يستخدم اختبار الاختراق على نطاق واسع لاستكمال جدار حماية تطبيق الويب (WAF) في سياق أمان تطبيق الويب. يحاكي اختبار الاختراق ، المعروف أيضًا باسم اختبار القلم ، هجومًا إلكترونيًا على نظام الكمبيوتر الخاص بك من أجل تحديد العيوب التي يمكن استغلالها. يمكن بعد ذلك استخدام نتائج اختبار الاختراق لضبط سياسات أمان WAF الخاصة بك ومعالجة نقاط الضعف التي تم العثور عليها. إليك كل ما تحتاج لمعرفته حول اختبار الاختراق ، بما في ذلك الأنواع والطرق المختلفة.
ما هو اختبار الاختراق؟
اختبار الاختراق (اختبار القلم) هو هجوم محاكاة يعاقب عليه القانون على نظام كمبيوتر لتقييم أمنه. يستخدم مختبرو الاختراق نفس الأدوات والاستراتيجيات والعمليات التي يستخدمها المهاجمون لتحديد وإظهار الآثار التجارية لعيوب النظام. عادةً ما تكرر اختبارات الاختراق عددًا من الاعتداءات التي يمكن أن تعرض الشركة للخطر. يمكنهم تحديد ما إذا كان النظام قويًا بما يكفي لتحمل الهجمات من كل من المواقع المصدق عليها وغير المصادق عليها ، وكذلك من مجموعة متنوعة من أدوار النظام. يمكن أن يدخل اختبار القلم في أي جانب من جوانب النظام بالنطاق الصحيح.
ما هي المزايا التي يوفرها اختبار الاختراق؟
من الناحية المثالية ، يتم تطوير البرامج والأنظمة من البداية بهدف القضاء على مشكلات الأمان التي يحتمل أن تكون خطرة. يقدم اختبار القلم معلومات حول مدى تحقيق هذا الهدف. إليك كيف يمكن أن يكون اختبار القلم مفيدًا للشركة.
- تحديد عيوب النظام
- تحديد متانة عنصر التحكم.
- المساعدة في الامتثال للوائح خصوصية البيانات والأمان (على سبيل المثال ، PCI DSS و HIPAA و GDPR).
- إعطاء دليل إداري نوعي وكمي للوضع الأمني الحالي وأولويات الميزانية.
ما هي مراحل اختبار القلم؟
يعمل مختبرو القلم كخصوم متحمسين لتقليد الهجمات. عادة ما يتبعون خطة تتضمن الخطوات التالية:
# 1. استطلاع.
لتوجيه نهج الهجوم ، اجمع أكبر قدر ممكن من المعلومات حول الهدف من المصادر العامة والخاصة. تعد عمليات البحث على الإنترنت ، واسترجاع معلومات تسجيل النطاق ، والهندسة الاجتماعية ، ومسح الشبكة غير التدخلي ، والغوص في القمامة من حين لآخر ، كلها مصادر. تساعد هذه البيانات مختبري القلم في رسم خرائط لسطح هجوم الهدف ونقاط الضعف المحتملة. يختلف الاستطلاع حسب نطاق وأهداف اختبار القلم ؛ قد يكون الأمر أساسيًا مثل إجراء مكالمة هاتفية للتعرف على إمكانات النظام.
# 2. يتم المسح
يستخدم مختبرو القلم أدوات للبحث عن العيوب في الموقع أو النظام المستهدف ، مثل الخدمات المفتوحة ، ومخاوف أمان التطبيق ، ونقاط الضعف مفتوحة المصدر. يستخدم مختبرو القلم مجموعة من الأدوات بناءً على ما يكتشفونه أثناء الاستطلاع والاختبار.
# 3. الحصول على الدخول.
قد تتراوح دوافع المهاجمين من سرقة البيانات أو تعديلها أو إتلافها إلى تحويل الأموال أو ببساطة الإضرار بسمعة الشركة. يقرر مختبرو القلم الأدوات والتكتيكات التي يجب استخدامها للوصول إلى النظام ، سواء من خلال خطأ مثل حقن SQL أو عن طريق البرامج الضارة أو الهندسة الاجتماعية أو أي شيء آخر.
# 4. إبقاء الوصول مفتوحًا
بمجرد أن يتمكن مختبرو القلم من الوصول إلى الهدف ، يجب أن يظل هجومهم المحاكي متصلاً بما يكفي لتحقيق أهدافهم المتمثلة في استخراج البيانات أو تعديلها أو إساءة استخدامها. من الضروري إثبات التأثير المحتمل.
أنواع اختبار الاختراق
قبل اتخاذ قرار بشأن مقدم الخدمة ، من الضروري فهم الأنواع العديدة من اختبارات القلم التي يمكن الوصول إليها ، حيث تختلف المشاركات في التركيز والعمق والمدة. فيما يلي أمثلة على ارتباطات القرصنة الأخلاقية الشائعة:
# 1. اختبار الاختراق للبنية التحتية الداخلية والخارجية
تقييم البنية التحتية للشبكة المحلية والسحابة ، بما في ذلك جدران الحماية ومضيفي النظام والأجهزة مثل أجهزة التوجيه والمحولات. يمكن استخدام اختبار الاختراق الداخلي ، مع التركيز على الأصول داخل شبكة الأعمال ، أو اختبار الاختراق الخارجي ، مع التركيز على البنية التحتية المواجهة للإنترنت. لنطاق الاختبار ، يجب أن تعرف عدد عناوين IP الداخلية والخارجية التي سيتم فحصها ، وحجم الشبكة الفرعية للشبكة ، وعدد المواقع.
# 2. فحص الاختراق اللاسلكي
اختبار WLAN (شبكة محلية لاسلكية) يستهدف صراحة شبكة WLAN الخاصة بالمؤسسة وكذلك البروتوكولات اللاسلكية مثل Bluetooth و ZigBee و Z-Wave. يساعد في الكشف عن نقاط الوصول المارقة وعيوب التشفير ونقاط ضعف WPA. سيحتاج المختبرين إلى معرفة عدد الشبكات اللاسلكية وشبكات الضيف والمواقع ومعرفات SSID الفريدة التي سيتم تقييمها من أجل تحديد نطاق المشاركة.
# 3. اختبار تطبيقات الويب
فحص مواقع الويب والبرامج المخصصة الموزعة عبر الإنترنت لتحديد عيوب الترميز والتصميم والتطوير التي يمكن استغلالها بشكل ضار. قبل الاتصال بموفر الاختبار ، حدد عدد التطبيقات التي تتطلب الاختبار ، بالإضافة إلى عدد الصفحات الثابتة والمواقع الديناميكية وحقول الإدخال التي يجب تقييمها.
# 4. اختبار تطبيقات الهاتف المحمول
اختبار تطبيقات الهاتف المحمول على منصات مثل Android و iOS للكشف عن الثغرات الأمنية في المصادقة والترخيص وتسريب البيانات ومعالجة الجلسات. لتحديد نطاق الاختبار ، يجب أن يعرف مقدمو الخدمة أنظمة التشغيل والإصدارات التي يريدون تقييم التطبيق عليها وعدد استدعاءات واجهة برمجة التطبيقات والمتطلبات الأساسية لكسر الحماية واكتشاف الجذر.
# 5. مراجعة البناء والتكوين
افحص تصميمات الشبكة وتكويناتها بحثًا عن أخطاء على خوادم الويب والتطبيقات وأجهزة التوجيه وجدران الحماية. يعد عدد البنيات وأنظمة التشغيل وخوادم التطبيقات التي سيتم اختبارها معلومات مهمة لتحديد نطاق هذا النوع من المشاركة.
# 6. هندسة اجتماعية
تقييم لأنظمتك وقدرة الموظفين على التعرف على محاولات التصيد عبر البريد الإلكتروني والرد عليها. توفر هجمات التصيد الاحتيالي المخصص ، والتصيد بالرمح ، وهجمات البريد الإلكتروني للأعمال (BEC) رؤية مفصلة للمخاطر المحتملة.
# 7. اختبار لاختراق السحابة
يمكن أن تساعد تقييمات أمان السحابة المخصصة مؤسستك في التغلب على صعوبات المسؤولية المشتركة من خلال تحديد ومعالجة الثغرات الأمنية في السحابة والإعدادات المختلطة التي قد تكشف عن الأصول المهمة.
# 8. اختبار الاختراق في بيئة رشيقة
تهدف التقييمات الأمنية المستمرة التي تركز على المطور إلى اكتشاف العيوب الأمنية وتصحيحها أثناء دورة التطوير. تساعد هذه المنهجية الرشيقة على التأكد من أن كل إصدار منتج ، سواء كان إصلاحًا بسيطًا للأخطاء أو ميزة كبيرة ، قد تم اختباره بدقة من أجل الأمان.
طرق اختبار الاختراق
# 1. التقييم الخارجي
تستهدف اختبارات الاختراق الخارجية أصول الشركة المرئية عبر الإنترنت ، مثل تطبيق الويب نفسه ، وموقع الشركة على الويب ، والبريد الإلكتروني ، وخوادم اسم المجال (DNS). الهدف هو الحصول على الوصول واستخراج المعلومات المفيدة.
# 2. التقييم الداخلي
في اختبار داخلي ، يقوم المختبِر الذي لديه حق الوصول إلى تطبيق خلف جدار حماية الشركة بمحاكاة هجوم خبيث من الداخل. هذا ليس دائما محاكاة لموظف مرتد. نقطة البداية الشائعة هي الموظف الذي تم الحصول على بيانات اعتماده نتيجة لمحاولة تصيد.
# 3. الاختبار الأعمى
في الاختبار الأعمى ، يُقدم للمختبِر اسم المنظمة المستهدفة فقط. يوفر هذا لموظفي الأمن عرضًا في الوقت الفعلي لكيفية حدوث هجوم فعلي على التطبيق.
# 4. اختبار مزدوج التعمية
عمال الأمن في اختبار التعمية المزدوجة ليس لديهم معلومات مسبقة عن الهجوم المحاكي. لن يكون لديهم الوقت لتدعيم تحصيناتهم قبل محاولة الاختراق ، كما هو الحال في العالم الحقيقي.
# 5. الاختبار المستهدف
في هذا السيناريو ، يتعاون المختبِر وطاقم الأمن ويبقي كل منهما الآخر على علم بتحركاتهم. هذا تمرين تدريبي ممتاز يقدم لفريق أمني ملاحظات في الوقت الفعلي من منظور أحد المتسللين.
ما هو دور جهاز اختبار الاختراق؟
يركز اختبار الاختراق ، على عكس خبراء علوم الكمبيوتر الآخرين ، على جانب معين من الأمن السيبراني. إنها تساعد في حماية المعلومات الرقمية لشركاتها من خلال الكشف عن عيوب النظام قبل حدوث هجوم ، وهي عملية تُعرف باسم اختبار الثغرات الأمنية.
يمكن لمختبري الاختراق إنقاذ مؤسساتهم من الأضرار المالية والثقة العامة التي تأتي مع انتهاكات البيانات الكبيرة. للكشف عن العيوب المحتملة وتجنب الاعتداءات المستقبلية ، يفكر هؤلاء المحترفون مثل المتسللين الخطرين.
غالبًا ما يتم توظيف مختبري الاختراق من قبل فرق الأمن السيبراني أو تكنولوجيا المعلومات (IT). الخبرة في أدوات القرصنة ، والترميز والبرمجة النصية ، والفهم الشامل لنقاط الضعف وأنظمة التشغيل كلها قدرات اختبار اختراق مهمة.
يستفيد مختبرو الاختراق من مهارات الاتصال والتعامل مع الآخرين وكتابة التقارير القوية.
ما هو المقدار الذي يمكن أن يصنعه اختبار القلم؟
يمكن لمختبري القلم كسب الكثير من المال. وفقًا لـ Payscale ، يبلغ متوسط أجر اختبار الاختراق في سبتمبر 2021 $ 87,440،2020. هذا المبلغ أعلى بكثير من متوسط الأجر الوطني BLS لشهر مايو 41,950 لجميع الوظائف البالغ XNUMX،XNUMX دولارًا.
مختبرو الاختراق على مستوى المبتدئين يكسبون أقل من المحترفين ذوي الخبرة. تختلف الأجور باختلاف التعليم ، وغالبًا ما يكسب مختبرو الاختراق الأعلى مستوى أكثر. الموقع ، والصناعة ، والمجال المتخصص كلها عوامل يمكن أن تؤثر على التعويض.
راتب مختبِر الاختراق بناءً على الخبرة
تختلف نطاقات الرواتب لمختبري الاختراق وفقًا لمستوى الخبرة. يكسب مختبرو الاختراق الذين يتمتعون بخبرة 20 عامًا ما متوسطه 124,610،57,000 دولارًا سنويًا ، وهو ما يقرب من XNUMX دولار أكثر من متوسط تعويض العمال المبتدئين.
مجرد الحصول على خبرة 1-4 سنوات يمكن أن يرفع دخل مختبري الاختراق بشكل كبير ، من 67,950،81,230 دولارًا لمختبر اختراق مستوى الدخول إلى XNUMX،XNUMX دولارًا لخبير مهني مبكر.
راتب مختبِر الاختراق على أساس التعليم
غالبًا ما ترتفع رواتب مختبري الاختراق مع مستوى الدرجة. الانتقال من درجة البكالوريوس في أمن المعلومات إلى درجة الماجستير ، على سبيل المثال ، يمكن أن يرفع متوسط الأجور بمقدار 19,000 دولار في السنة.
ضع في اعتبارك مزايا وعيوب التعليم الإضافي من خلال تقييم الأجور المحتملة الأفضل مقابل الوقت والمال المطلوبين للحصول على درجة أخرى. الشهادات والمعسكرات التمهيدية هي احتمالات أقل تكلفة.
غالبًا ما توفر البرامج الأكاديمية لاختبار الاختراق درجات علمية في علوم الكمبيوتر أو الأمن السيبراني أو أمن المعلومات.
راتب مختبر الاختراق حسب الموقع
بصرف النظر عن التعليم والخبرة ، يمكن أن يكون للمكان الذي تعيش فيه تأثير على تعويضك. يمكن أن يتأثر دخل اختبار الاختراق بعوامل مثل الطلب على العمل وتكلفة المعيشة والكثافة السكانية. ضع في اعتبارك الوظائف في المناطق ذات الأجور المرتفعة مع إحصاءات تكلفة المعيشة الأقل من المتوسط لتحسين إمكانات الكسب.
ما مقدار الوصول الذي يمتلكه مختبرو القلم؟
يتم تزويد المختبرين بدرجات متنوعة من المعلومات حول النظام المستهدف أو الوصول إليه ، اعتمادًا على أهداف اختبار القلم. في ظروف معينة ، يبدأ فريق اختبار القلم بإستراتيجية واحدة ويبقى معها. في بعض الأحيان ، تتطور إستراتيجية فريق الاختبار مع نمو فهمه للنظام أثناء اختبار القلم. ينقسم الوصول إلى اختبار القلم إلى ثلاثة مستويات.
- الصندوق المعتم. الفريق ليس لديه معرفة بالهيكل الداخلي للنظام المستهدف. إنه يتصرف بشكل مشابه للمتسلل ، حيث يستكشف أي عيوب يمكن استغلالها خارجيًا.
- صندوق شبه شفاف. الموظفون على دراية بمجموعة واحدة أو أكثر من أوراق الاعتماد. كما أنه يفهم هياكل البيانات الأساسية ، والتعليمات البرمجية ، والخوارزميات الخاصة بالهدف. يمكن لمختبري القلم بناء حالات اختبار من وثائق تصميم شاملة ، مثل المخططات المعمارية للنظام المستهدف.
- صندوق شفاف. يمكن لمختبري القلم الوصول إلى الأنظمة وعناصر النظام مثل التعليمات البرمجية المصدر والثنائيات والحاويات ، وفي بعض الحالات ، الخوادم التي تقوم بتشغيل النظام. توفر هذه الطريقة أعلى مستوى من التأكيد في أقصر فترة زمنية.
ما هي أدوات اختبار الاختراق؟
تُستخدم أدوات اختبار الاختراق كجزء من اختبار الاختراق (اختبار القلم) لأتمتة عمليات محددة ، وتحسين سرعة الاختبار ، واكتشاف العيوب التي يصعب اكتشافها باستخدام تقنيات التحليل اليدوية فقط. أدوات التحليل الثابت وأدوات التحليل الديناميكي نوعان من أدوات اختبار الاختراق.
ما هي أنواع أدوات اختبار القلم؟
لا توجد أداة اختبار القلم ذات مقاس واحد يناسب الجميع. بدلاً من ذلك ، تتطلب الأهداف المختلفة مجموعات أدوات مختلفة لفحص المنافذ ، ومسح التطبيقات ، واختراق شبكات Wi-Fi ، والاختراق المباشر للشبكة. يتم تصنيف أدوات اختبار القلم على نطاق واسع إلى خمس مجموعات.
- برنامج استطلاع لتحديد مواقع مضيفي الشبكة وفتح المنافذ
- الماسحات الضوئية لنقاط الضعف في خدمات الشبكة وتطبيقات الويب وواجهات برمجة التطبيقات
- تتوفر أدوات الوكيل مثل بروكسيات الويب المتخصصة أو وكلاء الرجل في الوسط العام.
- تُستخدم أدوات الاستغلال لكسب موطئ قدم للنظام أو الوصول إلى الأصول.
- أدوات ما بعد الاستغلال للتعامل مع الأنظمة ، والاحتفاظ بالوصول المتزايد ، وتحقيق أهداف الهجوم
ما الذي يميز اختبار القلم عن الاختبار الآلي؟
يستخدم مختبرو القلم أدوات المسح الآلي والاختبار ، على الرغم من حقيقة أن اختبار القلم هو إلى حد كبير مسعى يدوي. كما أنهم يذهبون إلى ما هو أبعد من الأدوات لتقديم اختبار أكثر تعمقًا من تقييم الثغرات الأمنية (أي الاختبار الآلي) من خلال الاستفادة من فهمهم لاستراتيجيات الهجوم الحالية.
اختبار القلم اليدوي
يحدد اختبار القلم اليدوي نقاط الضعف والضعف التي لم يتم تضمينها في القوائم الشائعة (على سبيل المثال ، OWASP Top 10) ويقيم منطق الأعمال الذي قد يتجاهله الاختبار الآلي (على سبيل المثال ، التحقق من صحة البيانات وفحوصات السلامة). يمكن أن يساعد اختبار القلم اليدوي أيضًا في تحديد الإيجابيات الخاطئة التي يوفرها الاختبار الآلي. يمكن لمختبري القلم فحص البيانات لاستهداف هجماتهم وأنظمة الاختبار ومواقع الويب بطرق لا تستطيع حلول الاختبار الآلي التي تتبع روتينًا محددًا مسبقًا لأنهم محترفون يفكرون مثل الأعداء.
الاختبار الآلي
مقارنة بنهج اختبار القلم اليدوي بالكامل ، ينتج عن الاختبار الآلي نتائج أسرع ويتطلب عددًا أقل من الأفراد المؤهلين. تقوم برامج الاختبار الآلي بتتبع النتائج تلقائيًا ويمكنها في بعض الأحيان تصديرها إلى نظام أساسي لإعداد التقارير مركزي. علاوة على ذلك ، يمكن أن تختلف نتائج اختبارات القلم اليدوية من اختبار إلى آخر ، ولكن إجراء الاختبار الآلي على نفس النظام يؤدي بشكل متكرر إلى نفس النتائج.
ما هي مزايا وعيوب اختبار القلم؟
مع تزايد عدد الانتهاكات الأمنية وخطورتها عامًا بعد عام ، لم تكن هناك حاجة أكبر للمؤسسات للحصول على رؤية حول كيفية مقاومة الهجمات. تحتاج اللوائح مثل PCI DSS و HIPAA إلى اختبار دوري للقلم لضمان الامتثال. مع وضع هذه القيود في الاعتبار ، فيما يلي بعض مزايا وعيوب هذا النوع من تقنيات الكشف عن العيوب.
مزايا اختبار القلم
- تبين أن مناهج ضمان الأمن الأولية ، مثل الأدوات الآلية ومعايير التكوين والتشفير وتحليل البنية وغيرها من مهام تقييم الثغرات الأمنية الأخف وزنًا ، بها عيوب.
- يكتشف كل من أخطاء البرامج المعروفة وغير المعروفة والثغرات الأمنية ، بما في ذلك المشكلات البسيطة التي قد لا تسبب الكثير من القلق من تلقاء نفسها ولكنها قد تسبب ضررًا خطيرًا كجزء من نمط هجوم أكبر.
- يمكنه مهاجمة أي نظام من خلال محاكاة سلوك معظم المتسللين العدائيين ، ومحاكاة عدو حقيقي قدر الإمكان.
عيوب اختبار القلم
- كثيفة العمالة ومكلفة
- لا يمنع بشكل كامل الخلل والعيوب من دخول بيئة الإنتاج.
ما هما اختبارا الاختراق شائع الاستخدام؟
النوعان الأكثر شيوعًا من اختبارات الاختراق هما آلي ويدوي.
لماذا نستخدم اختبار الاختراق؟
الهدف من اختبار الاختراق هو مساعدة الشركات في تحديد الأماكن الأكثر عرضة للهجوم ومعالجة نقاط الضعف هذه بشكل استباقي قبل أن يستغلها المتسللون.
كي تختصر،
اختبار الاختراق (اختبار القلم) هو هجوم محاكاة يعاقب عليه القانون على نظام كمبيوتر لتقييم أمنه. توفر اختبارات القلم معلومات شاملة حول تهديدات الأمان في العالم الحقيقي التي يمكن استغلالها. من خلال إجراء اختبار الاختراق ، يمكنك تحديد نقاط الضعف الحرجة ، والضعيفة ، والإيجابيات الكاذبة.
مقالات ذات صلة
- المواقع والشركات التي تقوم باختبار أفضل المنتجات في عام 2023
- اختبار اللعبة: المعنى والوظائف والراتب والنصائح المجانية
- اختبار لعبة الفيديو: المعنى ، الراتب ، كيف تصبح واحدًا والوظائف عن بُعد
- استراتيجية اختراق السوق: دليل لاختراق السوق (+ نصائح مجانية)
مراجع حسابات
