تستمر مساحة الإنترنت في النمو بسرعة، ما يتيح المزيد من الفرص للهجمات الإلكترونية التي تحدث داخل نظام الكمبيوتر أو الشبكة أو تطبيق الويب. للتخفيف من هذه المخاطر والاستعداد لها، يُعَد اختبار الاختراق خطوة ضرورية في العثور على الثغرات الأمنية التي قد يستخدمها المهاجم.
اختبار الاختراق هو اختبار أمني يتم إجراؤه لمحاكاة هجوم إلكتروني في أثناء العمل. قد يتضمن الهجوم الإلكتروني محاولة تصيد احتيالي أو اختراقًا لنظام أمان الشبكة. هناك أنواع مختلفة من اختبار الاختراق المتاحة للمؤسسات اعتمادًا على الضوابط الأمنية اللازمة. يمكن إجراء الاختبار يدويًا أو باستخدام أدوات آلية من خلال منظور مسار عمل محدد، أو منهجية اختبار الاختراق.
يتم في بعض الأحيان استخدام مصطلحي "الاختراق الأخلاقي" و"اختبار الاختراق" بالتبادل، ولكنّ هناك فرقًا بينهما. القرصنة الأخلاقية هي مجال أوسع للأمن السيبراني يتضمن أي استخدام لمهارات القرصنة لتحسين أمان الشبكة. أما اختبارات الاختراق فليست سوى إحدى الطرق التي يستخدمها المخترقون الأخلاقيون. قد يوفر المتسللون الأخلاقيون أيضًا تحليلاً للبرامج الضارة وتقييمًا للمخاطر وأدوات وتقنيات قرصنة أخرى للكشف عن نقاط الضعف الأمنية وإصلاحها بدلاً من التسبب في ضرر.
وجد تقرير IBM لتكلفة اختراق أمن البيانات لعام 2023 أن متوسط التكلفة العالمية لاختراق أمن البيانات في عام 2023 سيُقدَّر بقيمة 4.45 ملايين دولار أمريكي، وهو ما يمثل زيادة بنسبة 15% على مدى 3 سنوات. وتتمثل إحدى طرق التخفيف من عمليات الاختراق هذه في إجراء اختبار اختراق دقيق وموجَّه.
تستأجر الشركات مختبري الاختراق لشن هجمات محاكية ضد تطبيقاتها وشبكاتها وأصولها الأخرى. ومن خلال تنظيم هجمات وهمية، يساعد مختبرو الاختراق فِرَق الأمن على الكشف عن نقاط الضعف الأمنية الحرجة وتحسين الوضع الأمني العام. غالبًا ما يتم تنفيذ هذه الهجمات بواسطة الفِرَق الحمراء أو فِرَق الأمن الهجومية. يحاكي الفريق الأحمر أساليب المهاجمين الحقيقيين (TTPs) وتقنياتهم وإجراءاتهم ضد نظام المؤسسة الخاص كوسيلة لتقييم المخاطر الأمنية.
هناك العديد من منهجيات اختبار الاختراق التي يجب مراعاتها عند بدء تنفيذ عملية اختبار الاختراق. يعتمد اختيار المؤسسة على فئة المؤسسة المستهدفة والهدف من اختبار الاختراق ونطاق اختبار الأمان. لا يوجد نهج واحد يناسب الجميع. لِذا يتعين على المؤسسة فهم مشكلاتها وسياستها الأمنية كي يتم التمكُّن من إجراء تحليل عادل للثغرات الأمنية قبل عملية اختبار الاختراق.
تتمثل إحدى الخطوات الأولى في عملية اختبار الاختراق في تحديد المنهجية التي يجب اتباعها.
فيما يلي، سنتحدث بالتفصيل عن خمسة من أكثر أطر اختبار الاختراق ومنهجياته شيوعًا للمساعدة على توجيه الأطراف المعنية والمؤسسات إلى أفضل طريقة لاحتياجاتهم الخاصة والتأكد من تغطيتها لجميع المجالات المطلوبة.
يُعَد دليل منهجية اختبار الأمان مفتوحة المصدر (OSSTMM) أحد أكثر معايير اختبار الاختراق شيوعًا. تمّت مراجعة هذه المنهجية من قِبَل مختصين آخرين في المجال لاختبار الأمان وتم إنشاؤها بواسطة معهد الأمن والمنهجيات المفتوحة (ISECOM).
تعتمد الطريقة على نهج علمي لاختبار الاختراق مع أدلة يسهُل الوصول إليها وقابلة للتكيف مع المختبرين. يتضمن نظام OSSTMM ميزات رئيسية، مثل التركيز التشغيلي، واختبار القنوات، وتجليل المقاييس والثقة في منهجيته.
يوفر نظام OSSTMM إطار عمل لاختبار اختراق الشبكة وتقييم الثغرات الأمنية لمحترفي اختبار الاختراق. وهو مصمم ليكون إطار عمل لمزودي الخدمات لاكتشاف الثغرات ومعالجتها، مثل البيانات الحساسة والمشكلات المتعلقة بالمصادقة.
يُعَد هذا المشروع، الذي يُشار إليه بالاختصار OWASP، مؤسسة مفتوحة المصدر مكرسة لأمن تطبيقات الويب.
هدف المنظمة غير الربحية هو إتاحة جميع موادها مجانًا وتسهيل الوصول إليها لأي شخص يريد تحسين أمان تطبيقات الويب الخاصة به. يحتوي مشروع OWASP على قائمة خاصة به لأفضل 10 مشكلات ومخاطر أمنية (الرابط موجود خارج موقع ibm.com)، وهو تقرير يتم تحديثه بشكل دوري ويوضح أكبر المخاوف والمخاطر الأمنية التي تهدد تطبيقات الويب، مثل البرمجة النصية عبر المواقع، والمصادقة غير الصحيحة، والتسلل خلف جدار الحماية. يستخدم OWASP قائمة أفضل 10 كأساس لدليل اختبار OWASP الخاص به.
ينقسم الدليل إلى ثلاثة أجزاء: إطار عمل اختبار OWASP لتطوير تطبيقات الويب، ومنهجية اختبار تطبيقات الويب وإعداد التقارير. يمكن استخدام منهجية تطبيق الويب بشكل منفصل أو كجزء من إطار عمل اختبار الويب لاختبار اختراق تطبيقات الويب واختبار اختراق تطبيقات الأجهزة المحمولة واختبار اختراق واجهة برمجة التطبيقات واختبار اختراق إنترنت الأشياء.
يُعَد هذا المعيار طريقة شاملة لاختبار الاختراق.
تم تصميم هذا المعيار بواسطة فريق من المتخصصين في أمن المعلومات ويتكون من سبعة أقسام رئيسية تغطي جميع جوانب اختبار الاختراق. الغرض منه هو الحصول على إرشادات فنية لتحديد ما يجب أن تتوقعه المؤسسات من اختبار الاختراق وتوجيهها طوال العملية، بدءًا من مرحلة ما قبل المشاركة.
يهدف معيار تنفيذ اختبار الاختراق إلى أن يكون خط الأساس لاختبارات الاختراق وأن يوفر منهجية موحدة لمتخصصي الأمن والمؤسسات. يوفر الدليل مجموعة من الموارد، مثل أفضل الممارسات في كل مرحلة من مراحل عملية اختبار الاختراق، من البداية إلى النهاية. بعض السمات الرئيسية لهذا المعيار هي الاستغلال وما بعد الاستغلال. يُشير الاستغلال إلى عملية الوصول إلى نظام من خلال تقنيات الاختراق مثل الهندسة الاجتماعية وكسر كلمة المرور. ويحدث ما بعد الاستغلال عندما يتم استخراج البيانات من نظام مخترق ويتم الحفاظ على الوصول.
إطار تقييم أمن نظام المعلومات (ISSAF) هو إطار اختبار الاختراق الذي تدعمه مجموعة أمن نظم المعلومات (OISSG).
لم يَعُد يتم تحديث هذه المنهجية ومن المحتمل ألا تكون أفضل مصدر لأحدث المعلومات. ومع ذلك، فإن إحدى نقاط قوتها الرئيسية هي أنها تربط خطوات اختبار الاختراق الفردية بأدوات اختبار اختراق محددة. يمكن أن يكون هذا النوع من التنسيق أساسًا جيدًا لإنشاء منهجية فردية.
يُشار إليه بالاختصار NIST، وهو إطار عمل للأمن السيبراني يوفر مجموعة من معايير اختبار الاختراق للحكومة الفيدرالية والمؤسسات الخارجية لاتِّباعها. يُعَد معهد NIST وكالة داخل وزارة التجارة الأمريكية ويجب اعتبارها الحد الأدنى من المعايير التي يجب اتباعها.
يتوافق اختبار الاختراق الخاص بالمعهد مع التوجيهات الصادرة عن المعهد. وللامتثال لهذه التوجيهات، يجب على المؤسسات إجراء اختبارات الاختراق من خلال اتباع مجموعة من التوجيهات المحددة مسبقًا.
قبل بدء اختبار الاختراق، يحدد فريق الاختبار والشركة نطاقًا للاختبار. يحدد النطاق الأنظمة التي سيتم اختبارها، ووقت إجراء الاختبار، والطرق التي يمكن لمختبري الاختراق استخدامها. ويحدد النطاق أيضًا مقدار المعلومات التي سيحصل عليها مختبرو الاختراق مسبقًا.
تتمثل الخطوة التالية في اختبار خطة تحديد النطاق وتقييم نقاط الضعف والوظائف. في هذه الخطوة، يمكن إجراء فحص الشبكة والثغرات الأمنية للحصول على فهم أفضل للبنية التحتية للمؤسسة. ويمكن إجراء الاختبار الداخلي والاختبار الخارجي حسب احتياجات المؤسسة. هناك مجموعة متنوعة من الاختبارات التي يمكن للمختبرين إجراؤها، بما في ذلك اختبار الصندوق الأسود، واختبار الصندوق الأبيض، واختبار الصندوق الرمادي. يوفر كل منها درجات متفاوتة من المعلومات حول النظام المستهدف.
بمجرد بناء نظرة عامة على الشبكة، يمكن للمختبرين البدء بتحليل النظام والتطبيقات ضمن النطاق المحدد. في هذه الخطوة، يقوم مختبرو الاختراق بجمع أكبر قدر ممكن من المعلومات لفهم أي تكوينات خطأ.
الخطوة الأخيرة هي الإبلاغ واستخلاص المعلومات. في هذه الخطوة، من المهم إعداد تقرير لاختبار الاختراق يتضمن جميع نتائج الاختبار التي تحدد نقاط الضعف التي تم تحديدها. ويجب أن يتضمن التقرير خطة للتخفيف والمخاطر المحتملة إذا لم يتم العلاج.
إذا حاولت اختبار كل شيء، فسوف تضيع وقتك وميزانيتك ومواردك. من خلال استخدام منصة للتواصل والتعاون تحتوي على بيانات تاريخية، يمكنك تجميع الشبكات والتطبيقات والأجهزة والأصول الأخرى عالية المخاطر وإدارتها وتحديد أولوياتها لتحسين برنامج اختبار الأمان الخاص بك. تمكِّن بوابة X-Force Red جميع المشاركين في عملية المعالجة من عرض نتائج الاختبار فور اكتشاف الثغرات الأمنية وجدولة اختبارات الأمان في الوقت الذي يناسبهم.