يقيس اختبار الاختراق فعالية تدابير الدفاع الخاصة بالأمن السيبراني. وتذكر أن فعاليتها تتغير بمرور الوقت، لذا كررها حسب الضرورة. لا يوجد شيء يمكن نسيانه في عالم الأمن السيبراني.
دورة الضعف
تحتوي جميع البرامج غير التافهة على أخطاء. وهناك برامج في كل مكان تنظر إليه على شبكتك، لذا فإن الحقيقة المحزنة هي أن شبكتك مليئة بالأخطاء. لن تؤدي كل هذه الأخطاء إلى حدوث ثغرة أمنية، ولكن بعضها سيؤدي إلى ذلك. وإذا استغل أحد هذه الثغرات الأمنية من قبل الجهات الفاعلة المهددة، فإن شبكتك معرضة للخطر.
أنظمة التشغيل وتطبيقات البرامج وبرامج الأجهزة الثابتة كلها أشكال من البرامج. ومن الواضح أن الخوادم ونقاط نهاية الشبكة ستشغل أنظمة التشغيل والتطبيقات. والعناصر التي غالبًا ما يتم تجاهلها هي أجهزة الشبكة الأخرى مثل جدران الحماية وأجهزة التوجيه ونقاط الوصول اللاسلكية والمفاتيح. تحتوي جميعها على برامج ثابتة على الأقل، وغالبًا ما تحتوي على نظام تشغيل مضمن أيضًا. تحتوي الأجهزة الأخرى، مثل أجهزة إنترنت الأشياء والأجهزة الذكية الأخرى، أيضًا على برامج ثابتة ونظام تشغيل مضمن وبعض أكواد التطبيقات فيها.
مع اكتشاف الثغرات الأمنية، يقوم مقدمو الخدمات المسئولون بإصدار تصحيحات أمنية. وتتضمن هذه التصحيحات إصلاحات للأخطاء المعروفة، والتي تعمل على إغلاق الثغرات الأمنية المعروفة. ولكن هذا لن يفعل شيئًا لتصحيح أي ثغرات أمنية غير معروفة، ما لم يكن هناك قدر كبير من الحظ.
لنفترض أن أحد البرامج يعاني من ثلاث ثغرات أمنية. تم اكتشاف اثنتين منها وتم إصدار تصحيح أمني لمعالجتهما. أما الثغرة الأمنية الثالثة، التي لم يتم اكتشافها بعد، فهي لا تزال موجودة في البرنامج. عاجلاً أم آجلاً، سيتم اكتشاف هذه الثغرة الأمنية. وإذا تم اكتشافها من قبل مجرمين إلكترونيين، فيمكنهم استغلال هذه الثغرة الأمنية في جميع الأنظمة التي تعمل على إصدار هذا البرنامج حتى يتم إصدار التصحيح من قبل الشركة المصنعة وتطبيق هذا التصحيح من قبل المستخدمين النهائيين.
ومن عجيب المفارقات أن الثغرات الأمنية الجديدة قد تظهر من خلال التصحيحات والتحديثات والترقيات. ولا ترجع كل الثغرات الأمنية إلى أخطاء. فبعضها يرجع إلى قرارات تصميمية سيئة، مثل كاميرات المراقبة التلفزيونية التي تدعم تقنية إنترنت الأشياء عبر شبكة Wi-Fi والتي لم تسمح للمستخدمين بتغيير كلمة مرور المسؤول. لذا فمن المستحيل أن نقول إن أنظمتك خالية من الثغرات الأمنية. ولكن هذا لا يعني أنه لا ينبغي لك أن تفعل ما بوسعك للتأكد من خلوها من الثغرات الأمنية المعروفة.
اختبار الاختراق واختبار الثغرات الأمنية
اختبار الاختراق هو في الواقع مجموعة كبيرة من الاختبارات المصممة لتقييم أمان أصول تكنولوجيا المعلومات الخارجية الخاصة بك. يتم استخدام برامج متخصصة لتحديد أي نقاط ضعف قابلة للاستغلال بشكل منهجي. يتم ذلك من خلال تنفيذ العديد من الهجمات الحميدة على دفاعاتك. يمكن أن يتضمن تشغيل الاختبار مئات الاختبارات المجدولة المختلفة.
اختبار الثغرات الأمنية هو نوع مشابه من الفحص، ولكن يتم إجراؤه داخل شبكتك. فهو يبحث عن نفس نوع الثغرات الأمنية مثل اختبار الاختراق ويتحقق من أن إصدارات نظام التشغيل حديثة وما زالت مدعومة من قبل الشركة المصنعة. يحدد اختبار الثغرات الأمنية الثغرات الأمنية التي يمكن أن يستغلها أحد الجهات الفاعلة في التهديد أو البرامج الضارة إذا تمكن أي منهما من الوصول إلى شبكتك.
قد تكون التقارير التي تم إنشاؤها بواسطة هذه الاختبارات ساحقة للوهلة الأولى. يتم وصف كل ثغرة أمنية ومعالجتها. نقاط الضعف والتعرضات الشائعة يتم إعطاء رقم. ويمكن استخدام هذا للبحث عن الثغرة في أحد مؤشرات الثغرات عبر الإنترنت. حتى الشبكات المتواضعة يمكنها إنشاء تقارير تصل إلى عشرات الصفحات. بالنسبة للشبكات متوسطة الحجم، يمكن قياس التقارير في مئات الصفحات.
لحسن الحظ، يتم تصنيف الثغرات الأمنية وفقًا لشدتها. ومن الواضح أنك بحاجة إلى معالجة الثغرات الأمنية ذات الأولوية الأعلى ـ أي الثغرات الأكثر خطورة ـ أولاً، ثم الثغرات الأمنية ذات الأولوية الأعلى الثانية، وهكذا. والثغرات الأمنية ذات الدرجة الأدنى هي ثغرات أمنية من الناحية الفنية ولكنها منخفضة الخطورة إلى الحد الذي يجعلها تعتبر بمثابة نصيحة أكثر منها أمراً إلزامياً يجب إصلاحه.
في بعض الأحيان، قد يؤدي تصحيح ثغرة أمنية واحدة إلى حل مجموعة كاملة من المشكلات. فقد تتسبب شهادة TLS/SSL منتهية الصلاحية أو الموقعة ذاتيًا في إنشاء قائمة طويلة من الثغرات الأمنية. ولكن تصحيح هذه المشكلة الواحدة سيعالج جميع الثغرات الأمنية ذات الصلة دفعة واحدة.
فوائد اختبار الاختراق
إن أهم فائدة يقدمها اختبار الاختراق هي المعرفة. يسمح لك التقرير بفهم وإصلاح الثغرات المعروفة الموجودة في أصول تكنولوجيا المعلومات والشبكات ومواقع الويب الخاصة بك. تخبرك القائمة ذات الأولوية بوضوح بالثغرات التي يجب معالجتها على الفور، والثغرات التي يجب معالجتها بعد ذلك، وما إلى ذلك. إنها تضمن توجيه جهودك دائمًا إلى الثغرات المتبقية الأكثر خطورة. من المؤكد أنها ستحدد المخاطر التي لم تكن تعلم بوجودها، ولكنها ستظهر لك أيضًا – وإن كان ذلك من خلال أدلة سلبية – المناطق التي تم تأمينها بالفعل بشكل محكم.
يمكن لبعض برامج اختبار الاختراق تحديد نقاط الضعف الناتجة عن مشكلات التكوين الخاطئ أو ضعف نظافة الأمن السيبراني، مثل قواعد جدار الحماية المتضاربة أو كلمات المرور الافتراضية. هذه حلول سهلة وسريعة ومنخفضة التكلفة تعمل على تحسين وضعك السيبراني على الفور.
إن أي شيء يعمل على تحسين فعالية الأمن السيبراني الخاص بك يحمي بياناتك الأكثر حساسية ويعمل لصالح استمرارية عملك. وبالطبع، فإن منع الخروقات والحوادث الأمنية الأخرى يساعدك أيضًا على تجنب غرامات حماية البيانات أو الدعاوى القضائية من أصحاب البيانات.
إن معرفة نقاط ضعفك ـ وما هي هذه النقاط ـ يمكن أن تساعدك في التخطيط وبناء خريطة طريق لاستراتيجيتك الدفاعية. وهذا يتيح لك وضع الميزانية اللازمة لنفقاتك الأمنية وتحديد أولوياتها. كما يتيح لك تحديد الثغرات في إجراءات سياستك أو المجالات التي لا يتم الالتزام بها.
إذا كنت ملتزمًا باستراتيجية التصحيح الخاصة بك، فيجب تطبيق تصحيحات الأمان وإصلاحات الأخطاء في الوقت المناسب بمجرد إصدارها من قبل الشركة المصنعة. إن الحفاظ على هذا الانضباط سيمنع أنظمة التشغيل والتطبيقات والبرامج الثابتة من التخلف عن الركب.
إذا كانت مؤسستك تعمل وفقًا لمعيار مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS) أو ISO/EUC 27001، فمن المحتمل أن يكون اختبار الاختراق خطوة إلزامية للامتثال. قد يطلب منك مزودو تأمين المسؤولية السيبرانية إجراء اختبار الاختراق قبل أن يقدموا لك بوليصة، أو قد يقدمون قسطًا مخفضًا إذا كنت تجري اختبار الاختراق بانتظام.
على نحو متزايد، يطلب كل من العملاء المحتملين والحاليين الاطلاع على نتائج تقرير اختبار الاختراق الأخير كجزء من العناية الواجبة. ويتعين على العميل المحتمل أن يتأكد من أنك تأخذ الأمن على محمل الجد قبل أن يعهد إليك بأي من بياناته. ويتعين على العملاء الحاليين أيضًا أن يتأكدوا من أن مقدمي الخدمات الحاليين يتخذون الاحتياطات الأمنية السيبرانية اللازمة لمنع أنفسهم من الوقوع في فخ هجوم سلسلة التوريد.
إنها ليست حدثا لمرة واحدة
لن ترغب في أن تخرج نتائج اختبار الاختراق الأول الخاص بك خارج مؤسستك. قم بإجراء الجولة الأولى من الاختبار، ونفذ العمل التصحيحي، ثم أعد الاختبار. يجب أن توفر لك المجموعة الثانية من الاختبارات خط الأساس للعمل ومجموعة من النتائج التي ترغب في مشاركتها مع أطراف خارجية.
يجب تكرار عملية الاختراق سنويًا على الأقل. وتعتبر الدورة التي تستغرق ستة أشهر مناسبة لمعظم المؤسسات.