السلام عليكم و رحمة الله و بركاته
ماهو اختبار الاختراق (Penetration testing)؟
هو اختبار يقوم به متخصصين في الأمن السيبراني بطلب وموافقة من عميل، حيث يستخدم متخصصين الأمن السيبراني معرفتهم وأدواتهم المتخصصة لمهاجمة شبكة أو تطبيق عمدًا وتقييم الإجراءات الوقائية الحالية لهذا العميل؛ و أثناء القيام بذلك، سيبحثون أيضًا عن الاعدادات الخاطئة (misconfigurations)، أو غيرها من الثغرات الأمنية التي تزيد من خطر الأطراف الخبيثة (malicious parties) التي تسبب الفوضى.
ماهي أنواع اختبارات الاختراق (Penetration Testing أو Pen testing) وكيفية تطبيقها؟
1)الحوسبة (Cloud)
الاعدادات غير الصحيحة، والوصول المفرط الممنوح لعدد كبير جدًا من الأطراف، وبيانات الاعتماد الضعيفة (weak credentials) والبرامج القديمة هي بعض الأشياء العديدة التي يمكن أن تزيد من مخاطر أمان السحابة؛ فاختبار الاختراق (Pen testing) في السحابة يساعد العملاء على تعزيز دفاعاتهم ضد الهجمات الإلكترونية.
ومع ذلك، فإن معظم مقدمي الخدمات السحابية الرائدون، لديهم قواعد محددة حول كيفية قيام الأشخاص بإجراء اختبار الاختراق(pen testing) للعملاء الذين يستخدمون هذه الخدمات. على سبيل المثال، تحظر AWS و Microsoft Azure محاكاة رفض الخدمة (DoS) وهجمات رفض الخدمة الموزعة (DDoS) من مختبري الاختراق (penetration testers).
2)الشبكات المحلية(On-Premises Networks)
كانت هذه الأنواع من اختبارات الاختراق هي الخيارات التقليدية التي يتم إجراؤها قبل أن تصبح الحوسبة السحابية أكثر انتشارًا. ومع ذلك، فإنها لا تزال ضرورية نظرًا لأن العديد من الشركات لديها موارد سحابية (cloud-based) ومصادر محلية(on-premises resources).
وعند تقييم الشبكات المحلية (on-premises networks)، قد يتولى مختبر الاختراق (penetration testers) دور شخص خارجي بدون معرفة بالبنية التحتية للشركة ورمز المصدر(source code).
وقد يتضمن التحقق من أمان الشبكات المحلية (on-premises networks) جوانب الهندسة الاجتماعية. فعلى سبيل المثال، ما مدى سهولة انتحال شخص ما، شخصية شخص آخر يريد بشكل شرعي الوصول إلى غرفة الخادم (server room)؟ وبمجرد حصول المؤسسات على نتائج اختبارات الأختراق الخاصة بها، يعد اتخاذ الإجراءات اللازمة لمعالجة المشكلات طريقة ممتازة لزيادة استثماراتها إلى أقصى حد.
3)تطبيقات الويب (Web Apps)
يعمل هذا الفحص في اختبار تصميم وبنية (architecture) واعدادات(configurations) تطبيقات الويب، هناك بعض التبادل(crossover) بين اختبار الاختراق تطبيق الويب (web app pen testing) واختبار الاختراق السحابي (cloud pen testing)، نظرًا لأن العديد من التطبيقات تلتقط البيانات وترسلها إلى خارج الموقع، و تبحث هذه الاختبارات في استخدام ملفات تعريف الارتباط (cookie) الخاصة بالتطبيق وتشفير بيانات الاعتماد ونماذج الويب والجوانب الهامة الأخرى.
4)الشبكات اللاسلكية (Wireless Networks)
يفحص اختبار الاختراق طرق التشفير المختلفة المستخدمة على الشبكات، كما يقوم بتوثيق جميع الأجهزة المتصلة بالشبكات اللاسلكية، و نظرًا لأن المزيد من الأشخاص يستخدمون الشبكات اللاسلكية للشركة وغالبًا ما يجلبون الأجهزة للعمل معها، يصبح من الصعب بشكل متزايد تحديد الاستخدام غير المصرح به للجهاز.
5)إنترنت الأشياء / الأجهزة المدمجة ( IoT/Embedded Devices)
تتحقق اختبارات الاختراق في هذه المجموعة من وجود عيوب في قطعة من الأجهزة أو المنتجات المتصلة بأجهزة مدمجة، و تندرج أجهزة إنترنت الأشياء (IoT) مثل الكاميرات الأمنية ومكبرات الصوت الذكية ضمن هذه الفئة.
الهدف هو البحث عن نقاط الضعف في التدابير الحالية للمنتج، من أجل الحفاظ على مستوى عالٍ من الأمان.على سبيل المثال، كان مختبرو الاختراق هم من اخترقوا سيارة جيب، واستولوا على فرامل السيارة والمحرك والمكونات الأساسية الأخرى.
م.أمــل عبــدالكريــــم الأصبـــحي،،،
مصدر المعلومات موقع:https://www.comptia.org
