عند إعداد نظام أمان جديد ، عليك التأكد من أنه يعمل بشكل صحيح مع أقل عدد ممكن من الثغرات الأمنية. عندما يتعلق الأمر بأصول رقمية بقيمة آلاف الدولارات ، لا يمكنك تحمل التعلم من أخطائك وسد فقط الثغرات في أمنك التي استغلها المتسللون سابقًا.

أفضل طريقة لتحسين وضمان أمان شبكتك هو الاختبار المستمر لها والبحث عن العيوب التي يجب إصلاحها.

ما هو اختبار الاختراق؟

إذن ما هو اختبار القلم؟

اختبار الاختراق ، المعروف أيضًا باسم اختبار القلم ، هو هجوم أمن إلكتروني منظم يحاكي حادثًا أمنيًا حقيقيًا. يمكن أن يستهدف الهجوم المحاكي جزءًا أو عدة أجزاء من نظام الأمان لديك ، ويبحث عن نقاط ضعف يمكن أن يستغلها المتسلل الضار

ما يميزه عن الهجوم السيبراني الفعلي هو أن الشخص الذي يقوم بذلك هو مخترق ذو قبعة بيضاء - أو مخترق أخلاقي - تقوم بتعيينه. لديهم المهارات اللازمة لاختراق دفاعاتك دون النية الخبيثة لنظرائهم من ذوي القبعة السوداء.

أنواع الأسفار

هناك العديد من الأمثلة على المخترقين اعتمادًا على نوع الهجوم الذي يشنه المخترق الأخلاقي ، والمعلومات التي يحصلون عليها مسبقًا ، والقيود التي وضعها موظفهم.

يمكن أن يكون pentest واحدًا واحدًا أو مجموعة من أنواع pentest الأولية ، والتي تشمل:

instagram viewer

من الداخل بنتست

يحاكي أحد المطلعين الداخليين أو المختبرين الداخليين هجومًا إلكترونيًا من الداخل ، حيث يتظاهر مخترق ضار بأنه موظف شرعي ويكتسب حق الوصول إلى الشبكة الداخلية للشركة.

يعتمد هذا على العثور على عيوب أمنية داخلية مثل امتيازات الوصول ومراقبة الشبكة ، بدلاً من الثغرات الخارجية مثل جدار الحماية ومكافحة الفيروسات وحماية نقطة النهاية.

دخيل بينتيست

كما يوحي الاسم ، لا يمنح هذا النوع من الاختبارات التجريبية المخترق أي وصول إلى الشبكة الداخلية للشركة أو الموظفين. إنه يترك لهم خيار الاختراق من خلال التكنولوجيا الخارجية للشركة مثل مواقع الويب العامة ومنافذ الاتصال المفتوحة.

يمكن أن تتداخل الآفات الخارجية مع الهندسة الاجتماعية ، حيث يخدع الهاكر و يتلاعب بموظف لمنحه حق الوصول إلى الشبكة الداخلية للشركة ، بما يتجاوز الشبكة الخارجية الحماية.

Pentest مدفوعة بالبيانات

باستخدام pentest تعتمد على البيانات ، يتم تزويد المتسلل بمعلومات وبيانات أمنية حول هدفه. هذا يحاكي هجوم موظف سابق أو شخص حصل على بيانات أمنية مسربة.

الخماسي الأعمى

على عكس الاختبار المستند إلى البيانات ، فإن الاختبار الأعمى يعني أن المخترق لا يحصل على أي معلومات من أي نوع حول هدفه بخلاف اسمه وما هو متاح للجمهور.

عمياء مزدوجة

بالإضافة إلى اختبار إجراءات الأمان الرقمية للشركة (الأجهزة والبرامج) ، يشمل هذا الاختبار موظفي الأمن وتكنولوجيا المعلومات أيضًا. في هذا الهجوم المنظم ، لا أحد في الشركة على علم بالأمر المخترق ، مما يجبرهم على الرد كما لو كانوا يواجهون هجومًا إلكترونيًا ضارًا.

يوفر هذا بيانات قيمة حول الأمن العام للشركة واستعداد الموظفين وكيفية تفاعل الاثنين.

كيف يعمل اختبار الاختراق

على غرار الهجمات الضارة ، يحتاج القرصنة الأخلاقية إلى تخطيط دقيق. هناك العديد من الخطوات التي يجب على المخترق الأخلاقي اتباعها لضمان نجاح اختبار pentest ينتج عنه رؤى قيمة. هنا نظرة ثاقبة منهجية pentest.

1. جمع المعلومات والتخطيط

سواء أكان المخترق مكفوفًا أو مدفوعًا بالبيانات ، يحتاج المخترق أولاً إلى جمع معلومات عن هدفه في موقع واحد والتخطيط لنقطة الهجوم حوله.

2. تقييم الضعف

والخطوة الثانية هي فحص طرق الهجوم ، والبحث عن الثغرات ونقاط الضعف لاستغلالها. يسعى المتسلل إلى الحصول على نقاط وصول ، ثم يجري عدة اختبارات صغيرة الحجم لمعرفة كيف يتفاعل نظام الأمان.

3. استغلال نقاط الضعف

بعد العثور على نقاط الدخول الصحيحة ، سيحاول المخترق اختراق أمانه والوصول إلى الشبكة.

هذه هي خطوة "القرصنة" الفعلية التي يستخدمون فيها كل طريقة ممكنة لتجاوز بروتوكولات الأمان وجدران الحماية وأنظمة المراقبة. يمكنهم استخدام طرق مثل حقن SQL ، هجمات الهندسة الاجتماعية، أو البرمجة النصية عبر المواقع.

ما هي الهندسة الاجتماعية؟ إليك كيف يمكن أن يتم اختراقك

تعرف على كيفية تأثير الهندسة الاجتماعية عليك ، بالإضافة إلى أمثلة شائعة لمساعدتك على تحديد هذه المخططات والبقاء في مأمن منها.

4. الحفاظ على الوصول السري

تعتمد معظم أنظمة الدفاع عن الأمن السيبراني الحديثة على الاكتشاف بقدر ما تعتمد على الحماية. لكي ينجح الهجوم ، يحتاج المتسلل إلى البقاء داخل الشبكة دون أن يتم اكتشافه لفترة طويلة بما يكفي لتحقيق هدفهم ، سواء كان ذلك تسريب البيانات ، أو إتلاف الأنظمة أو الملفات ، أو التثبيت البرمجيات الخبيثة.

5. الإبلاغ والتحليل والإصلاح

بعد أن ينتهي الهجوم - ناجحًا أم لا - سيقوم المخترق بإبلاغ صاحب العمل بالنتائج التي توصلوا إليها. يقوم محترفو الأمن بعد ذلك بتحليل بيانات الهجوم ، ومقارنتها بما تُبلغ عنه أنظمة المراقبة الخاصة بهم ، وتنفيذ التعديلات المناسبة لتحسين أمانهم.

6. اشطف و كرر

غالبًا ما تكون هناك خطوة سادسة حيث تختبر الشركات التحسينات التي أدخلتها على نظام الأمان من خلال إجراء اختبار اختراق آخر. قد يوظفون نفس المخترق الأخلاقي إذا كانوا يريدون اختبار هجمات تعتمد على البيانات أو هجوم آخر للمكفوفين.

القرصنة الأخلاقية ليست مهنة تعتمد على المهارات فقط. يستخدم معظم المتسللين الأخلاقيين أنظمة تشغيل وبرامج متخصصة لتسهيل عملهم وتجنب الأخطاء اليدوية ، مما يمنح كل مختص كل ما لديه.

إذن ما الذي يستخدمه قراصنة اختبار القلم؟ وفيما يلي بعض الأمثلة على ذلك.

Parrot Security هو نظام تشغيل قائم على Linux تم تصميمه لاختبار الاختراق وتقييم الثغرات الأمنية. إنه متوافق مع السحابة الإلكترونية ، وسهل الاستخدام ، ويدعم العديد من برامج pentest مفتوحة المصدر.

يعد Live Hacking أيضًا أحد أنظمة تشغيل Linux ، وهو أمر مبتدئ لأنه خفيف الوزن ولا يحتوي على متطلبات عالية للأجهزة. كما يأتي معبأ مسبقًا بالأدوات والبرامج الخاصة باختبار الاختراق والقرصنة الأخلاقية.

Nmap هو ملف أداة استخبارات مفتوحة المصدر (OSINT) يراقب شبكة ويجمع ويحلل البيانات حول مضيفي وخوادم الأجهزة ، مما يجعلها ذات قيمة للمتسللين ذوي القبعات السوداء والرمادية والبيضاء على حد سواء.

إنه أيضًا متعدد الأنظمة الأساسية ويعمل مع Linux و Windows و macOS ، لذا فهو مثالي للمخترق الأخلاقي المبتدئين.

WebShag هي أيضًا أداة OSINT. إنها أداة تدقيق للنظام تفحص بروتوكولات HTTPS و HTTP وتجمع البيانات والمعلومات ذات الصلة. يتم استخدامه من قبل المتسللين الأخلاقيين الذين يقومون بإجراء اختبارات خارجية من خلال مواقع الويب العامة.

إلى أين تذهب لاختبار الاختراق

اختبار القلم لشبكتك ليس هو خيارك الأفضل لأنه من المحتمل أن يكون لديك معرفة واسعة بها ، مما يجعل من الصعب التفكير خارج الصندوق والعثور على نقاط الضعف المخفية. يجب عليك إما استئجار متسلل أخلاقي مستقل أو خدمات شركة تقدم اختبار القلم.

ومع ذلك ، فإن الاستعانة بجهات خارجية لاختراق شبكتك قد يكون محفوفًا بالمخاطر ، خاصة إذا كنت تزودهم بمعلومات الأمان أو وصولاً من الداخل. هذا هو السبب في أنك يجب أن تلتزم بموفري الطرف الثالث الموثوق بهم. إليك عينة صغيرة من تلك المتاحة.

HackerOne هي شركة مقرها سان فرانسيسكو تقدم خدمات اختبار الاختراق وتقييم نقاط الضعف واختبار الامتثال للبروتوكول.

يقع موقع ScienceSoft في تكساس ، ويقدم تقييمات للضعف ، واختبار القلم ، واختبار الامتثال ، وخدمات تدقيق البنية التحتية.

يقع مقر Raxis في أتلانتا ، جورجيا ، ويقدم خدمات قيمة من اختبار القلم ومراجعة رمز الأمان للتدريب على الاستجابة للحوادث وتقييمات الضعف والتدريب الوقائي على الهندسة الاجتماعية.

تحقيق أقصى استفادة من اختبار الاختراق

على الرغم من أنه لا يزال جديدًا نسبيًا ، إلا أن اختبار القلم يقدم رؤى فريدة حول طريقة عمل دماغ المخترق عندما يهاجم. إنها معلومات قيّمة لا يستطيع حتى أمهر محترفي الأمن السيبراني توفيرها للعمل على السطح.

يمكن أن يكون اختبار القلم هو الطريقة الوحيدة لتجنب استهداف قراصنة القبعة السوداء والمعاناة من العواقب.

حقوق الصورة: Unsplash.

بريد الالكتروني
لماذا يعتبر القرصنة الأخلاقية أمرًا قانونيًا ولماذا نحتاج إليه

القرصنة الأخلاقية هي طريقة لمكافحة المخاطر الأمنية التي تشكلها الجرائم الإلكترونية. هل القرصنة الأخلاقية قانونية؟ لماذا نحتاجها حتى؟

مواضيع ذات صلة
  • حماية
  • الأمن على الإنترنت
عن المؤلف
أنينا أوت (16 مقالة منشورة)

أنينا كاتبة مستقلة في مجال التكنولوجيا وأمن الإنترنت في MakeUseOf. بدأت الكتابة في مجال الأمن السيبراني منذ 3 سنوات على أمل جعله في متناول الشخص العادي. حريص على تعلم أشياء جديدة ومهوس في علم الفلك ضخم.

المزيد من Anina Ot

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية الخاصة بنا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

خطوة أخرى أيضا…!

يرجى تأكيد عنوان بريدك الإلكتروني في البريد الإلكتروني الذي أرسلناه لك للتو.

.