منهجية اختبار الاختراق Penetration Testing Methodology

0
منهجية اختبار الاختراق Penetration Testing Methodology

منهجية اختبار الاختراق

اختبار الاختراق Penetration testing، وغالبًا ما يتم اختصاره Pentest ، هي عملية تتبع لإجراء تقييم أو تدقيق أمني متعمق. تحدد المنهجية مجموعة من القواعد والممارسات والإجراءات التي يتم متابعتها وتنفيذها خلال أي برنامج لتدقيق أمن المعلومات. تحدد منهجية اختبار الاختراق خارطة الطريق بالأفكار العملية والممارسات المثبتة التي يمكن اتباعها لتقييم الموقف الأمني ​​الحقيقي للشبكة أو التطبيق أو النظام أو أي مجموعة منها.

يمكن إجراء اختبار الاختراق بشكل مستقل أو كجزء من عملية إدارة مخاطر أمن تكنولوجيا المعلومات التي يمكن دمجها في دورة حياة تطوير منتظمة. من الأهمية بمكان ملاحظة أن أمان أي منتج لا يعتمد فقط على العوامل المرتبطة ببيئة تكنولوجيا المعلومات ، ولكنه يعتمد أيضًا على أفضل ممارسات الأمان الخاصة بالمنتج.
يتضمن ذلك تنفيذ متطلبات الأمان المناسبة ، وتنفيذ تحليل المخاطر ، ونمذجة التهديد ، ومراجعات الكود ، وقياس الأمان التشغيلي.
performing risk analysis, threat modeling, code reviews, and operational security measurement.

يعتبر اختبار الاختراق آخر وأشد أشكال التقييم الأمني. يجب معالجتها بواسطة محترفين مؤهلين ويمكن إجراؤها مع أو بدون معرفة مسبقة بالشبكة أو التطبيق المستهدف. وذلك باستخدام أدوات pentest لتقييم جميع مكونات البنية التحتية لتكنولوجيا المعلومات ، بما في ذلك التطبيقات وأجهزة الشبكات وأنظمة التشغيل ووسائط الاتصال والأمن المادي وعلم النفس البشري.
يتكون ناتج اختبار الاختراق عادةً من تقرير مقسم إلى عدة أقسام تتناول نقاط الضعف الموجودة في الحالة الحالية للبيئة المستهدفة ، متبوعة بتدابير مضادة محتملة وتوصيات علاجية أخرى.
يوفر استخدام العملية المنهجية فوائد كبيرة للمهندس ، لفهم وتحليل سلامة الدفاعات الحالية تحليلًا نقديًا خلال كل مرحلة من مراحل عملية الاختبار.

أنواع اختبار الاختراق

أنواع اختبار الاختراق
على الرغم من وجود أنواع مختلفة من اختبارات الاختراق ، إلا أن الطرق الثلاثة الأكثر قبولًا في صناعة أمن المعلومات هي الصندوق الأسود ، والصندوق الأبيض ، واختبارات اختراق الصندوق الرمادي. كل من هذه لها مزايا واضحة وينبغي أن يكون  اختبار الاختراق  فكرة واضحة عن كل منها.

اختبار الصندوق الأسود Black box testing

يحاكي اختبار اختراق الصندوق الأسود هجوم العالم الحقيقي بأكبر قدر ممكن. في هذا النوع من الاختبارات ، لا يعرف  اختبار الاختراق  بنية النظام أو البرامج أو الأجهزة أو أي أعمال داخلية قيد التقييم. وبهذه الطريقة ، يتم إجراء اختبار تغلغل الصندوق الأسود بالطريقة نفسها التي يهاجم بها ممثل تهديد النظام. هذا يعني أن اختبار الاختراق سوف يضمن تحديد جميع نقاط الضعف المحتملة ، وتعداد الأهداف بشكل صحيح ، واستخدام جميع متجهات الهجوم المحتملة لخرق النظام.

اختبار الصندوق الأسود هو مضيعة للوقت ومكلفة للغاية. هناك أيضًا إمكانية التسبب في انقطاع التيار الكهربائي وتلف الأنظمة التي تخضع للاختبار. نتيجةً لذلك ، يجب أن يكون اختبار الاختراق حذرًا عند التوصية بهذا النوع من الاختبار ، حيث يجب أن يكون مخصصًا للعملاء الأكثر نضجًا. بعد قولي هذا ، فإن اختبار الصندوق الأسود أقرب إلى الهجوم الواقعي الذي يمكن أن يحاكيه اختبار الاختراق. نتيجة لذلك ، فإن النتائج التي تم الإبلاغ عنها مهمة جدًا للعميل وأمان نظامه.

اختبار الصندوق الأبيض White box testing

العكس الكامل لاختبار الصندوق الأسود هو اختبار الصندوق الأبيض. في هذا النوع من الاختبارات ، يمتاز اختبار الاختراق بمعرفة مفصلة بالنظام والتطبيقات والأجهزة والبرامج. يمكن أن تتضمن هذه المعلومات مخططات شبكة كاملة ، وقوائم جرد نظام التشغيل ، ومستويات تصحيح النظام ، وحتى شفرة المصدر للتطبيقات. في اختبار الصندوق الأبيض ، لا يهتم اختبار الاختراق بدرجة كبيرة بالهجوم بالطريقة نفسها التي يهدد بها أي تهديد خارجي ، بل يثبت صحة الضوابط الأمنية للنظام قيد التقييم. غالبًا ما يتم توجيه هذه الأنواع من الاختبارات ضد التطبيقات أو الأنظمة الجديدة التي يتم تطويرها. غالبًا ما يتم اختبار المختبرين للعثور على نقاط الضعف في النظم قيد التطوير قبل إدخالها في الإنتاج والتعرض لتهديدات العالم الحقيقي. في برامج الأمان الناضجة ، يتم إجراء هذه الاختبارات بشكل روتيني كجزء من دورة حياة تطوير النظام. نتيجة لذلك ، فهي وسيلة فعالة من حيث التكلفة لتحديد نقاط الضعف والعكس

اختبار الصندوق الرمادي Gray box testing

اختبار الصندوق الرمادي Gray box testing
مزيج من اختبار الصندوق الأسود والأبيض هو اختبار الصندوق الرمادي. في هذا النوع من الاختبار ، سيكون لدى المختبر بعض المعلومات حول النظام أو التطبيق أو الأجهزة أو البرنامج قيد التقييم. قد تكون هذه المعلومات محدودة النطاق ، مثل إصدارات نظام التشغيل أو الوثائق المتعلقة بهيكل الشبكة الداخلية. غالبًا ما يتم إجراء اختبارات الصندوق الرمادي باعتبارها مشاركة محدودة النطاق مع هدف تقييم محدد. على سبيل المثال ، قد يتم اختبار اختبار الاختراق لاختبار التجزئة بين مجال شبكة الإنتاج ومجال معالجة بطاقات الائتمان الخاصة بهم. في هذه الحالة ، سيتم إعطاء اختبار الاختراق معلومات محددة حول المجالين ، مثل كتل عناوين IP والأنظمة المتصلة. غالبًا ما يكون الهدف من اختبار الصندوق الرمادي هو التحقق من صحة عناصر التحكم الأمنية في مكونات النظام دون إمكانية نقل النظام دون اتصال بالإنترنت.

اتخاذ قرار بشأن الاختبار

غالبًا ما يتم تحديد أي اختبار يتم إجراؤه وفقًا للأهداف الموضوعة من قِبل العميل أو المؤسسة التي توظف المكب. على سبيل المثال ، إذا كانت المؤسسة التي يجري اختبارها تنقل نظامًا جديدًا من مرحلة التطوير إلى مرحلة الإنتاج وترغب في التأكد من أنها قامت بتكوين إعدادات الأمان بشكل صحيح ، فغالبًا ما يطلبون اختبار الصندوق الابيض. من ناحية أخرى ، فإن المنظمة التي لديها برنامج أمني ناضج وترغب في اختبار نظام الأمان الشامل من منظور هجوم حقيقي ستخضع لاختبار الصندوق الأسود.
سواء كان ذلك في مؤسستك الخاصة أو إجراء اختبار تابع لجهة خارجية ، يجب أن يكون هناك بعض الاعتبار لتجربة المنظمة المستهدفة في اختبار الاختراق. غالبًا ما تعبر المنظمات الجديدة عن هذا النوع من الاختبارات عن بعض التحفظات. هذا يرجع إلى حقيقة أن الاختبار قد يؤثر سلبا على أنظمتها. في كثير من الأحيان ، سيؤدي إجراء اختبار الصندوق الأبيض إلى تخفيف هذا الحجز. كما كان من قبل ، لن تواجه المنظمات التي لديها برنامج أمان ناضج مشكلة في اختبار الصندوق الأسود.