ما هي القرصنة الأخلاقية؟

يمتلك المتسللون الأخلاقيون المهارات نفسها ويستخدمون الأدوات والأساليب نفسها التي يستخدمها المتسللون الخبيثون، ولكن هدفهم دائمًا هو تحسين أمن الشبكات دون الإضرار بالشبكة أو مستخدميها.

في نواحٍ كثيرة، تُعَد القرصنة الأخلاقية تدريبًا تحضيريًا للهجمات الإلكترونية في العالم الحقيقي. توظِّف المؤسسات المتسللين الأخلاقيين لتنفيذ هجمات محاكاة على شبكات الكمبيوتر الخاصة بها. خلال هذه الهجمات، يوضِّح المتسللون الأخلاقيون كيف يعمل المهاجمون الإلكترونيون الحقيقيون على اختراق الشبكات والأضرار التي يمكن أن تحدث بعد الدخول.

يمكن لمحللي الأمن في المؤسسة استخدام هذه المعلومات للتخلص من نقاط الضعف وتعزيز أنظمة الأمان وحماية البيانات الحساسة.

ويُستخدَم أحيانًا المصطلحَان "القرصنة الأخلاقية" و"اختبار الاختراق " بالتبادل. ومع ذلك، فإن اختبارات الاختراق ليست سوى واحدة من الأساليب التي يستخدمها المتسللون الأخلاقيون. ويمكن للمتسللين الأخلاقيين أيضًا إجراء تقييمات الثغرات الأمنية وتحليل البرامج الضارة وخدمات أمن المعلومات الأخرى.

يتَّبِع المتسللون الأخلاقيون مدونة أخلاقية صارمة للتأكد من أن أفعالهم تساعد الشركات بدلًا من الإضرار بها. تنشر العديد من المؤسسات التي تدرِّب أو تمنح شهادات للمتسللين الأخلاقيين، مثل المجلس الدولي لمستشاري التجارة الإلكترونية (EC Council)، مدوّنات أخلاقية مكتوبة خاصة بها. ورغم أن القواعد الأخلاقية قد تختلف من شخص لآخر أو من مؤسسة لأخرى، فإن المبادئ العامة تشمل ما يلي:

• يحصل المخترقون الأخلاقيون على إذن من الشركات التي يخترقونها: يتم توظيف المخترقين الأخلاقيين من قبل المنظمات التي يخترقونها أو يعملون بالشراكة معها. فهم يعملون مع الشركات لتحديد نطاق لأنشطتهم بما في ذلك الجداول الزمنية للقرصنة والأساليب المستخدمة والأنظمة والأصول التي يتم اختبارها. 
• المخترقون الأخلاقيون لا يتسببون في أي ضرر: لا يتسبب المخترقون الأخلاقيون في أي ضرر فعلي للأنظمة التي يخترقونها، ولا يسرقون أي بيانات حساسة يجدونها. وعندما يخترق المخترقون الأخلاقيون (أصحاب القبعات البيضاء) شبكة، فإنهم يفعلون ذلك فقط لإظهار ما قد يفعله المجرمون الإلكترونيون الحقيقيون. 
• يحافظ المتسللون الأخلاقيون على سرية نتائجهم: يشارك المتسللون الأخلاقيون المعلومات التي يجمعونها حول الثغرات الأمنية وأنظمة الأمن مع الشركة فقط، ولا يُطلِعون أي طرف آخر عليها. كما يساعدون الشركة على استخدام هذه النتائج لتحسين دفاعات الشبكة.
• يعمل المتسللون الأخلاقيون ضمن حدود القانون: يستخدم المتسللون الأخلاقيون الأساليب القانونية فقط لتقييم أمن المعلومات. ولا يرتبطون بالمتسللين الخبيثين ولا يشاركون في أي هجمات ضارة.

إلى جانب مدونة الأخلاقيات هذه، هناك نوعان آخران من المخترقين.

يُعرفون أحيانًا باسم "القراصنة ذوو القبعة السوداء"، وهم يرتكبون جرائم إلكترونية لأغراض شخصية أو الإرهاب الإلكتروني أو لأي سبب آخر. حيث يخترقون أنظمة الكمبيوتر لسرقة المعلومات الحساسة أو سرقة الأموال أو تعطيل الأعمال.

يُعرفون أحيانًا باسم قراصنة القبعة الرمادية (أو باسم "grey hat hackers" بخطأ إملائي)، وهم متسللون يستخدمون أساليب قد تكون غير أخلاقية أو خارج القانون، لكنهم يسعون لتحقيق أهداف أخلاقية. ومن الأمثلة على ذلك اختراق شبكة أو نظام معلومات دون إذن لاختبار استغلال، أو استغلال ثغرة أمنية برمجية علنًا أثناء عمل البائعين على تصحيحها. وعلى الرغم من حسن نوايا هؤلاء المتسللين، فإن تصرفاتهم قد تنبّه المهاجمين الخبيثين إلى نقاط هجوم جديدة.

القرصنة الأخلاقية هو طريق مشروع للمسار المهني. فمعظم المخترقين الأخلاقيين حاصلون على درجة البكالوريوس في علوم الكمبيوتر أو أمن المعلومات أو مجال ذي صلة. ولديهم ميل إلى معرفة لغات البرمجة والبرمجة النصية الشائعة مثل python وSQL.

إنهم يتميزون بالمهارة - ويستمرون في بناء مهاراتهم - في نفس أدوات ومنهجيات القرصنة التي يستخدمها المخترقون الخبيثون، بما في ذلك أدوات مسح الشبكة مثل Nmap، ومنصات اختبار الاختراق مثل Metasploit وأنظمة تشغيل القرصنة المتخصصة مثل Kali Linux.

مثل غيرهم من محترفي الأمن الإلكتروني، يحصل المتسللون الأخلاقيون عادةً على شهادات لإثبات مهاراتهم والتزامهم بالأخلاقيات. ويتلقى كثير منهم دورات في القرصنة الأخلاقية أو يلتحقون ببرامج الشهادات الخاصة بالمجال. وتتضمن بعض شهادات القرصنة الأخلاقية الأكثر شيوعًا ما يلي:

• Certified Ethical Hacker (CEH): تقدِّمها EC-Council، وهي جهة دولية معتمدة للشهادات في الأمن الإلكتروني، وتُعَد شهادة CEH واحدة من أكثر شهادات القرصنة الأخلاقية اعترافًا وانتشارًا.

• CompTIA PenTest+‎: تركِّز هذه الشهادة على اختبار الاختراق وتقييم الثغرات الأمنية.

• SANS GIAC Penetration Tester (GPEN): مثل شهادة PenTest+‎، تُثبت شهادة GPEN من SANS Institute مهارات المتسللين الأخلاقيين في اختبار الاختراق.

يقدم المخترقون الأخلاقيون مجموعة من الخدمات.

اختبارات الاختراق، أو "pen tests،" هي محاكاة للاختراقات الأمنية. يحاكي مختبرو الاختراق المخترقين الخبيثين الذين يحصلون على وصول غير مصرح به إلى أنظمة الشركة. وبالطبع، لا يسبب مختبرو الاختراق أي ضرر فعلي، حيث يستخدمون نتائج اختباراتهم للمساعدة في الدفاع عن الشركة ضد المجرمين الإلكترونيين الحقيقيين.

تتم اختبارات الاختراق على ثلاث مراحل:

خلال مرحلة الاستطلاع، يجمع مختبرو الاختراق المعلومات عن أجهزة الكمبيوتر والأجهزة المحمولة وتطبيقات الويب وخوادم الويب والأصول الأخرى على شبكة الشركة. تُعرَف هذه المرحلة أحيانًا باسم "البصمة" لأن مختبرِي الاختراق يحدِّدون بصمة الشبكة بالكامل. 

يستخدم مختبرو الاختراق طرقًا يدوية ومؤتمتة لإجراء الاستطلاع. وقد يبحثون في الملفات الشخصية للموظفين على وسائل التواصل الاجتماعي وصفحات GitHub بحثًا عن تلميحات. وقد يستخدمون أدوات مثل Nmap للبحث عن المنافذ المفتوحة وأدوات مثل Wireshark لفحص حركة بيانات الشبكة. وفي حالة سماح الشركة بذلك، فقد يستخدمون أساليب الهندسة الاجتماعية لخداع الموظفين لمشاركة المعلومات الحساسة.

بمجرد أن يفهم مختبرِو الاختراق ملامح الشبكة -والثغرات الأمنية التي يمكنهم استغلالها- فإنهم يخترقون النظام. وقد يجرّب مختبرِو الاختراق مجموعة متنوعة من الهجمات اعتمادًا على نطاق الاختبار. تتضمن بعض الهجمات الأكثر اختبارًا ما يلي:

- حقن SQL: يحاول مختبرو الاختراق الحصول على صفحة ويب أو تطبيق للكشف عن البيانات الحساسة عن طريق إدخال تعليمات برمجية ضارة في حقول الإدخال.

- البرمجة النصية عبر المواقع: يحاول مختبرو الاختراق زرع تعليمات برمجية ضارة في موقع الشركة على الويب.

- هجمات لحجب الخدمة: يحاول مختبِرو الاختراق إيقاف تشغيل الخوادم والتطبيقات وغيرها من موارد الشبكة عن طريق إغراقها بحركة مرور عالية.

- الهندسة الاجتماعية: يستخدم مختبرو الاختراق التصيد الاحتيالي أو الاصطياد أو الذرائع أو غيرها من الأساليب لخداع الموظفين لتعريض أمن الشبكة للخطر. 

أثناء الهجوم، يستكشف مختبرو الاختراق كيف يمكن للمخترقين الخبيثين استغلال الثغرات الأمنية الحالية وكيف يمكنهم التنقل عبر الشبكة بمجرد دخولهم، حيث يكتشفون أنواع البيانات والأصول التي يمكن للمخترقين الوصول إليها. كما أنها تختبر ما إذا كانت التدابير الأمنية الحالية يمكن أن تكتشف أنشطتها أو تمنعها.

في نهاية الهجوم، يغطي مختبرو الاختراق مساراتهم. وهذا يخدم غرضين. أولاً، يوضح كيف يمكن للمجرمين الإلكترونيين الاختباء في الشبكة. ثانيًا، يمنع المخترقين الخبيثين من متابعة المخترقين الأخلاقيين سرًا في النظام.

يوثّق مختبِرو الاختراق جميع أنشطتهم أثناء عملية الاختراق. وبعد ذلك، يقدِّمون تقريرًا إلى فريق أمن المعلومات يحدِّد الثغرات الأمنية التي استغلوها، والأصول والبيانات التي وصلوا إليها وطريقة التهرّب من الأنظمة الأمنية. ويقدِّم المتسللون الأخلاقيون توصيات لتحديد أولويات هذه المشكلات وإصلاحها أيضًا.

يشبه تقييم الثغرات الأمنية اختبار الاختراق، ولكنه لا يصل إلى حد استغلال الثغرات الأمنية. بدلًا من ذلك، يستخدم المتسللون الأخلاقيون الأساليب اليدوية والمؤتمتة للعثور على ثغرات أمنية في النظام وتصنيفها وتحديد أولوياتها. ثم يشاركون النتائج التي توصَّلوا إليها مع الشركة.

يتخصص بعض المتسللين الأخلاقيين في تحليل سلالات برامج الفدية والبرامج الضارة. فهم يدرسون إصدارات البرامج الضارة الجديدة لفهم كيفية عملها ومشاركة استنتاجاتهم مع الشركات ومجتمع أمن المعلومات الأوسع.

قد يساعد المتسللون الأخلاقيون أيضًا على إدارة المخاطر الاستراتيجية عالية المستوى. ويمكنهم تحديد التهديدات الجديدة والناشئة، وتحليل كيفية تأثير هذه التهديدات في الوضع الأمني للشركة ومساعدة الشركة على تطوير تدابير مضادة.

رغم وجود العديد من الطرق لتقييم الأمن الإلكتروني، يمكن للقرصنة الأخلاقية أن تساعد الشركات على فهم نقاط ضعف الشبكة من منظور المهاجم. من خلال اختراق الشبكات بموافقة صاحبها، يمكن للمتسللين الأخلاقيين توضيح كيفية استغلال المتسللين الخبيثين للثغرات المختلفة ومساعدة الشركة على اكتشاف الأهم منها وإغلاقها.

وقد يؤدي منظور المخترق الأخلاقي أيضًا إلى ظهور أشياء قد لا يلاحظها محلِّلو الأمن داخل المؤسسة. على سبيل المثال، يختبِر المتسللون الأخلاقيون جدران الحماية وخوارزميات التشفير وأنظمة كشف التسلل (IDSs) وأنظمة الكشف والاستجابة الموسَّعة (XDRs) وغيرها من الإجراءات المضادة. ونتيجةً لذلك، يعرفون بالضبط كيف تعمل هذه الدفاعات عمليًا -ومواضع تقصيرها- دون أن تتعرض الشركة لاختراق أمن بيانات فعلي.