجوم قد يحدث واسطة شخص ضار من داخل المؤسسة.

ليس بالضرورة هنا أن تكون المحاكاة لموظف يرغب بتسبيب الضرر، بل يمكن أن يكون سيناريو البداية الشائع موظفًا سُرقت بيانات اعتماده بسبب هجوم تصيد احتيالي.

ثالثاً: الاختبار الأعمى Blind testing

في الاختبار الأعمى، يُعطى الشخص الذي سيقوم بالاختبار فقط اسم المؤسسة المستهدفة.

يمنح هذا الاختبار أفراد الأمن السيبراني في تلك المؤسسة نظرة في الوقت الفعلي حول كيفية حدوث هجوم فعلي على التطبيق.

رابعاً: اختبار التعمية المزدوجة Double-blind testing

في اختبار التعمية المزدوجة، ليس لدى أفراد الأمن السيبراني معرفة مسبقة بالهجوم المحاكي، فهما سيكون الأمر كما هو الحال في العالم الحقيقي، لن يكون لديهم أي وقت لتعزيز دفاعاتهم قبل محاولة الاختراق.

خامساً: الاختبار المستهدف Targeted testing

في هذا السيناريو، يعمل كل من المختبِر وأفراد الأمن السيبراني معًا ويحافظون على تقييم بعضهم البعض لتحركاتهم.

يعد هذا النوع من الاختبار تدريبًا قيمًا يزود فريق الأمن السيبراني بالمؤسسة بتعليقات في الوقت الفعلي من وجهة نظر المخترق.

اختبار الاختراق والجدران النارية لتطبيقات الويب

اختبار الاختراق وWAFs هي تدابير أمنية حصرية ولكنها مفيدة للطرفين.

بالنسبة للعديد من أنواع اختبار الاختراق (باستثناء الاختبارات العمياء والمزدوجة التعمية)، من المرجح أن يستخدم المختبر بيانات WAF، مثل السجلات، لتحديد واستغلال نقاط الضعف في التطبيق.

في المقابل، يمكن لمسؤولي WAF الاستفادة من بيانات اختبار القلم، فبعد اكتمال الاختبار، يمكن تحديث تكوينات WAF للتأمين ضد النقاط الضعيفة المكتشفة في الاختبار.

يفي اختبار الاختراق ببعض متطلبات الامتثال لإجراءات التدقيق الأمني، بما في ذلك PCI DSS و SOC 2.

لا يمكن تلبية معايير معينة، مثل PCI-DSS 6.6، إلا من خلال استخدام WAF معتمد، ومع ذلك، فإن القيام بذلك لا يجعل اختبار الاختراق أقل فائدة نظرًا لفوائده المذكورة أعلاه والقدرة على تحسين تكوينات WAF.

أدوات اختبار الاختراق والشركات

يمكن للمؤسسات استخدام الأدوات الآلية لتحديد بعض نقاط الضعف القياسية الموجودة في التطبيقات.

تقوم أدوات Pentest بفحص الكود للتحقق مما إذا كان هناك كود ضار يمكن أن يؤدي إلى خرق أمني محتمل، كما يمكن لأدوات Pentest التحقق من الثغرات الأمنية الموجودة في النظام من خلال فحص تقنيات تشفير البيانات واكتشاف القيم المشفرة مثل اسم المستخدم وكلمة المرور.

معايير اختيار أفضل أداة اختراق:

  • يجب أن تكون سهلة النشر والتكوين والاستخدام.
  • يجب أن تفحص نظامك بسهولة.
  • يجب أن تصنف الثغرات الأمنية على أساس الخطورة التي تحتاج إلى إصلاح فوري.
  • يجب أن تكون قادرة على أتمتة التحقق من الثغرات الأمنية.
  • يجب أن تعيد التحقق من الثغرات التي تم العثور عليها مسبقًا.
  • يجب أن تولد تقارير وسجلات مفصلة عن الثغرات الأمنية.

بمجرد أن تعرف الاختبارات التي تحتاج إلى إجرائها، يمكنك إما تدريب موارد الاختبار الداخلية الخاصة بمؤسستك أو تعيين مستشارين خبراء خارجيين للقيام بمهمة الاختراق نيابة عنك.

بعض أدوات اختبار الاختراق الموصى بها

Acunetix. 1

أداة Acunetix

يوفر Acunetix WVS للمحترفين الأمنيين ومهندسي البرامج على حد سواء مجموعة من الميزات المذهلة في حزمة سهلة ومباشرة وقوية للغاية.

Intruder. 2

أداة Intruder

Intruder هي أداة فحص قوية للثغرات الأمنية التي تكتشف نقاط ضعف الأمن السيبراني في ملكيتك الرقمية، وتشرح المخاطر وتساعد في علاجها قبل حدوث أي خرق.

 

تعتبر هذه الأداة مثالية للمساعدة في أتمتة جهود اختبار الاختراق.

 

ميزات هذه الأداة:

  • أكثر من 9000 فحص آلي عبر البنية التحتية لتكنولوجيا المعلومات بالكامل.
  • فحوصات البنية التحتية وطبقة الويب، مثل حقن SQL والبرمجة عبر المواقع.
  • يفحص أنظمتك تلقائيًا عند اكتشاف تهديدات جديدة.
  • تكاملات متعددة: AWS و Azure و Google Cloud و API و Jira و Teams والمزيد.
  • يقدم Intruder نسخة تجريبية مجانية مدتها 30 يومًا من خطته الاحترافية.

 

لطالما كانت الوقاية خير من قنطار علاج، فتجهيزاتك اليوم لحماية مؤسستك من المتسللين والمجرمين بإجراء اختبارات الاختراق المناسبة هو أهم ممارسة قد تقوم بها لتعزيز الأمن السيبراني في مؤسستك، كما أن استعانتك بخبراء خارجيين مختصين هو الحل السليم لك بحال لم يكن لديك الفريق الخبير بهذا المجال.

بحال كنت ترغب بتعيين مستشارين خارجيين خبراء في هذا المجال، فما عليك إلا التواصل معنا مباشرة من هنا، حيث تقدم شركة ريناد المجد لتقنية المعلومات RMG استشارات وتدريبات حول هذا الموضوع مع نخبة من أفضل مستشاري وخبراء الأمن السيبراني ممن لديهم عشرات التجارب في هذا المجال.


الأسئلة الشائعة حول اختبار الاختراق

ما هو اختبار الاختراق؟

اختبار الاختراق (أو اختبار القلم) هو تمرين أمني يحاول فيه خبير الأمن السيبراني اكتشاف واستغلال الثغرات الأمنية الموجودة في نظام الكمبيوتر، ويكون الغرض من هذا الهجوم المحاكي هو تحديد أي نقاط ضعف قد تكون موجودة في دفاعات النظام والتي يمكن للمهاجمين الاستفادة منها. يطلق على اختبار الاختراق بالإنكليزية (Penetration test) والذي يعرف أيضاً بالعامية باسم اختبار القلم (pen test) أو القرصنة الأخلاقية (ethical hacking).

من المسؤول عن إجراء اختبار الاختراق؟

من الشائع إجراء اختبار الاختراق (اختبار القلم) بواسطة شخص لديه معرفة مسبقة قليلة أو معدومة بكيفية قيامك بتأمين النظام، لأنه قد يكون قادرًا على كشف النقاط العمياء التي فاتها المطورون الذين قاموا ببناء النظام، ولهذا السبب، عادة ما يتم إحضار المقاولين الخارجيين لإجراء الاختبارات.

ما هي طرق اختبار الاختراق؟

الاختبار الخارجي External testing ، الاختبار الداخلي Internal testing، الاختبار الأعمى Blind testing، اختبار مزدوج التعمية Double-blind testing، الاختبار المستهدف Targeted testing

ما هي مراحل عملية اختبار الاختراق؟

1. التخطيط والاستطلاع 2. المسح 3. الحصول على حق الوصول 4. الحفاظ على حق الوصول 5. التحليل

كيف اختار أداة اختبار الاختراق المناسبة؟

• يجب أن تكون الأداة سهلة النشر والتكوين والاستخدام. • يجب أن تفحص نظامك بسهولة. • يجب أن تصنف الثغرات الأمنية على أساس الخطورة التي تحتاج إلى إصلاح فوري. • يجب أن تكون قادرة على أتمتة التحقق من الثغرات الأمنية. • يجب أن تعيد التحقق من الثغرات التي تم العثور عليها مسبقًا. • يجب أن تولد تقارير وسجلات مفصلة عن الثغرات الأمنية.

One thought on “اختبار الاختراق: خيارك الأمثل لتعزيز الأمن السيبراني

  1. Pingback: 4ممارسات مهمة لمؤسستك لتعزيز التعافي من هجوم سيبراني | هجوم سيبراني | مجموعة ريناد المجد لتقنية المعلومات RMG

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *