عند إعداد نظام أمان جديد ، عليك التأكد من أنه يعمل بشكل صحيح مع أقل عدد ممكن من نقاط الضعف. عندما يتعلق الأمر بأصول رقمية بقيمة آلاف الدولارات ، لا يمكنك تحمل التعلم من أخطائك وسد فقط الثغرات في أمنك التي استغلها المتسللون سابقًا.
أفضل طريقة لتحسين وضمان أمان شبكتك هي اختبارها باستمرار والبحث عن عيوب لإصلاحها.
إذن ما هو اختبار القلم؟
اختبار الاختراق ، المعروف أيضًا باسم اختبار القلم ، هو هجوم أمن إلكتروني مرحلي يحاكي حادثة أمنية فعلية. يمكن للهجوم المحاكى أن يستهدف جزءًا أو عدة أجزاء من نظام الأمان لديك ، بحثًا عن نقاط ضعف يمكن أن يستغلها المتسلل الضار.
ما يميزه عن الهجوم السيبراني الفعلي هو أن الشخص الذي يقوم بذلك هو مخترق ذو قبعة بيضاء - أو متسلل أخلاقي - تقوم بتعيينه. لديهم المهارات اللازمة لاختراق دفاعاتك دون النية الخبيثة لنظرائهم من ذوي القبعة السوداء.
هناك العديد من الأمثلة على المكبوتات اعتمادًا على نوع الهجوم الذي يشنه المخترق الأخلاقي ، والمعلومات التي يحصلون عليها مسبقًا ، والقيود التي وضعها موظفهم.
يمكن أن يكون pentest واحدًا واحدًا أو مجموعة من أنواع pentest الأولية ، والتي تشمل:
يقوم أحد المطلعين الداخليين أو المختبرين الداخليين بمحاكاة هجوم إلكتروني من الداخل ، حيث يتظاهر متسلل ضار بأنه موظف شرعي ويحصل على إمكانية الوصول إلى الشبكة الداخلية للشركة.
يعتمد هذا على العثور على عيوب أمنية داخلية مثل امتيازات الوصول ومراقبة الشبكة ، بدلاً من الثغرات الخارجية مثل جدار الحماية ومكافحة الفيروسات وحماية نقطة النهاية.
كما يوحي الاسم ، فإن هذا النوع من pentest لا يمنح المتسلل أي وصول إلى الشبكة الداخلية للشركة أو الموظفين. إنه يترك لهم خيار الاختراق من خلال التكنولوجيا الخارجية للشركة مثل المواقع العامة ومنافذ الاتصال المفتوحة.
يمكن أن تتداخل الآفات الخارجية مع الهندسة الاجتماعية ، حيث يخدع المتسلل الموظف ويتلاعب به لمنحه إمكانية الوصول إلى الشبكة الداخلية للشركة ، بعد الحماية الخارجية.
باستخدام pentest تعتمد على البيانات ، يتم تزويد المتسلل بمعلومات وبيانات أمنية حول هدفه. هذا يحاكي هجوم موظف سابق أو شخص حصل على بيانات أمنية مسربة.
على عكس الاختبار القائم على البيانات ، فإن الاختبار الأعمى يعني أن المتسلل لا يحصل على أي معلومات على الإطلاق حول هدفه بخلاف اسمه وما هو متاح للجمهور.
بالإضافة إلى اختبار تدابير الأمن الرقمي للشركة (الأجهزة والبرامج) ، يشمل هذا الاختبار موظفي الأمن وتكنولوجيا المعلومات أيضًا. في هذا الهجوم المنظم ، لا أحد في الشركة على دراية بالمتأثرين ، مما يجبرهم على الرد كما لو كانوا يواجهون هجومًا إلكترونيًا خبيثًا.
يوفر هذا بيانات قيمة عن الأمن العام للشركة واستعداد الموظفين وكيفية تفاعل الاثنين.
على غرار الهجمات الضارة ، يحتاج القرصنة الأخلاقية إلى تخطيط دقيق. هناك العديد من الخطوات التي يجب على المخترق الأخلاقي اتباعها لضمان نجاح اختبار pentest ينتج عنه رؤى قيمة. هنا نظرة ثاقبة منهجية pentest.
سواء أكان المخترق مكفوفًا أو مدفوعًا بالبيانات ، يحتاج المتسلل أولاً إلى جمع معلومات عن هدفه في مكان واحد والتخطيط لنقطة الهجوم من حوله.
والخطوة الثانية هي فحص طرق الهجوم ، والبحث عن الثغرات ونقاط الضعف لاستغلالها. يسعى المتسلل إلى الحصول على نقاط وصول ، ثم يجري عدة اختبارات صغيرة الحجم ليرى كيف يتفاعل نظام الأمان.
بعد العثور على نقاط الدخول الصحيحة ، سيحاول المخترق اختراق أمانه والوصول إلى الشبكة.
هذه هي خطوة "القرصنة" الفعلية التي يستخدمون فيها كل وسيلة ممكنة لتجاوز بروتوكولات الأمان وجدران الحماية وأنظمة المراقبة. يمكنهم استخدام طرق مثل حقن SQL أو هجمات الهندسة الاجتماعية أو البرمجة النصية عبر المواقع.
تعتمد معظم أنظمة الدفاع عن الأمن السيبراني الحديثة على الاكتشاف بقدر ما تعتمد على الحماية. لكي ينجح الهجوم ، يحتاج المتسلل إلى البقاء داخل الشبكة دون أن يتم اكتشافه لفترة كافية لتحقيق هدفه ، سواء كان ذلك لتسريب البيانات ، أو إتلاف الأنظمة أو الملفات ، أو تثبيت برامج ضارة.
بعد أن ينتهي الهجوم - ناجحًا أم لا - سيقوم المخترق بإبلاغ صاحب العمل بالنتائج التي توصلوا إليها. يقوم متخصصو الأمن بعد ذلك بتحليل بيانات الهجوم ، ومقارنتها بما تُبلغ عنه أنظمة المراقبة الخاصة بهم ، وتنفيذ التعديلات المناسبة لتحسين مستوى الأمان لديهم.
غالبًا ما تكون هناك خطوة سادسة حيث تختبر الشركات التحسينات التي أدخلتها على نظام الأمان من خلال إجراء اختبار اختراق آخر. قد يوظفون نفس المخترق الأخلاقي إذا كانوا يريدون اختبار الهجمات التي تعتمد على البيانات أو هجوم آخر للمكفوفين الأعمى.
القرصنة الأخلاقية ليست مهنة تعتمد على المهارات فقط. يستخدم معظم المتسللين الأخلاقيين أنظمة تشغيل وبرامج متخصصة لتسهيل عملهم وتجنب الأخطاء اليدوية ، مما يمنح كل مختص كل ما لديه.
إذن ما الذي يستخدمه قراصنة اختبار القلم؟ وفيما يلي بعض الأمثلة على ذلك.
Parrot Security هو نظام تشغيل قائم على Linux تم تصميمه لاختبار الاختراق وتقييمات نقاط الضعف. إنه صديق للسحابة ، وسهل الاستخدام ، ويدعم العديد من برامج pentest مفتوحة المصدر.
يعد Live Hacking أيضًا أحد أنظمة التشغيل Linux OS ، وهو عبارة عن برنامج pentester لأنه خفيف الوزن ولا يحتوي على متطلبات عالية للأجهزة. كما يأتي معبأ مسبقًا بالأدوات والبرامج الخاصة باختبار الاختراق والقرصنة الأخلاقية.
Nmap هي أداة استخبارات مفتوحة المصدر (OSINT) تراقب الشبكة وتجمع وتحلل البيانات حول مضيفي وخوادم الأجهزة ، مما يجعلها ذات قيمة للمتسللين ذوي القبعات السوداء والرمادية والبيضاء على حدٍ سواء.
إنه أيضًا متعدد الأنظمة الأساسية ويعمل مع Linux و Windows و macOS ، لذا فهو مثالي للمتسلل الأخلاقي المبتدئين.
WebShag هي أيضًا أداة OSINT. إنها أداة تدقيق للنظام تقوم بمسح بروتوكولات HTTPS و HTTP وتجمع البيانات والمعلومات ذات الصلة. يتم استخدامه من قبل المتسللين الأخلاقيين الذين يقومون بإجراء اختبارات خارجية من خلال مواقع الويب العامة.
اختبار القلم لشبكتك ليس هو خيارك الأفضل لأنه من المحتمل أن يكون لديك معرفة واسعة بها ، مما يجعل من الصعب التفكير خارج الصندوق والعثور على نقاط الضعف المخفية. يجب عليك إما استئجار متسلل أخلاقي مستقل أو خدمات شركة تقدم اختبار القلم.
ومع ذلك ، فإن توظيف شخص خارجي لاختراق شبكتك قد يكون محفوفًا بالمخاطر للغاية ، خاصة إذا كنت تزودهم بمعلومات أمنية أو وصولاً من الداخل. هذا هو السبب في أنك يجب أن تلتزم بموفري الطرف الثالث الموثوق بهم. هذه عينة صغيرة من تلك المتاحة.
HackerOne هي شركة مقرها سان فرانسيسكو تقدم خدمات اختبار الاختراق وتقييم نقاط الضعف واختبار الامتثال للبروتوكول.
يقع موقع ScienceSoft في تكساس ، ويقدم تقييمات للضعف ، واختبار القلم ، واختبار الامتثال ، وخدمات تدقيق البنية التحتية.
يقع مقر Raxis في أتلانتا ، جورجيا ، ويقدم خدمات قيمة من اختبار القلم ومراجعة رمز الأمان إلى التدريب على الاستجابة للحوادث وتقييمات نقاط الضعف والتدريب الوقائي على الهندسة الاجتماعية.
على الرغم من أن اختبار القلم لا يزال جديدًا نسبيًا ، إلا أنه يقدم رؤى فريدة حول طريقة عمل دماغ المتسلل أثناء مهاجمته. إنها معلومات قيمة لا يستطيع حتى أمهر المتخصصين في الأمن السيبراني توفيرها للعمل على السطح.
يمكن أن يكون اختبار القلم هو الطريقة الوحيدة لتجنب استهداف المتسللين ذوي القبعات السوداء والمعاناة من العواقب.
حقوق الصورة: Unsplash.
أدت التطورات في تكنولوجيا المعلومات (IT) إلى خلق أماكن عمل أكثر إنتاجية. ومع أمثال الحوسبة السحابية ، لم يكن الوصول إلى أدوات العمل الرقمية أسهل من أي وقت مضى.
الشبكة الافتراضية الخاصة (VPN) هي أداة أساسية لتصفح الإنترنت بأمان. ولكن مع كل الخيارات المتاحة في السوق ، من السهل جدًا الوقوع في إجهاد اتخاذ القرار وينتهي بك الأمر بدون حماية مع عدم وجود VPN على الإطلاق.
يعد التزوير عبر الموقع (CSRF) أحد أقدم الطرق لاستغلال نقاط الضعف في مواقع الويب. إنه يستهدف محولات الويب من جانب الخادم والتي تتطلب عادةً مصادقة مثل تسجيل الدخول. أثناء هجوم CSRF ، يهدف المهاجم إلى إجبار ضحيته على تقديم طلب ويب ضار وغير مصرح به نيابةً عنهم.
GoFundMe هي واحدة من أفضل المنصات عبر الإنترنت التي يستخدمها الأشخاص لطلب تبرعات من الآخرين لمساعدة أنفسهم أو أحبائهم. يحتوي الموقع على فريق متخصص للتأكد من أن الأموال التي يتم جمعها تذهب إلى المستلمين المقصودين. إذا فشل شيء ما في هذا الصدد ، يقوم فريق GoFundMe بإصدار المبالغ المستردة.
تعد الرموز الشريطية من أفضل الطرق لمشاركة البيانات على سطح مادي. كل ما يتعين على الشخص المهتم فعله هو مسح الرمز ضوئيًا مباشرة على هاتفه الذكي للوصول إلى موقع ويب أو تطبيق.
بالنظر إلى أننا بحاجة إلى تأمين حساباتنا عبر الإنترنت ، يساعد مدير كلمات المرور في تسهيل المهمة. لا يقتصر مدير كلمات المرور على إدارة بيانات الاعتماد فحسب ، بل يمكنك أيضًا الحصول على مجموعة واسعة من الميزات معه.
تهيمن حوادث القرصنة دائمًا على الأخبار ، وهي محقة في ذلك. إنها دليل على أنه لا يوجد أحد في مأمن ، خاصةً عندما تكون الضحية شركة كبرى ذات نظام أمان إلكتروني متطور. كان اختراق SolarWinds أحد الاختراقات التي كان لها تأثير كبير على مشهد الأمن السيبراني.
إذا سبق لك أن أدخلت أنفك في عالم الأمن السيبراني ، فستعلم أن المتسللين يميلون إلى العثور على عيوب معيقة في التقنيات الراسخة ، مما يفتح ثغرة لمئات الآلاف من الأجهزة في جميع أنحاء العالم. هذا هو الحال مع استغلال BrakTooth ، والذي يهدف إلى التسبب في مشاكل لأجهزة Bluetooth في جميع أنحاء العالم.
مع خدمات DNS الآمنة ، يمكنك بسهولة تحسين خصوصيتك على الإنترنت. ومع ذلك ، توفر لك بعض خدمات DNS وظائف إضافية جنبًا إلى جنب مع عناصر التحكم لتخصيص تجربتك عبر الإنترنت.
ربما تكون قد شاهدت سيارة Google مزودة بكاميرا مثبتة ، تلتقط لقطات من وضع التجوّل الافتراضي. إنه لأمر مدهش أنه يمكننا استخدام جهاز كمبيوتر أو هاتف لرؤية الأماكن التي لم نقم بزيارتها مطلقًا.
