يشير مصطلح الأمن الهجومي، أو "OffSec"، إلى مجموعة من الاستراتيجيات الأمنية الاستباقية التي تستخدم نفس أساليب الجهات الخبيثة في الهجمات الواقعية لتعزيز أمن الشبكات بدلًا من الإضرار بها. تشمل أساليب الأمن الهجومي الشائعة منهجية الفريق الأحمر واختبار الاختراق والتقييم.
غالبًا ما يتم تنفيذ عمليات الأمن الهجومي بواسطة المتسللين الأخلاقيين، وهم متخصصون في الأمن الإلكتروني يستخدمون مهاراتهم في الاختراق لاكتشاف الثغرات في أنظمة تكنولوجيا المعلومات ومعالجتها. يعمل المتسللون الأخلاقيون على محاكاة الاختراقات بإذن مسبق، على عكس المجرمين الإلكترونيين الذين يخترقون الأنظمة لسرقة البيانات الحساسة أو نشر البرامج الضارة. ويتوقفون قبل التسبب في ضرر حقيقي ويستخدمون نتائج هجماتهم الوهمية لمساعدة المؤسسات على تعزيز دفاعاتها.
تاريخيًا، يُشير الأمن الهجومي أيضًا إلى استراتيجيات تهدف إلى إحباط المهاجمين المحتملين، مثل جذب عناصر التهديد إلى مسارات وهمية مسدودة. وقد أصبحت هذه الأساليب العدائية أقل شيوعًا في المشهد الحالي لأمن المعلومات.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
لفهم سبب أهمية الأمن الهجومي، من المفيد مقارنته بالأمن الدفاعي.
تُعَد تدابير الأمن الدفاعي، مثل برامج مكافحة الفيروسات وجدار الحماية، تفاعلية من حيث التصميم. فقد تم تصميم هذه الأدوات لحظر التهديدات المعروفة أو كشف السلوك المشبوه. يمكن لبعض أدوات الأمن الدفاعي المتقدمة، مثل منصات SOAR، أيضًا أتمتة الاستجابات للهجمات المستمرة.
ورغم أن أساليب الأمن الدفاعية يمكن أن تساعد على إحباط الهجمات الإلكترونية الجارية، فإن هذه الأساليب تفرض أعباء عمل كبيرة على فرق الأمن. إذ يجب على المحللين فرز التنبيهات والبيانات لفصل التهديدات الحقيقية عن الإنذارات الكاذبة. وبالمثل، يمكن لتدابير الأمن الدفاعي أن تحمي فقط من نواقل الهجوم المعروفة، ما يجعل المؤسسات عرضة للتهديدات الإلكترونية الجديدة وغير المعروفة.
يُعَد الأمن الهجومي مكمِّلًا للأمن الدفاعي. تستخدم فرق الأمن أساليب الأمن الهجومي لاكتشاف نواقل الهجوم غير المعروفة والاستجابة لها، والتي قد تفوِّتها التدابير الأمنية الأخرى. كما أن الأمن الهجومي أكثر استباقية من الأمن الدفاعي. فبدلًا من الاستجابة للهجمات الإلكترونية عند حدوثها، تعمل تدابير الأمن الهجومي على إيجاد ومعالجة العيوب قبل أن يتمكن المهاجمون من استغلالها.
باختصار، ينتج عن الأمن الهجومي معلومات تجعل الأمن الدفاعي أكثر فاعلية. كما أنه يقلل من العبء على فرق الأمن. وبسبب هذه الفوائد، يُعَد الأمن الهجومي معيارًا صناعيًا في بعض القطاعات شديدة التنظيم.
الأساليب والتقنيات والإجراءات (TTPs) التي يستخدمها متخصصو الأمن الهجومي هي نفسها التي توظِّفها عناصر التهديد. باستخدام الأساليب والتقنيات والإجراءات هذه، يمكن لمتخصصي الأمن الهجومي كشف الثغرات الأمنية المحتملة التي قد يستغلها المتسللون الحقيقيون في أثناء اختبار البرامج الأمنية الحالية.
تشمل أساليب الأمن الهجومي الرئيسية ما يلي:
فحص الثغرات الأمنية هو عملية مؤتمتة لاكتشاف نقاط الثغرات الأمنية في أصول تكنولوجيا المعلومات بالمؤسسة. تتضمن هذه العملية استخدام أداة متخصصة لفحص أنظمة الكمبيوتر بحثًا عن الثغرات الأمنية.
يمكن لأدوات فحص الثغرات الأمنية البحث في الأصول عن الثغرات الأمنية المعروفة المرتبطة بإصدارات برمجيات محددة. يمكنها أيضًا إجراء اختبارات أكثر نشاطًا، مثل مراقبة كيفية استجابة التطبيقات لسلاسل حقن SQL الشائعة أو للمدخلات الخبيثة الأخرى.
غالبا ما يستخدم المتسللون عمليات فحص الثغرات الأمنية لتحديد الثغرات الأمنية التي يمكنهم استغلالها أثناء الهجوم. وبدورهم، يستخدم خبراء الأمن الهجومي أدوات فحص الثغرات الأمنية نفسها للعثور على هذه الثغرات وإغلاقها قبل أن يتمكن المتسللون من استغلالها. يُتيح هذا النهج الاستباقي للمؤسسات البقاء في صدارة التهديدات وتقوية دفاعاتها.
اختبار الاختراق، أو "Pen Testing"، هو استخدام هجمات إلكترونية تجريبية للكشف عن الثغرات الأمنية في أنظمة الكمبيوتر. بشكل أساسي، يعمل مختبِرو الاختراق كأدوات فحص للثغرات البشرية، حيث يبحثون عن نقاط ضعف الشبكة من خلال تقليد أساليب المتسللين الحقيقيين. يتبنّى مختبرو الاختراق منظور المهاجم، ما يمكِّنهم من تحديد الثغرات الأمنية التي من المرجح أن تستهدفها العناصر الخبيثة بفاعلية.
نظرًا لأن الخبراء يجرون اختبارات الاختراق، يمكنهم اكتشاف الثغرات الأمنية التي قد تفوِّتها الأدوات المؤتمتة بالكامل، كما أنهم أقل عرضة لإظهار نتائج إيجابية زائفة. وإذا كان بإمكانهم استغلال الثغرة، فالمجرمون الإلكترونيون يستطيعون ذلك أيضًا. وبما أن اختبارات الاختراق غالبًا ما يتم تقديمها من قِبل خدمات أمنية خارجية، فإنها غالبًا ما تكشف عن ثغرات قد تغفل عنها فِرق الأمن الداخلية.
منهجية الفريق الأحمر، المعروفة أيضًا باسم "المحاكاة العدائية"، هو تمرين يقوم خلاله فريق من الخبراء بتوظيف الأساليب والتقنيات والإجراءات (TTPs) التي يستخدمها المجرمون الإلكترونيون في العالم الحقيقي لشنّ هجوم محاكٍ ضد نظام كمبيوتر.
بخلاف اختبار الاختراق، يُعَدُّ الفريق الأحمر تقييمًا أمنيًا عدائيًا. يستغل الفريق الأحمر بنشاط ناقلات الهجوم، دون التسبب بأضرار حقيقية، ليرى إلى أي مدى يمكنها الوصول. ويواجه الفريق الأحمر أيضًا فريقًا أزرقَ من مهندسي الأمن الذين يهدفون إلى إيقافهم. ويمنح هذا المؤسسة فرصةً لاختبار إجراءاتها العملية للاستجابة للحوادث.
ستعمل المؤسسات على توظيف فريق أحمر داخلي أو التعاقد مع طرف ثالث لإجراء تدريبات الفريق الأحمر. ولاختبار كلٍّ من الدفاعات الفنية ووعي الموظفين، قد تستخدم عمليات الفريق الأحمر مجموعة من الأساليب. تتضمن أساليب الفريق الأحمر الشائعة هجمات وهمية باستخدام برامج الفدية، والتصيد الاحتيالي وغيرها من عمليات محاكاة الهندسة الاجتماعية وحتى تقنيات الاختراق في الموقع مثل التتبُّع.
قد تُجري الفرق الحمراء أنواعًا مختلفة من الاختبارات اعتمادًا على كمية المعلومات المتوفرة لديها. في اختبار الصندوق الأبيض، يتمتع الفريق الأحمر بشفافية كاملة فيما يتعلق بالهيكل الداخلي والكود المصدر للنظام المستهدف. في اختبار الصندوق الأسود، لا يملك الفريق الأحمر أي معلومات عن النظام ويجب عليه اقتحامه من الخارج، تمامًا مثل المتسللين في العالم الحقيقي. في اختبار الصندوق الرمادي، قد تكون لدى الفريق الأحمر بعض المعرفة الأساسية بالنظام المستهدف، مثل نطاقات IP لأجهزة الشبكة، ولكن ليس أكثر من ذلك.
تُعَد الخبرة العملية في القرصنة ومعرفة لغات البرمجة والتعرُّف على أمن تطبيقات الويب أمرًا حيويًا لجهود الأمن الهجومي. لإثبات خبرتهم في هذه المجالات، يحصل متخصصو الأمن الهجومي غالبًا على شهادات مثل Offensive Security Certified Professional (OSCP) أو Certified Ethical Hacker (CEH).
تتَّبِع فِرق الأمن الهجومي أيضًا منهجيات معتمدة في القرصنة الأخلاقية، بما في ذلك المشروعات مفتوحة المصدر مثل دليل منهجية اختبار الأمن مفتوح المصدر (OSSTMM) والمعيار التنفيذي لاختبار الاختراق (PTES).
يتمتع متخصصو الأمن الهجومي أيضًا بالمهارة في استخدام أدوات الأمن الهجومي الشائعة، بما في ذلك:
Metasploit: إطار عمل لتطوير استغلالات الثغرات وأتمتة تنفيذها على أنظمة تكنولوجيا المعلومات. يتم استخدامه بشكل أساسي في اختبار الاختراق وتقييم الثغرات الأمنية.
Kali Linux: نظام تشغيل مبني على Linux صُمم لاختبار الاختراق والتحليل الجنائي الرقمي.
Burp Suite: أداة لاختبار أمن تطبيقات الويب تعمل على فحص الثغرات الأمنية، واعتراض حركة الويب وتعديلها، وأتمتة الهجمات.
Wireshark: محلِّل بروتوكولات شبكات يعمل على التقاط حركة المرور وفحصها، ما يساعد على تحديد المشكلات الأمنية في اتصالات الشبكة.
Nmap: أداة فحص شبكات يتم استخدامها لاكتشاف الشبكات وفحص المنافذ وتحديد الخدمات.
Aircrack-ng: مجموعة أدوات لاختبار أمن شبكات Wi-Fi، تُتيح اعتراض حزم الشبكة، والتقاط مصافحات الاتصال، وكسر تشفير كلمات المرور.
John the Ripper: أداة لكسر كلمات المرور تنفِّذ هجمات القوة الغاشمة على تجزئات كلمات المرور.
sqlmap: أداة تعمل على أتمتة عملية استغلال ثغرات حقن SQL في تطبيقات الويب.