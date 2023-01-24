هناك ثلاثة أسباب رئيسية وراء قيام الشركات بإجراء اختبارات الاختراق.

تعد اختبارات الاختراق أكثر شمولًا من التقييمات وحدها. تساعد كل من اختبار الاختراق وتقييم الثغرات الأمنية فرق الأمن على تحديد نقاط الضعف في التطبيقات والأجهزة والشبكات. ومع ذلك، فإن هاتين الطريقتين تخدمان أغراضًا مختلفة قليلًا، لذلك تستخدم العديد من المؤسسات كلا الطريقتين بدلًا من الاعتماد على إحداهما.

عادةً ما تكون تقييمات الثغرات الأمنية عبارة عن عمليات فحص تلقائية متكررة تبحث عن الثغرات المعروفة في النظام وتضع علامة عليها للتقييم. تستخدم فرق الأمان التقييم للتحقق بسرعة من العيوب الشائعة.

وتذهب اختبارات الاختراق إلى خطوة أبعد من ذلك. عندما يجد مختبرو الاختراق نقاط ضعف، فإنهم يستغلونها في هجمات محاكاة تحاكي سلوكيات المتسللين الخبيثين. هذا يوفر لفريق الأمن فهمًا متعمقًا لكيفية استغلال المخترقين الفعليين للثغرات الأمنية للوصول إلى البيانات الحساسة أو تعطيل العمليات. بدلًا من محاولة تخمين ما قد يفعله المتسللون، يمكن لفريق الأمان استخدام هذه المعرفة لتصميم عناصر تحكم في أمان الشبكة للتهديدات الإلكترونية في العالم الحقيقي.

نظرا لأن مختبري الاختراق يستخدمون كلًا من العمليات الآلية واليدوية، فإنهم يكشفون عن نقاط ضعف معروفة وغير معروفة. نظرًا لأن مختبري الاختراق يستغلون بنشاط نقاط الضعف التي يعثرون عليها، فمن غير المرجح أن يظهروا نتائج إيجابية كاذبة؛ فإذا كان بإمكانهم استغلال الثغرة، كذلك يمكن لمجرم إلكتروني استغلالها. ولأن خدمات اختبار الاختراق يقدمها خبراء أمن تابعون لجهات خارجية، يتعاملون مع الأنظمة من منظور المخترقين، فإن اختبارات الاختراق غالبًا ما تكشف عن عيوب قد تفوت فرق الأمن الداخلية.

ينصح خبراء الأمن السيبراني بإجراء اختبار الاختراق. يوصي العديد من خبراء الأمن السيبراني وسلطات الأمن السيبراني بإجراء اختبارات الاختراق كإجراء أمني استباقي. على سبيل المثال، في عام 2021، حثت الحكومة الفيدرالية الأمريكية الشركات على استخدام اختبارات الاختراق للدفاع ضد هجمات برامج الفدية المتزايدة.

يدعم اختبار الاختراق الامتثال التنظيمي. تفرض لوائح أمن البيانات مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) واللائحة العامة لحماية البيانات (GDPR) ضوابط أمنية معينة. تساعد اختبارات الاختراق الشركات على إثبات الامتثال لهذه اللوائح من خلال ضمان عمل ضوابطها على النحو المنشود.

تتطلب اللوائح الأخرى صراحة اختبارات الاختراق. يدعو معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)، الذي ينطبق على المؤسسات التي تعالج بطاقات الائتمان، على وجه التحديد إلى "اختبار الاختراق الخارجي والداخلي" المنتظم.

يمكن أن تدعم اختبارات الاختراق أيضًا الامتثال لمعايير أمان المعلومات الطوعية، مثل ISO / IEC 27001.