فهم أفضل لأنواع اختبارات الاختراق الموجودة اليوم وما هو الغرض من كل منها
من قبل لوكاس لانكا وكاسيو ليما، أعضاء فريق الأمن السيبراني في Kryptus EED. جنوب أفريقيا
وقد أدى ارتفاع عدد وخطورة هجمات القراصنة، فضلاً عن الوعي بالأضرار التي يمكن أن تسببها للمنظمة، إلى تسليط الضوء على الحاجة إلى البحث عن خدمات متخصصة في مجال أمن المعلومات لديها القدرة على منع أو تخفيف مثل هذه الهجمات.
Um pentestأو اختبار الاختراق، هو هجوم إلكتروني محاكاة ضد نظام لتقييم أمنه. الهدف هو اختبار وإثبات صحة تنفيذ الأمان، وتحديد نقاط الضعف واقتراح تحسينات على آليات الدفاع وسياسات الأمان الخاصة بالمؤسسة. من حيث المبدأ، الفرق بين اختبار التطفل وهجوم القراصنة هو فقط الترخيص بتنفيذ الهجوم والتخفيف من الأضرار عند تنفيذه في بيئة إنتاجية.
ظهرت ممارسة تشكيل مجموعات من خبراء القرصنة الحاسوبية لاختبار أمن الأنظمة في سبعينيات القرن العشرين. معروف باسم فرق النمرساعد هؤلاء المحترفون في تحديد معايير ومنهجية ما يسمى باختبار الاختراق؛ كانوا رواد اختبار الاختراق. وعلى الرغم من تواجدها في مجال أمن المعلومات منذ ذلك الوقت، إلا أنه في العقد الماضي فقط اكتسبت شخصية الهاكر المحترف قبولاً أكبر داخل المجتمع.
مع الأخذ في الاعتبار الحاجة المتزايدة إلى التعاقد مع خدمات الطرف الثالث في الأمن السيبرانيمن المهم فهم المواقف التي يكون فيها من المناسب إجراء اختبار التطفل، بالإضافة إلى أشكال اختبار التطفل المختلفة التي يمكن تنفيذها.
بشكل عام، يتم تصنيف اختبار الاختراق غالبًا على أنه الصندوق الأسود, صندوق رماديأو صندوق أبيض، التصنيف المتعلق بكمية المعلومات التي سيتلقاها المختبر حول التطبيق.
في الاختبار الصندوق الأسود لم يتم تقديم أي معلومات حول التطبيق أو البنية التحتية التي تعرضت للهجوم. يتم وضع جهاز اختبار الاختراق في موضع القراصنة شائع. الغرض من ذلك هو تحديد نقاط الضعف في النظام التي تكون عرضة للإساءة من خارج البيئة، وغالبًا ما تستغرق خطوات العد السطحي وقتًا أطول في هذا النوع من الاختبار بحثًا عن الوصول الأولي.
صندوق رمادي هو الاختبار الذي يتم فيه مُختبِر الاختراق لديه بعض المعرفة الداخلية بالنظام، كمستخدم عادي أو حتى كمستخدم يتمتع بامتيازات أكثر، بالإضافة إلى بعض المعلومات حول البنية التحتية أو تشغيل التطبيق. ويهدف إلى إجراء تقييم أكثر تعمقًا من الاختبار الصندوق الأسود وتمكن من تطوير الاختبارات بطريقة أكثر استهدافًا للأنظمة ذات المخاطر العالية. باستخدام حسابات النظام الداخلية، من الممكن محاكاة الهجمات من قبل الخصوم الذين لديهم إمكانية الوصول المستمر إلى النظام.
الاختبارات صندوق أبيض هي تلك التي يتم فيها توفير الوصول الكامل إلى الكود المصدر والوثائق، من بين أمور أخرى. يمكن أن يتضمن هذا النوع من الاختبار تحليل الكود الثابت بالإضافة إلى الاختبار الديناميكي. من الناحية النظرية يتطلب هذا التحليل مزيدًا من الوقت لإجرائه ولديه القدرة على تحديد جميع نقاط الضعف الموجودة في التطبيق.
يمكن إجراء أنواع مختلفة من اختبارات الاختراق في سيناريوهات مختلفة، مثل تطبيقات الويب أو تطبيقات الهاتف المحمول أو مباشرة على البنية التحتية للعميل. يمكن أيضًا إجراؤها في أوقات مختلفة في دورة تطوير التطبيق، أو لتلبية متطلبات محددة، على سبيل المثال، للتحقق من أمان تطبيق تابع لجهة خارجية يتم شراؤه، أو لتلبية متطلبات الامتثال أو للتحقق مما إذا كان وضع الأمان الحالي يلبي توقعات الشركة.
إن هذا التنوع في المواقف هو أحد خصائص القطاع، والذي يتطلب محترفين مدربين ومؤهلين تأهيلا عاليا للقيام بأنشطة في بيئات مختلفة للغاية وتكييف المعرفة حول مجموعة واسعة من نقاط الضعف وأخطاء التطوير مع الأنظمة التي يتم اختبارها.
بمجرد تحديد نطاق وأهداف الاختبار، يتم توفير الوصول إلى فريق اختبار الاختراق، الذين سيستمرون في إجراء الاختبارات وفقًا للبيئة التي يتم فيها إدراج التطبيق والإطارات المعتمدة لإجراء الاختبارات. يعتمد الاختبار الفعال بشكل كبير على قدرة المختبر على تعداد البيئة، والبحث بشكل منهجي عن النقاط التي يمكن إساءة استخدامها، وتحديد متجهات الهجوم المحتملة، ومحاولة إساءة الاستخدام، ومحاولة رفع الامتيازات، والعودة إلى مرحلة التعداد.
يمكن الإبلاغ عن نتائج الاختبار للعميل بطرق مختلفة، وعادة ما يتم ذلك باتباع معايير الإبلاغ المحددة في أطر اختبار التطفل أو من خلال منصات متكاملة مع فريق التطوير، اعتمادًا على إدراج الاختبار في دورة التطوير. بالإضافة إلى الإشارة إلى نقاط الضعف التي تم تحديدها، فمن الشائع تقديم توصيات للحلول الممكنة والإشارة إلى المراجع التي يمكن أن تساهم في تطوير الحل أو فهم المشكلة. بمجرد إجراء أي تصحيحات، يوصى بإجراء اختبار جديد للتأكد من حل المشكلات التي تم تحديدها بشكل صحيح.
هجمات القراصنة أصبحت شائعة بشكل متزايد وسوف تصل في نهاية المطاف إلى معظم الشركات. يعد إجراء اختبارات التطفل جزءًا أساسيًا من عملية تقييم وتحسين أمان التطبيق أو النظام. تحتاج المنظمة إلى إنشاء سياسات أمنية تهدف إلى تقليل سطح الهجوم وإعدادها للاستجابة للحوادث الأمنية عند حدوثها. لم يعد من الضروري أن نفكر في "ما إذا كان الهجوم سيحدث"، بل في "متى سيحدث الهجوم".
تقدم شركة Kryptus حلول اختبار الاختراق لتطبيقات الويب وتطبيقات الأجهزة المحمولة التي تعمل بنظامي التشغيل Android وiOS والبنية الأساسية ومراجعة الأجهزة/البرامج الثابتة ورمز المصدر.
يتعرف زوار الجناح البرازيلي في معرض ميليبول باريس على الابتكارات في مجال الحماية الشخصية والأمن السيبراني والذخيرة اقرأ المزيد
تابع Kryptus على Google News بقلم: Allan Costa Tecnocomp، إحدى أكبر شركات التكنولوجيا في العالم اقرأ المزيد