ما المقصود باختبار الاختراق؟

مختبرو الاختراق هم متخصصون أمنيون ماهرون في فن الاختراق الأخلاقي، وهو استخدام أدوات وتقنيات الاختراق لإصلاح نقاط الضعف الأمنية بدلًا من التسبب في الضرر. تستأجر الشركات مختبري الاختراق لشن هجمات محاكية ضد تطبيقاتها وشبكاتها وأصولها الأخرى. من خلال تنظيم هجمات وهمية، يساعد مختبرو الاختراق فرق الأمان على اكتشاف نقاط ضعف أمنية حرجة وتحسين الوضع الأمني العام.

يُستخدم المصطلحان "القرصنة الأخلاقية" و"اختبار الاختراق" في بعض الأحيان بالتبادل، ولكن هناك فرق. الاختراق الأخلاقي هو مجال أوسع للأمن السيبراني يتضمن أي استخدام لمهارات الاختراق لتحسين أمان الشبكة. أما اختبارات الاختراق فليست سوى إحدى الطرق التي يستخدمها المخترقون الأخلاقيون. قد يوفر المخترقون الأخلاقيون أيضًا تحليل البرامج الضارة والتقييم وخدمات أخرى.

هناك ثلاثة أسباب رئيسية وراء قيام الشركات بإجراء اختبارات الاختراق.

تعد اختبارات الاختراق أكثر شمولًا من التقييمات وحدها. تساعد كل من اختبار الاختراق وتقييم الثغرات الأمنية فرق الأمن على تحديد نقاط الضعف في التطبيقات والأجهزة والشبكات. ومع ذلك، فإن هاتين الطريقتين تخدمان أغراضًا مختلفة قليلًا، لذلك تستخدم العديد من المؤسسات كلا الطريقتين بدلًا من الاعتماد على إحداهما.

عادةً ما تكون تقييمات الثغرات الأمنية عبارة عن عمليات فحص تلقائية متكررة تبحث عن الثغرات المعروفة في النظام وتضع علامة عليها للتقييم. تستخدم فرق الأمان التقييم للتحقق بسرعة من العيوب الشائعة.

وتذهب اختبارات الاختراق إلى خطوة أبعد من ذلك. عندما يجد مختبرو الاختراق نقاط ضعف، فإنهم يستغلونها في هجمات محاكاة تحاكي سلوكيات المتسللين الخبيثين. هذا يوفر لفريق الأمن فهمًا متعمقًا لكيفية استغلال المخترقين الفعليين للثغرات الأمنية للوصول إلى البيانات الحساسة أو تعطيل العمليات. بدلًا من محاولة تخمين ما قد يفعله المتسللون، يمكن لفريق الأمان استخدام هذه المعرفة لتصميم عناصر تحكم في أمان الشبكة للتهديدات الإلكترونية في العالم الحقيقي.

نظرا لأن مختبري الاختراق يستخدمون كلًا من العمليات الآلية واليدوية، فإنهم يكشفون عن نقاط ضعف معروفة وغير معروفة. نظرًا لأن مختبري الاختراق يستغلون بنشاط نقاط الضعف التي يعثرون عليها، فمن غير المرجح أن يظهروا نتائج إيجابية كاذبة؛ فإذا كان بإمكانهم استغلال الثغرة، كذلك يمكن لمجرم إلكتروني استغلالها. ولأن خدمات اختبار الاختراق يقدمها خبراء أمن تابعون لجهات خارجية، يتعاملون مع الأنظمة من منظور المخترقين، فإن اختبارات الاختراق غالبًا ما تكشف عن عيوب قد تفوت فرق الأمن الداخلية.

ينصح خبراء الأمن السيبراني بإجراء اختبار الاختراق. يوصي العديد من خبراء الأمن السيبراني وسلطات الأمن السيبراني بإجراء اختبارات الاختراق كإجراء أمني استباقي. على سبيل المثال، في عام 2021، حثت الحكومة الفيدرالية الأمريكية الشركات على استخدام اختبارات الاختراق للدفاع ضد هجمات برامج الفدية المتزايدة.

يدعم اختبار الاختراق الامتثال التنظيمي. تفرض لوائح أمن البيانات مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) واللائحة العامة لحماية البيانات (GDPR) ضوابط أمنية معينة. تساعد اختبارات الاختراق الشركات على إثبات الامتثال لهذه اللوائح من خلال ضمان عمل ضوابطها على النحو المنشود.

تتطلب اللوائح الأخرى صراحة اختبارات الاختراق. يدعو معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)، الذي ينطبق على المؤسسات التي تعالج بطاقات الائتمان، على وجه التحديد إلى "اختبار الاختراق الخارجي والداخلي" المنتظم.

يمكن أن تدعم اختبارات الاختراق أيضًا الامتثال لمعايير أمان المعلومات الطوعية، مثل ISO / IEC 27001.

تتضمن جميع اختبارات الاختراق هجومًا محاكيًا ضد أنظمة الكمبيوتر الخاصة بالشركة. ومع ذلك، تستهدف أنواع مختلفة من اختبارات الاختراق أنواعًا مختلفة من الأصول.

اختبارات اختراق التطبيقات تبحث عن نقاط الضعف في التطبيقات والأنظمة ذات الصلة، بما في ذلك تطبيقات الويب ومواقع الويب، وتطبيقات الهاتف المحمول، وتطبيقات إنترنت الأشياء (IOT)، وتطبيقات السحابة، وواجهات برمجة التطبيقات (APIs).

يبدأ اختبار الاختراق غالبًا بالبحث عن الثغرات الأمنية المدرجة في قائمة أخطر 10 ثغرات في مشروع أمان تطبيقات الويب المفتوح (OWASP). قائمة أخطر 10 نقاط ضعف في تطبيقات الويب وفقًا لمشروع أمان تطبيقات الويب المفتوح (OWASP) هي قائمة تضم أكثر نقاط الضعف خطورة في تطبيقات الويب. ويتم تحديث القائمة بشكل دوري لتعكس المشهد المتغير للأمن السيبراني، ولكن نقاط الضعف الشائعة تشمل حقن التعليمات البرمجية الضارة، والتكوينات الخطأ، وفشل المصادقة. بالإضافة إلى قائمة OWASP لأخطر 10 نقاط ضعف، تبحث اختبارات اختراق التطبيقات أيضًا عن عيوب أمنية وثغرات أقل شيوعًا قد تكون فريدة من نوعها للتطبيق الحالي.

تهاجم اختبارات اختراق الشبكات شبكة الكمبيوتر بأكملها في الشركة. هناك نوعان شائعان من اختبارات اختراق الشبكات: الاختبارات الخارجية والاختبارات الداخلية.

في الاختبارات الخارجية، يقوم مختبرو الاختراق بمحاكاة سلوك المخترقين الخارجيين للعثور على مشكلات أمنية في الأصول التي تواجه الإنترنت مثل الخوادم وأجهزة التوجيه ومواقع الويب وأجهزة الكمبيوتر الخاصة بالموظفين. ويطلق عليها اسم "الاختبارات الخارجية" لأن مختبري الاختراق يحاولون اقتحام الشبكة من الخارج.

في الاختبارات الداخلية، يقوم مختبرو الاختراق بمحاكاة سلوك هجوم داخلي خبيث أو المخترقين الذين يستخدمون بيانات اعتماد مسروقة. والهدف هو الكشف عن نقاط الضعف التي يمكن لأي شخص استغلالها من داخل الشبكة - على سبيل المثال، إساءة استخدام امتيازات الوصول لسرقة البيانات الحساسة.

تبحث اختبارات الأمان هذه عن الثغرات الأمنية في الأجهزة المتصلة بالشبكة، مثل أجهزة الكمبيوتر المحمولة والأجهزة المحمولة وأجهزة إنترنت الأشياء والتقنيات التشغيلية (OT).

قد يبحث مختبرو الاختراق عن ثغرات برمجية، مثل ثغرة في نظام التشغيل يستغلها المخترقون للوصول عن بعد إلى نقطة النهاية. قد يبحثون عن نقاط ضعف مادية، مثل مركز بيانات مؤمن بشكل غير صحيح قد يتسلل منها الجهات الفاعلة الخبيثة. وقد يقوم فريق الاختبار أيضًا بتقييم كيفية انتقال المتسللين من جهاز مخترق إلى أجزاء أخرى من الشبكة.

يبحث اختبار اختراق الموظفين عن نقاط الضعف في نظافة الأمن السيبراني للموظفين. وبعبارة أخرى، تُقيَّم اختبارات الأمان هذه مدى تعرض الشركة لهجمات الهندسة الاجتماعية.

يستخدم مختبرو الاختراق التصيد الاحتيالي والتصيد الاحتيالي الصوتي والتصيد الاحتيالي عبر الرسائل القصيرة لخداع الموظفين للكشف عن معلومات حساسة. قد تقوم اختبارات اختراق للموظفين أيضًا بتقييم الأمن المادي للمكتب. على سبيل المثال، قد يحاول مختبرو الاختراق التسلل إلى مبنى من خلال التنكر في زي أشخاص توصيل. هذه الطريقة، التي تسمى "هجوم التتبع"، تستخدم بشكل شائع من قبل مجرمي العالم الحقيقي.

قبل بدء اختبار الاختراق، يحدد فريق الاختبار والشركة نطاقًا للاختبار. يحدد النطاق الأنظمة التي سيتم اختبارها، ووقت إجراء الاختبار، والطرق التي يمكن لمختبري الاختراق استخدامها. ويحدد النطاق أيضًا مقدار المعلومات التي سيحصل عليها مختبرو الاختراق مسبقًا.

• في اختبار الصندوق الأسود، لا يتوفر لدى مختبري الاختراق أي معلومات حول النظام المستهدف. يجب أن يعتمدوا على أبحاثهم الخاصة لتطوير خطة هجوم، كما يفعل المتسلل في العالم الحقيقي.

• في اختبار الصندوق الأبيض، يتمتع مختبرو الاختراق بشفافية كاملة في النظام المستهدف. تشارك الشركة تفاصيل مثل مخططات الشبكة ورمز المصدر وبيانات الاعتماد والمزيد.

• في اختبار الصندوق الرمادي، يحصل مختبرو الاختراق على بعض المعلومات ولكن ليس الكثير. على سبيل المثال، قد تقوم الشركة بمشاركة نطاقات IP لأجهزة الشبكة، ولكن يجب على مختبري الاختراق أن يقوموا باستكشاف نطاقات IP هذه بحثًا عن الثغرات الأمنية بأنفسهم.

مع تحديد النطاق، يبدأ الاختبار. قد يتبع مختبرو الاختراق العديد من منهجيات اختبار الاختراق. تشمل المبادئ التوجيهية الشائعة لأمان التطبيق الخاصة بمشروع أمان تطبيقات الويب المفتوح OWASP، ومعيار اختبار الاختراق (PTES)، المعهد الوطني الأمريكي للمعايير والتقنية (NIST) SP 800-115.

بغض النظر عن المنهجية التي يستخدمها فريق الاختبار، عادة ما تتبع العملية نفس الخطوات العامة.

يقوم فريق الاختبار بجمع المعلومات عن النظام المستهدف. يستخدم مختبرو الاختراق طرق استطلاع مختلفة حسب الهدف. على سبيل المثال، إذا كان الهدف هو التطبيق، فقد يدرس مختبرو الاختراق مصدر الرمز الخاص به. إذا كان الهدف شبكة بأكملها، فقد يستخدم مختبرو الاختراق محلل الحزم لفحص تدفقات حركة مرور الشبكة.

وغالبًا ما يعتمد اختبار الاختراق على الاستخبارات مفتوحة المصدر (OSINT) أيضًا. ومن خلال قراءة الوثائق العامة، والمقالات الإخبارية، وحتى حسابات الموظفين على وسائل التواصل الاجتماعي وحسابات GitHub، يمكن لمختبري الاختراق الحصول على معلومات قيّمة عن أهدافهم.

يستخدم مختبرو القلم المعرفة التي اكتسبوها في خطوة الاستطلاع لتحديد الثغرات الأمنية القابلة للاستغلال في النظام. على سبيل المثال، قد يستخدم مختبرو القلم ماسح المنافذ مثل Nmap للبحث عن المنافذ المفتوحة التي يمكنهم إرسال برنامج ضار إليها. بالنسبة لاختبار القلم الهندسي الاجتماعي، قد يقوم فريق الاختبار بتطوير قصة مزيَّفة، أو "ذريعة"، يستخدمونها في رسالة بريد إلكتروني احتيالية لسرقة بيانات اعتماد الموظفين.

كجزء من هذه الخطوة، قد يتحقق مختبرو القلم من كيفية تفاعل ميزات الأمان مع عمليات الاقتحام. على سبيل المثال، قد يرسلون حركة مرور مشبوهة إلى جدار حماية الشركة لمعرفة ما سيحدث. سيستخدم مختبرو القلم ما يتعلمونه لتجنب الكشف خلال بقية الاختبار.

يبدأ فريق الاختبار الهجوم الفعلي. قد يجرِّب مختبرو الاختراق مجموعة متنوعة من الهجمات اعتمادًا على النظام المستهدف والثغرات الأمنية التي وجدوها ونطاق الاختبار. تتضمن بعض الهجمات الأكثر اختبارًا ما يلي:

• حقن SQL: يحاول مختبِرو الاختراق الحصول على صفحة ويب أو تطبيق للكشف عن البيانات الحساسة عن طريق إدخال تعليمات برمجية ضارة في حقول الإدخال.
  
  

• البرمجة النصية عبر المواقع: يحاول مختبِرو الاختراق زرع تعليمات برمجية ضارة في موقع الشركة على الويب.
  
  

• هجمات حجب الخدمة: يحاول مختبِرو الاختراق تعطيل الخوادم والتطبيقات وغيرها من موارد الشبكة عن طريق إغراقها بحركة مرور زائدة.
  
  

• الهندسة الاجتماعية: يستخدم مختبِرو الاختراق أساليب مثل التصيّد الإلكتروني أو الإغراء أو الذرائع لخداع الموظفين ودفعهم إلى المساس بأمن الشبكات.
  
  

• هجمات القوة الغاشمة: يحاول مختبِرو الاختراق اختراق النظام عن طريق تشغيل البرامج النصية التي تُنشئ كلمات مرور محتملة وتختبرها حتى تعمل إحداها.
  
  

• هجمات الوسيط: يعترض مختبِرو الاختراق حركة المرور بين جهازَين أو مستخدمَين لسرقة معلومات حساسة أو زرع برنامج ضار.

بعد أن يستغل مختبِرو الاختراق ثغرة للحصول على موطئ قدم في النظام، يسعون إلى التنقل داخل البيئة للوصول إلى المزيد من الموارد. تُعرَف هذه المرحلة أحيانًا باسم "تسلسل الثغرات" لأن مختبِري الاختراق يؤدون حركة من ثغرة إلى أخرى للتعمق أكثر في الشبكة. على سبيل المثال، قد يبدؤون بزرع برنامج لتسجيل لوحة المفاتيح على كمبيوتر أحد الموظفين. وباستخدام برنامج تسجيل المفاتيح هذا، يمكنهم التقاط بيانات اعتماد الموظف. وباستخدام بيانات الاعتماد هذه، يمكنهم الوصول إلى قاعدة بيانات حساسة.

في هذه المرحلة، يكون هدف مختبِري الاختراق هو الحفاظ على الوصول وتصاعد امتيازاتهم مع التهرّب من الإجراءات الأمنية. يقوم مختبِرو الاختراق بكل هذا لتقليد التهديدات المستمرة المتقدمة (APTs)، التي قد تبقى كامنة في نظام لأسابيع أو أشهر أو حتى سنوات قبل اكتشافها.

في نهاية الهجوم المُحاكى، يُزيل مختبِرو الاختراق أي آثار خلفوها، مثل أحصنة طروادة الخلفية التي زرعوها أو الإعدادات التي غيّروها. بهذه الطريقة، لا يمكن للمتسللين في العالم الحقيقي استخدام أدوات اختبار الاختراق لاستغلال الشبكة.

بعد ذلك، يعمل مختبِرو الاختراق على إعداد تقرير عن الهجوم. يحدِّد التقرير عادةً الثغرات الأمنية التي عثروا عليها، والثغرات التي استغلوها، وتفاصيل حول كيفية تجنُّبهم لميزات الأمان، ووصف ما فعلوه أثناء وجودهم داخل النظام. قد يتضمن التقرير أيضًا توصيات محددة بشأن معالجة الثغرات الأمنية. يمكن لفريق الأمن الداخلي استخدام هذه المعلومات لتقوية الدفاعات ضد هجمات العالم الحقيقي.

يستخدم مختبرو الاختراق أدوات مختلفة لإجراء الاستطلاع وكشف الثغرات الأمنية وأتمتة الأجزاء الرئيسية من عملية اختبار الاختراق. تتضمن بعض الأدوات الأكثر شيوعًا ما يلي:

أنظمة التشغيل المتخصصة: يستخدم معظم مختبِري الاختراق أنظمة تشغيل مصممة لاختبار الاختراق والقرصنة الأخلاقية. الأكثر شيوعًا هو Kali Linux، وهو توزيعة Linux مفتوحة المصدر تأتي مثبَّتة مسبقًا بأدوات اختبار الاختراق مثل Nmap وWireshark وMetasploit.

أدوات اختراق بيانات الاعتماد: يمكن لهذه البرامج الكشف عن كلمات المرور عن طريق كسر التشفير أو شنّ هجمات القوة الغاشمة، والتي تستخدم روبوتًا لإنشاء كلمات مرور محتملة واختبارها تلقائيًا حتى تنجح إحداها. ومن الأمثلة على ذلك Medusa وHyrda وHashcat وJohn the Ripper.

أدوات فحص المنافذ: تسمح أدوات فحص المنافذ للتسللين باختبار الأجهزة عن بُعد بحثًا عن المنافذ المفتوحة والمتاحة التي يمكنهم استخدامها لاختراق الشبكة. يُعَد Nmap أكثر أداة فحص للمنافذ استخدامًا، ولكن masscan وzMap شائعان أيضًا.

أدوات فحص الثغرات الأمنية: أدوات فحص الثغرات الأمنية تبحث في الأنظمة عن الثغرات الأمنية المعروفة، ما يسمح لمختبِري الاختراق بالعثور بسرعة على مداخل محتملة إلى الهدف. تشمل الأمثلة Nessus وCore Impact وNetsparker.

أدوات فحص ثغرات الويب الأمنية هي مجموعة فرعية من أدوات فحص الثغرات الأمنية التي تقيّم تطبيقات الويب ومواقع الويب. تتضمن الأمثلة Burp Suite وZed Attack Proxy (ZAP) من OWASP.

أجهزة تحليل الحِزم: تسمح أجهزة تحليل الحِزم، وتُسمَّى أيضًا أجهزة شمّ الحزم، لمختبِري الاختراق بتحليل حركة مرور البيانات على الشبكة من خلال التقاط وفحص الحزم. يمكن لمختبِري الاختراق معرفة مصدر حركة المرور، وإلى أين تتجه، وفي بعض الحالات - ما البيانات التي تحتوي عليها. يُعَد Wireshark وtcpdump من بين أجهزة تحليل الحِزم الأكثر استخدامًا.

Metasploit: إطار عمل لاختبار الاختراق يحتوي على مجموعة واسعة من الوظائف. والأهم من ذلك، يُتيح Metasploit لمختبِري الاختراق أتمتة الهجمات الإلكترونية. ويحتوي Metasploit على مكتبة مدمجة من شفرات استغلال وحمولات مُعدة مسبقًا. يمكن لمختبِري الاختراق تحديد ثغرة أمنية، وإعطائها حمولة لتسليمها إلى النظام المستهدف، والسماح لبرنامج Metasploit بالتعامل مع الباقي.