نتمنى جميعاً أن تكون البيئة التقنية مثالية وخالية من العيوب. وتستثمر المؤسسات المال و الجهد لتحقيق ذلك. ولكن للتأكد من موقف الأمن السيبراني بشكل أقرب للواقع يمكن إجراء اختبار الاختراق (penetration test). يعتبر هذا الاختبار محاكاة لهجوم على النظم المعلوماتية للتحقق من نقاط الضعف وتقييم الأمن. يستخدم المختبرون نفس الأدوات والتقنيات والعمليات التي يستخدمها المهاجمون لتحديد نقاط الضعف في النظام. يهدف هذا الاختبار للتحقق من فعالية الضوابط الأمنية في بيئة معينة وتسليط الضوء على نقاط الضعف المحتملة. تتضمن هذه العملية تقنيات يدوية أو آلية مختلفة. ويتم إجراؤه لتقليل مخاطر فقدان البيانات الفعلي عبر استقراء خطط المهاجمين.
فوائد اختبار الاختراق
نظرياً، يجب أن يسمح لك اختبار الاختراق بمعرفة ما الذي سيجده الخصوم السيبرانيين المخترقين. قد يجد مختبرو الاختراق ذوو الخبرة العالية مشكلات دقيقة لم تلتقطها عمليات البحث الداخلية، ولكن يجب أن يكون هذا هو الاستثناء وليس القاعدة. يجب أن يكون الهدف دائماً هو استخدام نتائج تقرير اختبار الاختراق لتحسين تقييم نقاط الضعف الداخلية وعمليات الإدارة في مؤسستك. يقدم اختبار الاختراق العديد من الفوائد الرئيسية:
- تحديد نقاط الضعف الأمنية: اكتشاف نقاط الضعف قبل أن يفعلها المهاجمون.
- تحسين الوضع الأمني: تعزيز الدفاعات بناءاً على نتائج الاختبار.
- ضمان الامتثال: تلبية المعايير التنظيمية.
- تعزيز إدارة المخاطر: فهم المخاطر المحتملة والتخفيف منها.
- حماية السمعة: حماية سمعة المؤسسة من خلال منع الانتهاكات.
عادةً ما نستخدم اختبارات الاختراق لتحديد مستوى المخاطر الفنية الناتجة عن نقاط الضعف في البرامج والأجهزة. ويعتمد مدى دقة ذلك على التقنيات المستخدمة، وما هي الأهداف المسموح بها، ومقدار المعرفة بالنظام المقدمة مسبقاً للمختبرين ومقدار المعرفة عن الاختبار المتاحة لمسؤولي النظام. يمكن أن يمنح اختبار الاختراق واسع النطاق الثقة في أن المنتجات وضوابط الأمان التي تم اختبارها قد تم تكوينها وفقاً للممارسات الجيدة وأنه لا توجد ثغرات أمنية شائعة أو معروفة بشكل عام في المكونات التي تم اختبارها، خلال النطاق الزمني الذي تم فيه الاختبار.
خيارات متعددة والهدف واحد
يعد اختبار الاختراق طريقة مناسبة لتحديد المخاطر الموجودة على نظام محدد يتكون من منتجات وخدمات. ويمكن أيضاً تنفيذه على الأنظمة والتطبيقات التي تم تطويرها “داخلياً” قبل إطلاقها. وكذلك ما يلي:
- اختبار اختراق الشبكة: يتضمن فحص البنية المادية للنظام لتحديد المخاطر في شبكة المؤسسة. يتضمن ذلك اختبارات على الشبكة للعثور على عيوب في التصميم أو التشغيل أو التنفيذ.
- اختبار الاختراق الفيزيائي (المكاني): ويحاكي تهديدات العالم الحقيقي من خلال محاولة اختراق ضوابط الأمان المادية مثل الكاميرات والخزائن وأجهزة الاستشعار.
- اختبار اختراق تطبيقات الويب: يتحقق من الثغرات الأمنية في التطبيقات المستندة إلى الويب، وهو أمر بالغ الأهمية لمواقع التسوق عبر الانترنت والتطبيقات المصرفية ومنصات التجارة الإلكترونية الأخرى التي تتعامل مع المعاملات عبر الانترنت.
- اختبار اختراق الشبكات اللاسلكية: ويتضمن عمليات محاكاة وتقييمات أمنية لاستكشاف نقاط الضعف المحتملة في البنية التحتية اللاسلكية للنظام.
مراحل اختبار الاختراق
- جمع البيانات حول الهدف وتحديد الخدمات والتطبيقات التي تعمل على النظام أو الشبكة المستهدفة. ومن ثم، نمذجة التهديدات لتحديد سيناريوهات الهجوم المحتملة وتحديد الأجزاء الضعيفة من النظام. بعدها، سيتم اختيار الثغرة الأمنية بناءاً على المعلومات المجمعة ونمذجة التهديدات.
- اختيار الأدوات أو الأساليب المناسبة لاستغلال الثغرة الأمنية التي تم تحديدها للحصول على وصول غير مصرح به.
- إنشاء أبواب خلفية أو تثبيت برامج ضارة للاحتفاظ بإمكانية الوصول. وتقليل -أو مسح- البصمات الرقمية للحفاظ على سرية الاستغلال.
- توثيق النتائج وتقديم توصيات للعلاج.
أنواع اختبار الاختراق
اختبار الصندوق الأسود-Blackbox testing
لا تتم مشاركة أي معلومات مع المختبرين حول تفاصيل الهدف. يتم إجراء هذا النوع من الاختبارات من منظور خارجي ويهدف إلى تحديد طرق الوصول إلى أصول تكنولوجيا المعلومات الداخلية للمؤسسة. وهذا يمثل بشكل أكثر دقة المخاطر التي يواجهها المهاجمون غير المعروفين أو غير المنتمين إلى المنظمة المستهدفة. ومع ذلك، يمكن أن يؤدي نقص المعلومات أيضاً إلى بقاء الثغرات الأمنية غير مكتشفة.
اختبار الصندوق الأبيض-Whitebox testing
تتم مشاركة المعلومات الكاملة حول الهدف مع المختبرين. يؤكد هذا النوع من الاختبارات فعالية تقييم الثغرات الأمنية الداخلية وضوابط الإدارة من خلال تحديد وجود ثغرات أمنية معروفة في البرامج والتكوينات الخاطئة الشائعة في أنظمة المؤسسة.
اختبار الصندوق الرمادي Gray-box
مزيج من اختبار الصندوقين الأسود والأبيض، يتضمن هذا الأسلوب اختباراً بمعرفة جزئية بالنظام، وغالباً ما يستخدم لاختبار تطبيقات الويب.
أدوات اختبار الاختراق
من المهم لمختبري الاختراق استخدام مجموعة متنوعة من الأدوات، لتحقيق ما يلي:
- تحديد المنافذ المفتوحة في النظام. يساعد ذلك المختبرين على تحديد نظام التشغيل والتطبيقات التي تعمل حالياً على الشبكة التي يحاولون الوصول إليها. يمكن من خلال هذه المعلومات التعرف على نواقل الهجوم المحتملة.
- البحث عن نقاط الضعف المعروفة في الخوادم وأنظمة التشغيل والتطبيقات، بالإضافة إلى التكوينات الخاطئة التي يمكن استغلالها في الاختبار. تساعد التقارير التي تقدمها أدوات فحص الثغرات مختبري الاختراق على تحديد أي ثغرة أمنية قابلة للاستغلال والتي ستمنحهم الوصول الأولي إلى النظام.
- مراقبة المعلومات عبر الشبكة، بما في ذلك مصدرها ووجهتها وأجهزة الاتصال على الشبكة والبروتوكولات والمنافذ المستخدمة. يمكن أن يكون هذا مفيداً للتحقق مما إذا كانت البيانات مشفرة وتحديد مسارات الاتصال التي يمكن استغلالها أثناء اختبار الاختراق.
- اعتراض وتعديل حركة المرور بين متصفح مختبري الاختراق وخوادم الويب الخاصة بالمؤسسة. ويساعدهم ذلك على اكتشاف حقول النماذج المخفية وميزات HTML الأخرى التي قد تمكن الهجمات مثل البرمجة النصية عبر المواقع (XSS).
- تعد تجزئة كلمة المرور (password hashing) هدفاً شائعاً للمهاجمين كوسيلة لتصعيد الامتيازات في النظام أو الشبكة المستهدفة. تسمح برامج اختراق كلمات المرور لمختبري الاختراق بتحديد ما إذا كان موظفو المؤسسة يستخدمون كلمات مرور ضعيفة قد يتم اساءة استخدامها.
كلمة أخيرة
يجب إجراء اختبارات الاختراق بواسطة موظفين مؤهلين وذوي خبرة. ولا يمكن اعتبار اختبارات الاختراق مثالية، أو أن نفترض أنه لدينا مجموعة مكتملة ،بالمطلق، من حالات الاختبار Use cases. ولذلك، فإن جودة اختبار الاختراق ترتبط ارتباطاً عضوياً بقدرات مختبري الاختراق. كذلك، يمكن لاختبار الاختراق التحقق من أن أنظمة تكنولوجيا المعلومات في مؤسستك ليست عرضة للمشكلات المعروفة في يوم الاختبار. وعادة يمر عام أو أكثر بين اختبارات الاختراق. لذلك، يمكن أن توجد نقاط الضعف لفترات طويلة من الوقت دون علمك بها، إلا إذا لم تكُ اختبارات الاختراق وسيلتك الوحيدة للتحقق من سلامة الأمن في المؤسسة.
