يقوم محترفو الاختراق، الذين يطلق عليهم اسم المتسللين الأخلاقيين او مجرمي الانترنت، بتقييم أمان البنى التحتية لتكنولوجيا المعلومات من خلال بيئة خاضعة للرقابة لمهاجمة الثغرات وتحديدها واستغلالها بأمان، كما يبدأون بالعديد من الاختبارات مثل اختبار الخوادم والشبكات وتطبيقات الويب والأجهزة المحمولة ونقاط الدخول المحتملة الأخرى للوصول الى ثغرات ونقاط الضعف.
ما هو اختبار الاختراق؟
اختبار الاختراق المعروف أيضًا باسم اختبار القلم أو القرصنة الأخلاقية، هو عملية منهجية لتحديد واستكشاف نقاط الضعف في الشبكات والبنية التحتية والتطبيقات والبرامج، حيث يمكنه أيضًا فحص تدابير الأمان المادي أو تحديد نقاط الضعف الأمنية لدى الأشخاص الاختبار الاجتماعي، إنه في الأساس شكل خاضع للرقابة من القرصنة، يعمل المهاجمون نيابة عن المستخدم للعثور على نقاط الضعف التي يمكن للمجرمين استغلالها واختبارها.
قد تشمل هذه التكوين غير الكافي أو غير المناسب وعيوب في الأجهزة أو البرامج ونقاط الضعف التشغيلية في العمليات أو التدابير المضادة التقنية وقابلية الموظفين للتعرض للتصيد وهجمات الهندسة الاجتماعية الأخرى، كما يتم القيام باختبار الاختراق دائما بواسطة تقنيات يدوية أو آلية لتسوية الخوادم ونقاط النهاية وتطبيقات والأجهزة المحمولة الويب والشبكات اللاسلكية وأجهزة الشبكة وغيرها من نقاط التعرض المحتملة بشكل منهجي.
مراحل اختبار الاختراق
من خلال اختبار الاختراق، يمكن للمستخدم تحديد نقاط الضعف الأمنية الأكثر قابلية للاستغلال بشكل استباقي قبل أن يقوم شخص آخر بذلك، ومع ذلك، هناك الكثير مما هو عليه من فعل التسلل الفعلي، حيث ان اختبار الاختراق هو مشروع شامل ومدروس يتكون من عدة مراحل منها:
التخطيط والتحضير
تدعي العديد من الأقوال المأثورة القديمة استيراد التحضير، وعندما يتعلق الأمر باختبار الاختراق، فإن التخطيط هو بالفعل مفتاح النجاح، هناك طرق متعددة للتعامل مع اختبار القلم وتحديد الأهداف وتحديد النطاق وفقًا لذلك هو المفتاح لضمان الحصول على أقصى استفادة من العملية، لذلك يجب الوضع في الاعتبار مجموعة من التساؤلات للتأكد من توافق التوقعات مع المختبرين والحصول على المعلومات التي يتم البحث عنها.
- هل يريد المستخدم اختبارًا خارجيًا يحاكي هجومًا من شخص أو منظمة خارجية أو اختبارًا داخليًا يحاكي هجومًا من شخص من الداخل أو مهاجم لديه موطئ قدم داخل المنظمة.
- هل من الأفضل أن يعرف فريق الأمان الخاص أن اختبار القلم على وشك إجراءه، أم الأفضل أن يتم إجراؤه سراً لتحديد مدى فعاليته في اكتشاف النشاط.
- مقدار المعلومات التي يريد المستخدم مشاركتها مع أدوات اختبار القلم مسبقًا.
- مدى العدوانية المسموح بها لمختبري القلم.
الإكتشاف
بمجرد إنشاء النطاق، يمكن لفرق اختبار القلم العمل، في مرحلة الاكتشاف هذه، تقوم الفرق بإجراء أنواع مختلفة من الاستطلاع على هدفهم، من الناحية الفنية، يمكن أن تساعد المعلومات مثل عناوين (IP) في تحديد معلومات حول جدران الحماية والوصلات الأخرى، حيث يمكن أن يكون لبيانات بسيطة مثل الأسماء والمسميات الوظيفية وعناوين البريد الإلكتروني قيمة كبيرة، كما يمكن للمهاجمين استخدام هذه البيانات لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي أو معرفة من قد يكون لديه بيانات اعتماد مميزة، والتي يمكنهم من خلالها الوصول الكامل إلى البيئة، بالإضافة إلى ذلك، قبل استغلال النظام، يجب أن تبحث فرق اختبار القلم عن نقاط الضعف في البيئة، غالبًا ما يشار إليها باسم البصمة، تتضمن مرحلة الاكتشاف هذه جمع أكبر قدر ممكن من المعلومات حول الأنظمة والشبكات المستهدفة وأصحابها دون محاولة اختراقها.
محاولة الاختراق والاستغلال
بعد أن تم إخبارهم بهدفهم، يمكن لمختبري القلم البدء في استخدام نقاط الدخول المكتشفة حديثًا واختبار جميع نقاط الضعف التي اكتشفوها، حيث سيحاولون دخول الهدف من خلال نقاط الدخول المحددة، لكن مختبري القلم سيفعلون أكثر بكثير من مجرد محاولة الوصول، فبمجرد دخولهم إلى نظام مخترق، سيحاولون رفع امتيازات الوصول الخاصة بهم داخل البيئة، مما يسمح لهم باتخاذ أي عدد من الإجراءات الإضافية، كما يتيح الحصول على امتيازات إدارية لمختبري القلم تحديد نقاط الضعف الأمنية في المناطق والموارد الأخرى، مثل التكوين السيئ أو الوصول غير المحمي إلى البيانات الحساسة أو الإدارة غير الفعالة للحسابات وكلمات المرور.
بالإضافة إلى ذلك، يمكن اختبار أنواع متعددة من الأصول، بالإضافة إلى البنية التحتية للشبكة المحلية ومحطات العمل التي تتوقع أنها قد تكون عرضة للهجوم، كما يمكن أيضًا اختبار الأجهزة المحمولة وتطبيقات الويب وحتى أجهزة إنترنت الأشياء مثل الكاميرات الأمنية.
التحليل والإبلاغ
يجب أن يتتبع مختبرو القلم بعناية كل ما يفعلونه أثناء عملية الاكتشاف والاستغلال، حيث يمكنهم إنشاء تقرير يتضمن كل هذه التفاصيل، مع إبراز ما تم استخدامه لاختراق النظام بنجاح، وما هي نقاط الضعف الأمنية التي تم العثور عليها وأي معلومات أخرى ذات صلة تم اكتشافها، كما يمكن أن تساعد فرق اختبار القلم في تحديد العناصر ذات الأولوية القصوى التي يجب على المؤسسة الاهتمام بها في أقرب وقت ممكن، بالإضافة إلى اقتراحات لطرق العلاج.
التنظيف والعلاج
تمامًا كما هو الحال مع الهجوم الحقيقي، يمكن لمختبري القلم ترك أدلة، حيث من الأهمية بمكان الرجوع إلى الأنظمة وإزالة أي عناصر أثرية مستخدمة أثناء الاختبار، كما يمكن الاستفادة منها في المستقبل من قبل شخص لديه نوايا ضارة، فبمجرد اكتمال ذلك، يمكن للمؤسسة متابعة أعمال إصلاح نقاط الضعف الأمنية التي تم اكتشافها وتحديد أولوياتها خلال مرحلة الاختبار، كما قد يشمل ذلك أيضا وضع ضوابط تعويضية لحماية نقاط الضعف التي لا يمكن معالجتها بسهولة، أو حتى الاستثمار في حلول جديدة يمكنها تبسيط الأمن وتحسين الكفاءة.
إعادة الاختبار
يجب استخدام اختبارات الاختراق بشكل متكرر، خاصة عند نشر تطبيقات أو بنية أساسية جديدة، حتى إذا اعتقد المستخدم أن المؤسسة قد نجحت في حل كل نقطة ضعف مدرجة في تقارير سابقة، فإن أفضل طريقة لضمان فعالية للعلاج هي الاختبار مرة أخرى، بالإضافة إلى ذلك، تتطور بيئات تكنولوجيا المعلومات والأساليب المستخدمة لمهاجمتها باستمرار، لذا فمن المتوقع ظهور نقاط ضعف جديدة.
مع وجود العديد من الانتهاكات التي تهيمن على الأخبار، أصبح من الأهمية بمكان أكثر من أي وقت مضى تقليل فرصة تعرض سمعة المؤسسة وموثوقيتها للخطر، كما يجب على المنظمات أن تفعل كل ما في وسعها لفهم وتجنب السلوكيات التي تعرضها للخطر، يعد اختبار القلم جزءًا أساسيًا من استراتيجية تقييم المخاطر ويساعد على ضمان أن المؤسسة تقلل من فرصة حدوث خرق ضار داخل البيئة.
الاختبار الخارجي
تستهدف اختبارات الاختراق الخارجية أصول الشركة المرئية على الإنترنت، على سبيل المثال، تطبيق الويب نفسه وموقع الشركة على الويب وخوادم البريد الإلكتروني واسم المجال (DNS)، الهدف هو الوصول إلى البيانات القيمة واستخراجها.
الاختبار الداخلي
في اختبار داخلي، يقوم المختبِر الذي يتمتع بإمكانية الوصول إلى تطبيق خلف جدار الحماية الخاص به بمحاكاة هجوم بواسطة شخص ضار من الداخل، هذا ليس بالضرورة محاكاة موظف مارق، يمكن أن يكون سيناريو البداية الشائع موظفًا سُرقت بيانات اعتماده بسبب هجوم تصيد احتيالي.
الاختبار الخفي
في الاختبار الخفي، يُعطى المختبِر فقط اسم المؤسسة المستهدفة، يمنح هذا أفراد الأمن نظرة في الوقت الفعلي حول كيفية حدوث هجوم فعلي على التطبيق.
الأختبار مزدوج
في الاختبارات المزدوجة، ليس لدى أفراد الأمن معرفة مسبقة بالهجوم المحاكي، كما هو الحال في العالم الحقيقي، لن يكون لديهم أي وقت لتعزيز دفاعاتهم قبل محاولة الاختراق.
الاختبار المستهدف
في هذا الاختبار يعمل كل من المختبِر وأفراد الأمن معًا ويحافظون على تقييم بعضهم البعض لتحركاتهم، هذا تمرين تدريبي قيم يزود فريق الأمان بتعليقات في الوقت الفعلي من وجهة نظر المتسلل.