منهجيات ومعايير اختبار الاختراق – مدونة IBM

تستمر مساحة الإنترنت في النمو بسرعة، مما يفتح المزيد من الفرص لحدوث الهجمات الإلكترونية داخل نظام الكمبيوتر أو الشبكة أو تطبيق الويب. للتخفيف من هذه المخاطر والاستعداد لها، يعد اختبار الاختراق خطوة ضرورية للعثور على الثغرات الأمنية التي قد يستخدمها المهاجم.

ما هو اختبار الاختراق؟

A اختبار الاختراق، أو "اختبار القلم"، هو اختبار أمني يتم إجراؤه للسخرية من هجوم إلكتروني أثناء العمل. أ هجوم إلكتروني قد تتضمن محاولة تصيد احتيالي أو اختراق نظام أمان الشبكة. هناك أنواع مختلفة من اختبارات الاختراق المتاحة للمؤسسة اعتمادًا على الضوابط الأمنية المطلوبة. يمكن إجراء الاختبار يدويًا أو باستخدام أدوات آلية من خلال عدسة مسار عمل محدد، أو منهجية اختبار القلم.

لماذا اختبار الاختراق ومن يشارك؟

الشروط "القرصنة الأخلاقيةيتم أحيانًا استخدام "اختبار الاختراق" و"اختبار الاختراق" بالتبادل، ولكن هناك فرق. القرصنة الأخلاقية هي أوسع الأمن السيبراني المجال الذي يتضمن أي استخدام لمهارات القرصنة لتحسين أمان الشبكة. اختبارات الاختراق هي مجرد إحدى الطرق التي يستخدمها المتسللون الأخلاقيون. قد يوفر المتسللون الأخلاقيون أيضًا تحليلًا للبرامج الضارة وتقييم المخاطر وأدوات وتقنيات القرصنة الأخرى للكشف عن نقاط الضعف الأمنية وإصلاحها بدلاً من التسبب في ضرر.

في IBM تكلفة تقرير خرق البيانات وجد تقرير 2023 أن متوسط ​​التكلفة العالمية لاختراق البيانات في عام 2023 سيبلغ 4.45 مليون دولار أمريكي، أي بزيادة قدرها 15% على مدى 3 سنوات. تتمثل إحدى طرق التخفيف من حدة هذه الانتهاكات في إجراء اختبار اختراق دقيق ومحدد.

تقوم الشركات بتوظيف مختبري القلم لشن هجمات محاكاة ضد تطبيقاتها وشبكاتها وأصولها الأخرى. من خلال شن هجمات وهمية، يساعد مختبرو الاختراق فرق الأمن الكشف عن الثغرات الأمنية الحرجة وتحسين الوضع الأمني ​​العام. غالبًا ما يتم تنفيذ هذه الهجمات بواسطة فرق حمراء، أو فرق أمنية هجومية. ال الأحمر، تيم يحاكي تكتيكات وتقنيات وإجراءات المهاجمين الحقيقيين (TTPs) ضد نظام المنظمة كوسيلة لتقييم المخاطر الأمنية.

هناك العديد من منهجيات اختبار الاختراق التي يجب مراعاتها عند دخولك في عملية اختبار القلم. يعتمد اختيار المنظمة على فئة المنظمة المستهدفة، وهدف اختبار القلم ونطاق اختبار الأمان. لا يوجد نهج واحد يناسب الجميع. يتطلب الأمر من المنظمة أن تفهم مشكلاتها الأمنية وسياستها الأمنية حتى يكون هناك تحليل عادل لنقاط الضعف قبل عملية اختبار القلم.

شاهد العروض التوضيحية لاختبار القلم من X-Force

أفضل 5 منهجيات لاختبار الاختراق

إحدى الخطوات الأولى في عملية اختبار القلم هي تحديد المنهجية التي يجب اتباعها.

أدناه، سنتعمق في خمسة من أطر اختبار الاختراق الأكثر شيوعًا ومنهجيات اختبار القلم للمساعدة في توجيه أصحاب المصلحة والمنظمات إلى أفضل طريقة لتلبية احتياجاتهم الخاصة والتأكد من أنها تغطي جميع المجالات المطلوبة.

1. دليل منهجية اختبار الأمان مفتوح المصدر

يعد دليل منهجية اختبار الأمان مفتوح المصدر (OSSTMM) أحد أكثر معايير اختبار الاختراق شيوعًا. تخضع هذه المنهجية لمراجعة النظراء لاختبارات الأمان وقد تم إنشاؤها بواسطة معهد الأمن والمنهجيات المفتوحة (ISECOM).

تعتمد الطريقة على منهج علمي لاختبار القلم مع أدلة يسهل الوصول إليها وقابلة للتكيف للمختبرين. يتضمن OSSTMM ميزات رئيسية، مثل التركيز التشغيلي واختبار القناة والمقاييس وتحليل الثقة في منهجيته.

يوفر OSSTMM إطارًا لاختبار اختراق الشبكة وتقييم نقاط الضعف لمحترفي اختبار القلم. ومن المفترض أن يكون إطارًا لمقدمي الخدمات للعثور على نقاط الضعف وحلها، مثل البيانات الحساسة والمشكلات المحيطة بالمصادقة.

2. افتح مشروع أمان تطبيقات الويب

OWASP، اختصار لمشروع أمان تطبيقات الويب المفتوحة، هي منظمة مفتوحة المصدر مخصصة لأمن تطبيقات الويب.

هدف المنظمة غير الربحية هو جعل جميع موادها مجانية ويمكن الوصول إليها بسهولة لأي شخص يرغب في تحسين أمان تطبيقات الويب الخاصة به. OWASP لها خاصيتها أعلى 10 (الرابط موجود خارج ibm.com)، وهو تقرير تم صيانته جيدًا ويحدد أكبر المخاوف الأمنية والمخاطر التي تواجه تطبيقات الويب، مثل البرمجة النصية عبر المواقع، والمصادقة المعطلة، واختراق جدار الحماية. تستخدم OWASP قائمة العشرة الأوائل كأساس لدليل اختبار OWASP الخاص بها. 

ينقسم الدليل إلى ثلاثة أجزاء: إطار اختبار OWASP لتطوير تطبيقات الويب، ومنهجية اختبار تطبيقات الويب وإعداد التقارير. يمكن استخدام منهجية تطبيق الويب بشكل منفصل أو كجزء من إطار عمل اختبار الويب لاختبار اختراق تطبيقات الويب، واختبار اختراق تطبيقات الهاتف المحمول، واختبار اختراق واجهة برمجة التطبيقات (API)، واختبار اختراق إنترنت الأشياء.

3. معيار تنفيذ اختبار الاختراق

PTES، أو معيار تنفيذ اختبار الاختراق، هو طريقة شاملة لاختبار الاختراق.

تم تصميم PTES من قبل فريق من المتخصصين في أمن المعلومات ويتكون من سبعة أقسام رئيسية تغطي جميع جوانب اختبار القلم. الغرض من PTES هو الحصول على إرشادات فنية لتحديد ما يجب أن تتوقعه المنظمات من اختبار الاختراق وتوجيهها طوال العملية، بدءًا من مرحلة ما قبل المشاركة.

يهدف اختبار PTES إلى أن يكون الأساس لاختبارات الاختراق وتوفير منهجية موحدة لمحترفي ومؤسسات الأمن. يوفر الدليل مجموعة من الموارد، مثل أفضل الممارسات في كل مرحلة من مراحل عملية اختبار الاختراق، من البداية إلى النهاية. بعض السمات الرئيسية لـ PTES هي الاستغلال وما بعد الاستغلال. يشير الاستغلال إلى عملية الوصول إلى النظام من خلال تقنيات الاختراق مثل هندسة اجتماعية وتكسير كلمة المرور. يحدث ما بعد الاستغلال عندما يتم استخراج البيانات من نظام مخترق والحفاظ على إمكانية الوصول إليه.

4. إطار تقييم أمن نظام المعلومات

إطار تقييم أمن نظام المعلومات (ISSAF) هو إطار اختبار القلم الذي تدعمه مجموعة أمن أنظمة المعلومات (OISSG).

لم يعد يتم الحفاظ على هذه المنهجية ومن المحتمل أنها ليست المصدر الأفضل للحصول على أحدث المعلومات. ومع ذلك، فإن إحدى نقاط قوتها الرئيسية هي أنها تربط خطوات اختبار القلم الفردية بأدوات اختبار قلم محددة. يمكن أن يكون هذا النوع من التنسيق أساسًا جيدًا لإنشاء منهجية فردية.

5. المعهد الوطني للمعايير والتكنولوجيا  

NIST، وهو اختصار للمعهد الوطني للمعايير والتكنولوجيا، هو إطار عمل للأمن السيبراني يوفر مجموعة من معايير اختبار القلم لكي تتبعها الحكومة الفيدرالية والمنظمات الخارجية. NIST هي وكالة تابعة لوزارة التجارة الأمريكية ويجب اعتبارها الحد الأدنى من المعايير التي يجب اتباعها.

يتوافق اختبار الاختراق NIST مع التوجيهات المرسلة من NIST. للامتثال لهذه الإرشادات، يجب على المؤسسات إجراء اختبارات الاختراق باتباع مجموعة الإرشادات المحددة مسبقًا.

مراحل اختبار القلم

تعيين نطاق

قبل بدء اختبار القلم، حدد فريق الاختبار والشركة نطاقًا للاختبار. يحدد النطاق الأنظمة التي سيتم اختبارها، ومتى سيتم الاختبار، والطرق التي يمكن أن يستخدمها القائمون على اختبار القلم. يحدد النطاق أيضًا مقدار المعلومات التي سيحصل عليها مختبرو القلم في وقت مبكر.

ابدأ الاختبار

وستكون الخطوة التالية هي اختبار خطة النطاق وتقييم نقاط الضعف والوظائف. في هذه الخطوة، يمكن إجراء فحص الشبكة والثغرات الأمنية للحصول على فهم أفضل للبنية التحتية للمؤسسة. يمكن إجراء الاختبار الداخلي والاختبار الخارجي حسب احتياجات المنظمة. هناك مجموعة متنوعة من الاختبارات التي يمكن أن يقوم بها القائمون على اختبار القلم، بما في ذلك اختبار الصندوق الأسود، واختبار الصندوق الأبيض، واختبار الصندوق الرمادي. يوفر كل منها درجات متفاوتة من المعلومات حول النظام المستهدف.

بمجرد إنشاء نظرة عامة على الشبكة، يمكن للمختبرين البدء في تحليل النظام والتطبيقات ضمن النطاق المحدد. في هذه الخطوة، يقوم القائمون على اختبار القلم بجمع أكبر قدر ممكن من المعلومات لفهم أي تكوينات خاطئة.

تقرير عن النتائج

الخطوة الأخيرة هي تقديم التقرير واستخلاص المعلومات. في هذه الخطوة، من المهم إعداد تقرير اختبار الاختراق مع جميع النتائج التي توصل إليها اختبار القلم والتي توضح نقاط الضعف التي تم تحديدها. وينبغي أن يتضمن التقرير خطة للتخفيف والمخاطر المحتملة إذا لم يحدث العلاج.

اختبار القلم وIBM

إذا حاولت اختبار كل شيء، فسوف تضيع وقتك وميزانيتك ومواردك. باستخدام نظام أساسي للاتصال والتعاون مع البيانات التاريخية، يمكنك مركزية وإدارة وترتيب أولويات الشبكات والتطبيقات والأجهزة والأصول الأخرى عالية المخاطر لتحسين برنامج اختبار الأمان الخاص بك. تتيح بوابة X-Force® Red لجميع المشاركين في المعالجة إمكانية عرض نتائج الاختبار فورًا بعد اكتشاف الثغرات الأمنية وجدولة اختبارات الأمان في الوقت الذي يناسبهم.

اكتشف خدمات اختبار اختراق الشبكات من X-Force