CompTIA Pentest + (PT0-002) Module 01 - Scoping Organizational/Customer Requirements

CompTIA Pentest + (PT0-002) الوحدة 01 - تحديد نطاق متطلبات المنظمة/العميل

**يرجى ملاحظة أن هذه الوثيقة تم تجميعها بواسطة CertMaster Group استنادًا إلى الموضوعات الرئيسية لـ CompTIA Pentest+ (PT0-002). يمكن استخدام هذه المادة لمراجعة سريعة للمعرفة المطلوبة لـ CompTIA Pentest+ (PT0-002). ومع ذلك، للحصول على تعلم شامل وفعال، يجب عليك التدرب على استخدام CompTIA CertMaster Lab Pentest+ على ( https://certmaster.org/products/certmaster-labs-for-pentest )، والرجوع إلى المواد النظرية الرسمية [هنا] ( https://certmaster.org/products/the-official-comptia-pentest-self-paced-study-guide-exam-pt0-002-ebook )، والمراجعة باستخدام CompTIA CertMaster Practice for Pentest+ على [هذا الرابط] ( https://certmaster.org/products/comptia-certmaster-practice-for-pentest-pt0-002 ). بدلاً من ذلك، يمكنك التسجيل في دورات التعلم والتدريب عبر الإنترنت من CompTIA على [هذا الرابط]( https://certmaster.org/products/comptia-integrated-certmaster-learn-labs-for-pentest-pt0-002 ).**

PT0-002 / الوحدة 01: تحديد نطاق متطلبات المنظمة/العميل لاختبار الاختراق

1. المقدمة

يعد اختبار الاختراق (PenTest) طريقة بالغة الأهمية لتقييم وتحسين وضع الأمن السيبراني للمؤسسة. يقدم هذا الفصل مقدمة عن عملية اختبار الاختراق ومتطلبات الامتثال وطرق الحفاظ على الاحترافية أثناء عملية الاختبار.

يعد تحديد متطلبات المنظمة/العميل لاختبار الاختراق خطوة حاسمة في العملية لعدة أسباب مهمة:

1. تحديد أهداف واضحة: يساعد تحديد النطاق على تحديد أهداف واضحة ومحددة لاختبار الاختراق. وهذا يضمن أن الاختبار يتماشى مع أهداف الأمان الخاصة بالمؤسسة ويعالج مخاوفها الأكثر إلحاحًا.

2. تحسين الموارد: من خلال تحديد النطاق بوضوح، تستطيع المؤسسات تخصيص الموارد بشكل أكثر فعالية. وهذا يمنع إهدار الوقت والجهد في اختبار المجالات التي لا تشكل أهمية أو أهمية لوضع الأمن في المؤسسة.

3. إدارة المخاطر: يساعد تحديد النطاق المناسب في تحديد الأصول والأنظمة الأكثر أهمية وإعطائها الأولوية للاختبار. وهذا يضمن حصول المناطق عالية الخطورة على الاهتمام والموارد المناسبة أثناء اختبار الاختراق.

4. الاعتبارات القانونية والامتثالية: يساعد تحديد النطاق في ضمان امتثال اختبار الاختراق للقوانين واللوائح ومعايير الصناعة ذات الصلة. ويمكن أن يساعد في منع المشكلات القانونية غير المقصودة التي قد تنشأ عن الاختبار خارج الحدود المتفق عليها.

5. تقليل الاضطرابات التشغيلية: يمكن لنطاق محدد جيدًا أن يحد من احتمالية تعطل العمليات التجارية العادية. ويمكنه تحديد الأنظمة التي يمكن اختبارها، ومتى يمكن إجراء الاختبار، وأنواع الاختبارات المسموح بها.

6. تحديد التوقعات: يحدد تحديد النطاق توقعات واضحة لكل من فريق الاختبار والعميل. ويساعد ذلك في منع سوء الفهم حول ما سيتم اختباره، وكيفية اختباره، وما هي النتائج المتوقعة.

7. التحكم في التكاليف: من خلال تحديد نطاق الاختبار بوضوح، تستطيع المؤسسات تقدير التكاليف المرتبطة باختبار الاختراق والتحكم فيها بشكل أفضل. كما يمنع ذلك التوسع في نطاق الاختبار والنفقات غير المتوقعة.

8. نهج مخصص: لكل منظمة احتياجات أمنية فريدة. يسمح تحديد النطاق باتباع نهج مخصص يتناول المتطلبات والمخاوف والقيود المحددة للمنظمة.

9. الاعتبارات الأخلاقية: يضمن تحديد النطاق المناسب إجراء اختبار الاختراق بطريقة أخلاقية ومسؤولة. فهو يضع حدودًا تمنع المختبرين من الوصول عن غير قصد إلى البيانات أو الأنظمة الحساسة أو المساس بها خارج النطاق المتفق عليه.

10. نتائج قابلة للقياس: يسمح النطاق المحدد جيدًا بنتائج أكثر قابلية للقياس والمقارنة. وهذا مفيد بشكل خاص لتتبع تحسينات الأمان بمرور الوقت أو مقارنة النتائج عبر اختبارات الاختراق المختلفة.

11. الامتثال التنظيمي: بالنسبة للصناعات الخاضعة للوائح محددة (على سبيل المثال، الرعاية الصحية، والتمويل)، يضمن نطاق الاختبار أن اختبار الاختراق يلبي المتطلبات التنظيمية ويمكن استخدامه كدليل على الامتثال.

12. تسهيل التواصل: يوفر النطاق الواضح فهمًا مشتركًا بين جميع أصحاب المصلحة، مما يسهل التواصل بشكل أفضل طوال عملية اختبار الاختراق.

13. التركيز على سياق العمل: يسمح تحديد النطاق بتوافق اختبار الاختراق مع سياق عمل المؤسسة، مما يضمن أن تكون الاختبارات والنتائج ذات صلة بصناعة المؤسسة وحجمها وملامح المخاطر الخاصة بها.

14. الاستعداد للإصلاح: من خلال تحديد ما سيتم اختباره بشكل واضح، يمكن للمنظمات الاستعداد بشكل أفضل للنتائج المحتملة وتخصيص الموارد لجهود الإصلاح بشكل أكثر فعالية.

في الختام، يعد تحديد نطاق متطلبات المنظمة/العملاء لاختبار الاختراق أمرًا ضروريًا لضمان فعالية الاختبار وكفاءته ومناسبته وانسجامه مع احتياجات المنظمة وقيودها. فهو يضع الأساس لمشاركة ناجحة في اختبار الاختراق توفر رؤى قيمة ونتائج قابلة للتنفيذ لتحسين وضع الأمن في المنظمة.

1. مقارنة وتباين التقارير المتعلقة بالحوكمة والمخاطر والامتثال.

توضيح:

تركز تقارير الحوكمة على كيفية إدارة المؤسسة والتحكم فيها. تحدد تقارير المخاطر التهديدات المحتملة التي قد تتعرض لها المؤسسة وتقيمها. توضح تقارير الامتثال الالتزام بالقوانين واللوائح ومعايير الصناعة.

سيناريو توضيحي:

يقوم بنك متعدد الجنسيات، GlobalFinance، بإجراء تقييمات سنوية:

- تقرير الحوكمة: يوضح هيكل القيادة في البنك، وعمليات صنع القرار، والضوابط الداخلية.

- تقرير المخاطر: يحدد التهديدات الإلكترونية المحتملة ومخاطر السوق والثغرات التشغيلية.

- تقرير الامتثال: يوضح الالتزام باللوائح مثل GDPR وPCI DSS والقوانين المصرفية المحلية.

ورغم أن تقرير الحوكمة قد يوصي بتحسين إشراف مجلس الإدارة على الأمن السيبراني، فإن تقرير المخاطر قد يسلط الضوء على نقاط ضعف محددة في النظام المصرفي عبر الإنترنت. ومن ثم يوضح تقرير الامتثال ما إذا كانت هذه الثغرات تنتهك أي متطلبات تنظيمية.

2. أهمية تحديد نطاق العمل ومتطلبات المنظمة/العميل

توضيح:

يحدد نطاق الاختبار حدود اختبار الاختراق، مما يضمن تركيز جهود الاختبار وكفاءتها وتوافقها مع احتياجات المؤسسة. يمنع نطاق الاختبار المناسب العمل غير الضروري، ويقلل المخاطر، ويضمن فحص الأنظمة المهمة بدقة.

سيناريو توضيحي:

تطلب شركة TechInnovate، وهي شركة برمجيات، إجراء اختبار اختراق لتطبيقها الجديد المستند إلى السحابة. وتتضمن عملية تحديد النطاق ما يلي:

- تحديد حدود الاختبار (على سبيل المثال، التطبيق فقط، وليس البنية الأساسية للسحابة الأساسية)

- تحديد الأصول الهامة (على سبيل المثال، قاعدة بيانات المستخدم، وحدة معالجة الدفع)

- تحديد حدود الاختبار (على سبيل المثال، عدم وجود هجمات رفض الخدمة)

- التوافق مع المتطلبات التنظيمية (على سبيل المثال، الاختبار خلال ساعات الذروة)

يضمن هذا النطاق أن يركز اختبار الاختراق على المخاوف الأكثر أهمية بالنسبة لشركة TechInnovate مع تجنب تعطيل عملياتها التجارية.

3. أهمية التواصل أثناء عملية اختبار الاختراق

توضيح:

يضمن التواصل الفعال أن جميع أصحاب المصلحة يفهمون تقدم الاختبار ونتائجه وتداعياته. كما يساعد في إدارة التوقعات، ويسمح بالاستجابة السريعة للنتائج الحاسمة، ويضمن أن التقرير النهائي يلبي احتياجات المنظمة.

سيناريو توضيحي:

أثناء اختبار الاختراق لشركة SecureHealth، وهي شركة تقدم خدمات الرعاية الصحية، يكتشف فريق الاختبار ثغرة أمنية حرجة في نظام سجلات المرضى. ويقومون على الفور بإبلاغ فريق تكنولوجيا المعلومات لدى العميل بذلك، مما يسمح بالتخفيف الفوري للمشكلة. وخلال الاختبار، يقدمون تحديثات يومية وإحاطة منتصف الاختبار، مما يضمن إبلاغ إدارة SecureHealth بشكل كامل وقدرتها على اتخاذ القرارات في الوقت المناسب بشأن تخصيص الموارد وإدارة المخاطر.

4. في حالة وجود سيناريو، أظهر عقلية القرصنة الأخلاقية من خلال الحفاظ على الاحتراف والنزاهة

توضيح:

تتضمن عقلية القرصنة الأخلاقية إجراء الاختبارات بإذن، واحترام الحدود، وحماية البيانات الحساسة، وإعطاء الأولوية لأمن العميل. وتتطلب الحفاظ على الاحتراف والنزاهة طوال عملية الاختبار.

سيناريو توضيحي:

أثناء اختبار الاختراق لمنصة EduOnline للتعليم الإلكتروني، يحصل فريق الاختبار على إمكانية الوصول إلى قاعدة بيانات تحتوي على معلومات الطلاب. وبدلاً من استخراج هذه البيانات، يقومون بتوثيق الثغرة الأمنية وإبلاغ العميل على الفور وتقديم توصيات لتأمين قاعدة البيانات. كما يضمنون حذف جميع بيانات الاختبار بشكل آمن بعد المشاركة، مما يدل على التزامهم بالممارسات الأخلاقية وحماية البيانات.

5. في حالة وجود سيناريو، قم بإجراء استطلاع سلبي

توضيح:

يتضمن الاستطلاع السلبي جمع المعلومات حول هدف ما دون التفاعل المباشر مع أنظمته. وقد يشمل ذلك استخدام المصادر العامة ووسائل التواصل الاجتماعي وغيرها من المعلومات المتاحة علنًا.

سيناريو توضيحي:

قبل البدء في اختبار الاختراق المعتمد لشركة GreenEnergy، وهي شركة تعمل في مجال الطاقة المتجددة، يقوم فريق الاختبار بإجراء استطلاع سلبي:

- يقومون بتحليل موقع GreenEnergy على الويب، مع ملاحظة التقنيات المستخدمة ونقاط الدخول المحتملة.

- يقومون بمراجعة الوظائف الشاغرة في الشركة لفهم مجموعة التكنولوجيا الخاصة بها.

- يقومون بفحص السجلات العامة والبيانات الصحفية للحصول على معلومات حول البنية التحتية لشركة GreenEnergy.

- يستخدمون أدوات OSINT لجمع المعلومات حول نطاقات شبكات الشركة وتنسيقات البريد الإلكتروني.

يوفر هذا الاستطلاع السلبي معلومات قيمة للمراحل اللاحقة من اختبار الاختراق، وكل ذلك دون تنبيه أنظمة الأمان الخاصة بشركة GreenEnergy أو الحاجة إلى أي تفاعل مباشر مع شبكتها.

تضمن هذه الأهداف مجتمعة أن يتعامل مختبرو الاختراق مع عملهم بطريقة منهجية وأخلاقية وبما يتماشى مع احتياجات العميل والمتطلبات التنظيمية. كما تؤكد على أهمية التواصل الواضح والسلوك المهني والإعداد الشامل في عملية اختبار الاختراق.

2. تعريف اختبار الاختراق التنظيمي

2.1 تقييم الصحة السيبرانية والمرونة

تدرك المؤسسات بشكل متزايد الحاجة إلى تأمين أنظمتها. ولضمان سرية البيانات وسلامتها وتوافرها، تستخدم العديد منها ثلاثة أنواع رئيسية من الضوابط:

أ) الضوابط الإدارية: تتضمن هذه الضوابط السياسات والإجراءات. على سبيل المثال، سياسات كلمات المرور التي تتطلب كلمات مرور معقدة وتغييرات منتظمة، أو سياسات الاستخدام المقبول التي تحدد كيفية استخدام الموظفين لموارد الشركة.

ب) الضوابط المادية: تتعلق هذه الضوابط بحماية الأصول المادية. ومن الأمثلة على ذلك غرف الخوادم المقفلة وكاميرات المراقبة وأنظمة الوصول البيومترية.

ج) الضوابط الفنية أو المنطقية: وتشمل حلول البرمجيات والأجهزة مثل جدران الحماية، والتشفير، وأنظمة اكتشاف التطفل.

يجب أن تلتزم كل هذه الضوابط بمبدأ الحد الأدنى من الامتيازات، والذي يعني منح المستخدمين الحد الأدنى فقط من حقوق الوصول التي يحتاجون إليها لأداء وظائفهم. يساعد هذا المبدأ في تقليل الضرر المحتمل الناجم عن الحوادث أو الأفعال الخبيثة.

2.2 تقليل المخاطر الإجمالية

الهدف الأساسي من اختبار الاختراق هو تقليل المخاطر الإجمالية. الصيغة المستخدمة لتحديد المخاطر هي:

المخاطر = التهديد * الضعف

أين:

- يمكن أن تكون التهديدات عبارة عن برامج ضارة، أو قراصنة، أو حتى كوارث طبيعية.

- الثغرات الأمنية هي نقاط ضعف أو عيوب في النظام يمكن استغلالها.

على سبيل المثال، إذا كان الخادم يعاني من ثغرة أمنية غير مُرقعة (حصلت على درجة 8 من 10 من حيث الخطورة) وكان خطر الاستغلال متوسطًا (5 من 10)، فإن الخطر سيكون 8 * 5 = 40 من 100.

تتضمن إدارة المخاطر تحديد هذه المخاطر وتقييمها وتحليلها والاستجابة لها. يساعد اختبار الثغرات الأمنية في هذه العملية من خلال الكشف عن الثغرات الأمنية قبل أن يتمكن الجهات الخبيثة من استغلالها.

2.3 عملية اختبار البنطال المنظم من CompTIA

تحدد CompTIA عملية مكونة من ثماني خطوات لإجراء اختبارات الاختراق:

1. التخطيط وتحديد النطاق: يتضمن ذلك تحديد خطة اختبار PenTest، بما في ذلك تحديد الأهداف والأنظمة التي سيتم اختبارها والقيود.

2. الاستطلاع: جمع المعلومات عن الهدف. ويمكن أن يشمل ذلك أساليب سلبية (معلومات متاحة للعامة) ونشطة (التفاعل المباشر مع الهدف).

3. المسح: تحديد المضيفين المباشرين والمنافذ المفتوحة والخدمات قيد التشغيل. غالبًا ما تُستخدم أدوات مثل Nmap في هذه المرحلة.

4. الحصول على إمكانية الوصول: محاولة استغلال الثغرات الأمنية لمعرفة مدى عمق الشبكة التي يمكن للمختبر اختراقها.

5. الحفاظ على الوصول: بمجرد الحصول على الوصول، يحاول المختبر الحفاظ عليه دون اكتشافه لأطول فترة ممكنة، محاكياً سلوك المهاجم الحقيقي.

6. تغطية المسارات: إزالة أي دليل على الاختراق، مثل إدخالات السجل أو الملفات التي تم إنشاؤها.

7. التحليل: تحليل النتائج واستخلاص ملخص لتصنيف المخاطر لكل ثغرة تم العثور عليها.

8. إعداد التقارير: تقديم النتائج في تقرير شامل، غالبًا ما يتضمن ملخصًا تنفيذيًا ونتائج فنية مفصلة.

السيناريو: اختبار اختراق أنظمة الرعاية الصحية MediTech

MediTech هي شركة إقليمية تقدم خدمات الرعاية الصحية ولديها عدة عيادات ومستشفى مركزي. وقد استعانت بشركة CyberShield، وهي شركة أمن سيبراني مرموقة، لإجراء اختبار اختراق شامل لأنظمتها.

1. التخطيط وتحديد النطاق: تجتمع CyberShield مع فريقي تكنولوجيا المعلومات والإدارة في MediTech لتحديد خطة PenTest. ويحددون الأهداف (تقييم أمان سجلات المرضى ونظام المواعيد)، والأنظمة التي سيتم اختبارها (شبكة المستشفى الرئيسية، وشبكات العيادات، وبوابة المرضى)، والقيود (عدم تعطيل الأنظمة الطبية الحيوية).

2. الاستطلاع: يبدأ CyberShield في جمع المعلومات حول MediTech:

  • سلبي: يقومون بالبحث في السجلات العامة، وتحليل موقع MediTech على الويب، ومراجعة ملفات تعريف الموظفين على وسائل التواصل الاجتماعي.
  • نشط: يقومون بإجراء مكالمات هاتفية إلى MediTech متظاهرين بأنهم مرضى محتملون لجمع المعلومات حول أنظمتهم.

3. المسح: باستخدام Nmap وأدوات أخرى، يقوم CyberShield بمسح شبكات MediTech:

  • يقومون بتحديد المضيفين المباشرين عبر شبكات المستشفيات والعيادات.
  • يكتشفون المنافذ المفتوحة على خوادم مختلفة، بما في ذلك بعض المنافذ المفتوحة غير المتوقعة على خادم بوابة المريض.
  • يقومون بإحصاء الخدمات الجارية، مع ملاحظة إصدار قديم لخدمة قاعدة البيانات على أحد خوادم العيادة.

4. الحصول على إمكانية الوصول: تحاول CyberShield استغلال الثغرات الأمنية التي تم العثور عليها:

  • إنهم يستخدمون ثغرة معروفة في خدمة قاعدة البيانات القديمة للحصول على وصول أولي إلى خادم العيادة.
  • ومن هناك، يقومون باستغلال كلمة مرور ضعيفة لحساب المسؤول للوصول إلى شبكة المستشفى الرئيسية.

5. الحفاظ على الوصول: بمجرد الدخول إلى أنظمة MediTech، يقوم CyberShield بما يلي:

  • إنشاء حساب مستخدم مخفي بامتيازات مرتفعة.
  • يقوم بتثبيت أداة الوصول عن بعد المقنعة على العديد من الخوادم الرئيسية.
  • يقوم بإعداد مهام مجدولة يتم التحقق منها بشكل دوري مع خادم الأوامر والتحكم الخاص بها.

6. تغطية المسارات: لكي تظل غير مكتشفة، تقوم CyberShield بما يلي:

  • تعديل سجلات النظام لإزالة الأدلة على تدخلهم.
  • يقوم بحذف أي ملفات مؤقتة تم إنشاؤها أثناء أنشطتهم.
  • يتأكد من عدم ظهور أداة الوصول عن بعد في قوائم العمليات الجارية.

7. التحليل: تقوم CyberShield بتحليل النتائج التي توصلت إليها:

  • يقومون بتحديد نقاط الضعف الحرجة في بوابة المرضى وشبكات العيادات.
  • يقومون بتقييم التأثير المحتمل لكل ثغرة أمنية، مع الأخذ في الاعتبار عوامل مثل سهولة الاستغلال والتعرض المحتمل للبيانات.
  • يقومون بتقييم كل ثغرة على مقياس من منخفض إلى حرج بناءً على تحليلهم.

8. إعداد التقارير: تقدم CyberShield تقريرًا شاملاً إلى MediTech:

  • الملخص التنفيذي: نظرة عامة عالية المستوى على الاختبار، والنتائج الرئيسية، وتقييم المخاطر بشكل عام.
  • النتائج الفنية التفصيلية: شرح مفصل لكل ثغرة أمنية، بما في ذلك كيفية اكتشافها واستغلالها.
  • تصنيف المخاطر: تفصيل واضح لمستويات المخاطر لكل ثغرة.
  • التوصيات: خطوات محددة وقابلة للتنفيذ لكي تتمكن MediTech من معالجة كل ثغرة أمنية.
  • الملاحق: البيانات الخام من عمليات المسح، ولقطات الشاشة للاستغلالات الناجحة (مع حذف المعلومات الحساسة)، وغيرها من الأدلة الداعمة.

يوضح هذا السيناريو كيفية تطبيق كل خطوة من خطوات عملية اختبار الاختراق في سياق العالم الحقيقي، مما يدل على النهج المنهجي الذي يتبعه خبراء اختبار الاختراق المحترفون لتقييم وضع الأمان في المؤسسة بشكل شامل.

2.4 مقارنة الخطوات المتخذة أثناء اختبار الاختراق

من المهم التمييز بين فرق PenTesting والجهات الفاعلة في التهديد الفعلي:

- فريق اختبار الاختراق: الهدف الرئيسي هو اختبار دفاعات البنية الأساسية. ويعمل الفريق ضمن حدود متفق عليها وبإذن من المنظمة.

- الجهات الفاعلة المهددة: الهدف الرئيسي هو تغيير سلامة النظام لأغراض خبيثة. ليس لديهم حدود وغالبًا ما يهدفون إلى التسبب في الضرر أو سرقة المعلومات.

يساعد فهم هذا الاختلاف في محاكاة الهجمات في العالم الحقيقي مع الحفاظ على الحدود الأخلاقية والقانونية.

السيناريو: منصة الخدمات المصرفية عبر الإنترنت الخاصة بـ SecureBank

لقد قامت SecureBank مؤخرًا بتحديث منصتها المصرفية عبر الإنترنت وترغب في ضمان أمنها. لقد قامت بتعيين فريق اختبار الاختراق لتقييم الأمان. وفي الوقت نفسه، وبدون علم SecureBank، قامت مجموعة من الجهات الفاعلة في مجال التهديدات أيضًا باستهداف أنظمة البنك.

فريق اختبار الاختراق:

1. المشاركة: يتم تعيين الفريق رسميًا من قبل SecureBank وتوقيع عقد يوضح نطاق وحدود عملهم.

2. الأهداف: هدفهم هو تحديد نقاط الضعف في منصة الخدمات المصرفية عبر الإنترنت لمساعدة SecureBank على تحسين أمنها.

3. المنهجية: يتبعون نهجًا منظمًا، يبدأ بالاستطلاع والمسح، ثم محاولة استغلال الثغرات الأمنية المكتشفة.

4. القيود: تعمل هذه الشركات ضمن حدود متفق عليها. على سبيل المثال، قد تتجنب إجراء الاختبارات خلال ساعات الذروة لمنع حدوث أي خلل في أداء العملاء.

5. الأخلاقيات: إذا تمكنوا من الوصول إلى بيانات حساسة، فلا يقومون باستخراجها أو إساءة استخدامها.

6. التواصل: يحافظون على اتصال منتظم مع فريق تكنولوجيا المعلومات التابع لـ SecureBank، وخاصةً إذا اكتشفوا نقاط ضعف حرجة.

7. المدة: يكون لمشاركتهم إطار زمني محدد، وعادة ما يكون بضعة أسابيع.

8. التقارير: في نهاية الاختبار، يقدمون تقريرًا مفصلاً عن النتائج والتوصيات إلى SecureBank.

الجهة المهددة:

1. المشاركة: لا يتم الترخيص لهم ويعملون بشكل غير قانوني، وغالبًا من موقع بعيد.

2. الأهداف: هدفهم عادة هو تحقيق مكاسب مالية، إما من خلال سرقة الأموال بشكل مباشر أو بيع البيانات المسروقة على الويب المظلم.

3. المنهجية: على الرغم من أنهم قد يستخدمون أدوات وتقنيات مماثلة لتلك التي يستخدمها فريق PenTesting، إلا أنهم غير ملزمين بأي قواعد أو أخلاقيات.

4. القيود: ليس لديهم أي قيود وقد يهاجمون في أي وقت، بما في ذلك خلال ساعات الذروة لزيادة الارتباك.

5. الأخلاقيات: إذا تمكنوا من الوصول إلى بيانات حساسة، فسوف يستغلونها لتحقيق مكاسب شخصية أو يبيعونها.

6. التواصل: يتجنبون أي اتصال مع SecureBank، ويحاولون البقاء بعيدًا عن الأنظار لأطول فترة ممكنة.

7. المدة: قد تستمر في النظام لعدة أشهر أو حتى سنوات إذا لم يتم اكتشافها.

8. الإبلاغ: بدلاً من التقرير، قد يتركون ملاحظة فدية إذا قرروا نشر برامج الفدية، أو يختفون ببساطة مع البيانات المسروقة.

مثال على النتيجة:

فريق اختبار الاختراق: اكتشفوا ثغرة أمنية في وظيفة إعادة تعيين كلمة المرور والتي قد تسمح بالاستيلاء على الحساب. فأبلغوا SecureBank على الفور، وعرضوا الثغرة الأمنية في بيئة خاضعة للرقابة، وقدموا توصيات لإصلاحها. وقام SecureBank بإصلاح الثغرة الأمنية في غضون أيام.

الجهات الفاعلة المهددة: يكتشفون نفس الثغرة الأمنية لكنهم يستغلونها للوصول إلى حسابات عملاء متعددة. يقومون بتحويل الأموال إلى حسابات غير قابلة للتتبع وبيع بيانات العملاء على شبكة الويب المظلمة. لا يكتشف SecureBank الاختراق إلا بعد أشهر عندما يبلغ العملاء عن معاملات غير مصرح بها.

يوضح هذا المثال التباين الصارخ بين فرق اختبار الثغرات الأمنية والجهات الفاعلة في مجال التهديدات. ورغم أن كليهما قد يستخدم تقنيات مماثلة، فإن نواياهما وأساليبهما ونتائجهما تختلف اختلافًا جوهريًا. تعمل فرق اختبار الثغرات الأمنية على تحسين الأمان بمعرفة المؤسسة وموافقتها، بينما تسعى الجهات الفاعلة في مجال التهديدات إلى استغلال الثغرات الأمنية لأغراض ضارة دون علم المؤسسة.

3. متطلبات الامتثال

3.1 PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)

تحدد معايير PCI DSS الضوابط التي يجب أن تكون موجودة للتعامل مع بيانات بطاقات الائتمان. تتضمن المتطلبات الأساسية ما يلي:

- إنشاء وصيانة البنية التحتية للشبكة الآمنة: ويتضمن ذلك تنفيذ جدران الحماية وتقسيم الشبكة بشكل صحيح.

- حماية بيانات حامل البطاقة: استخدام التشفير لنقل البيانات وتخزينها.

- الحفاظ على برنامج إدارة الثغرات الأمنية: التحديثات والتصحيحات المنتظمة للأنظمة.

- تنفيذ تدابير قوية للتحكم في الوصول: باستخدام المصادقة متعددة العوامل ومبدأ الحد الأدنى من الامتيازات.

- مراقبة الشبكات واختبارها بشكل منتظم: إجراء عمليات مسح أمنية واختبارات اختراق بشكل منتظم.

- الحفاظ على سياسة أمن المعلومات: توثيق ممارسات الأمن وتطبيقها في جميع أنحاء المنظمة.

يجب على الشركات أن تكون يقظة في جهودها لتأمين البيانات:

- عليهم إكمال التقييمات والإبلاغ عن النتائج.

- يحدد مستوى التاجر ما إذا كان يجب عليه إكمال تقرير الامتثال (ROC).

- يجب على التجار من المستوى 1 (الذين يعالجون أكثر من 6 ملايين معاملة بطاقة سنويًا) إجراء تدقيق خارجي من قبل مقيم أمني مؤهل معتمد (QSA).

- يجب على المستويين 1 و 2 إكمال تقرير الامتثال.

- يمكن للمستويات من 2 إلى 4 إما أن يكون لديها مدقق خارجي أو تقديم استبيان تقييم ذاتي (SAQ) يثبت أنهم يتخذون خطوات فعالة لتأمين البنية التحتية.

3.2 اللائحة العامة لحماية البيانات (GDPR)

يركز قانون حماية البيانات العامة (GDPR) على خصوصية بيانات المستهلك:

- إنه يؤثر على أي شخص يتعامل تجاريًا مع المقيمين في الاتحاد الأوروبي وبريطانيا.

- المكونات الرئيسية تشمل:

أ) طلب الموافقة: يجب على المنظمات طلب الإذن لكل مصدر بيانات تقوم بجمعه من الأفراد.

ب) السماح بإلغاء الموافقة: يمكن للمستهلكين إلغاء الموافقة في أي وقت.

ج) النطاق العالمي: ينطبق على أي منظمة تتعامل مع بيانات المقيمين في الاتحاد الأوروبي، بغض النظر عن مكان تواجد المنظمة.

د) تقييد جمع البيانات: ينبغي للمنظمات أن تجمع فقط ما هو ضروري.

ه) الإبلاغ عن الانتهاكات: يتعين على الشركات الإبلاغ عن أي انتهاك خلال 72 ساعة من اكتشافه.

3.3 قوانين الخصوصية الأخرى

- قانون SHIELD (وقف عمليات الاختراق وتحسين أمن البيانات الإلكترونية): صدر في ولاية نيويورك لحماية بيانات المواطنين. ويلزم القانون الشركات بتنفيذ إجراءات وقائية لحماية "المعلومات الخاصة" لسكان نيويورك.

- قانون خصوصية المستهلك في كاليفورنيا (CCPA): يمنح هذا القانون سكان كاليفورنيا مزيدًا من التحكم في معلوماتهم الشخصية، بما في ذلك الحق في معرفة البيانات التي يتم جمعها والقدرة على طلب حذفها.

- قانون نقل التأمين الصحي والمساءلة (HIPAA): ينص هذا القانون الأمريكي على أحكام تتعلق بخصوصية البيانات وأمنها لحماية المعلومات الطبية. وهو ينطبق على مقدمي الرعاية الصحية، وخطط الرعاية الصحية، ومراكز تبادل المعلومات الخاصة بالرعاية الصحية.

أمثلة للشركات أو المؤسسات التي تحتاج إلى تطبيق PCI DSS وGDPR وSHIELD Act وCCPA وHIPAA، بالإضافة إلى حالات الاستخدام المحددة وفوائد الامتثال.

1. PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)

مثال للمنظمة: Global Retail Inc.، وهي شركة تجارة إلكترونية دولية

حالة الاستخدام: تعالج Global Retail ملايين معاملات بطاقات الائتمان سنويًا من خلال متجرها عبر الإنترنت والمواقع المادية في جميع أنحاء العالم.

التطبيق: يجب عليهم تطبيق معايير PCI DSS في جميع أنظمة الدفع الخاصة بهم، بما في ذلك:

  • تشفير بيانات حامل البطاقة أثناء النقل والتخزين
  • تحديث الأنظمة وتصحيحها بشكل منتظم
  • تنفيذ ضوابط وصول قوية
  • إجراء تقييمات أمنية منتظمة

فوائد:

  • تقليل مخاطر اختراق البيانات والتكاليف المرتبطة بها
  • زيادة ثقة العملاء وولائهم
  • تجنب الغرامات والعقوبات الباهظة من العلامات التجارية للبطاقات
  • تحسين الوضع الأمني ​​العام

2. اللائحة العامة لحماية البيانات (GDPR)

مثال للمنظمة: EuroTech Solutions، وهي شركة برمجيات مقرها الولايات المتحدة ولديها عملاء في الاتحاد الأوروبي

حالة الاستخدام: تقوم EuroTech بجمع ومعالجة البيانات الشخصية لمواطني الاتحاد الأوروبي لأنشطتها في مجال إدارة علاقات العملاء والتسويق.

التطبيق: يحتاجون إلى:

  • الحصول على موافقة صريحة لجمع البيانات
  • توفير خيارات للمستخدمين للوصول إلى بياناتهم أو تعديلها أو حذفها
  • تنفيذ تدابير حماية البيانات
  • تعيين مسؤول حماية البيانات

فوائد:

  • تعزيز الثقة مع العملاء والشركاء الأوروبيين
  • تحسين ممارسات إدارة البيانات
  • تجنب الغرامات الباهظة المترتبة على قانون حماية البيانات العامة (GDPR) (تصل إلى 4% من إجمالي المبيعات السنوية العالمية)
  • الميزة التنافسية في الأسواق التي تهتم بالخصوصية

3. قانون SHIELD (قانون وقف عمليات الاختراق وتحسين أمن البيانات الإلكترونية)

مثال للمنظمة: NY Financial Advisors، وهي شركة استشارات مالية صغيرة في نيويورك

حالة الاستخدام: تتعامل الشركة مع معلومات مالية حساسة لسكان نيويورك.

التطبيق: يجب عليهم:

  • تنفيذ برنامج أمن البيانات
  • تدريب الموظفين على ممارسات الأمن السيبراني
  • إجراء تقييمات المخاطر بشكل منتظم
  • تأكد من أن مقدمي الخدمات التابعين لجهات خارجية يمكنهم حماية البيانات

فوائد:

  • انخفاض مخاطر اختراق البيانات
  • تحسين ثقة العملاء
  • الامتثال لقانون ولاية نيويورك
  • تحسين ممارسات الأمن الشاملة

4. قانون خصوصية المستهلك في كاليفورنيا (CCPA)

مثال للمنظمة: TechGiant Corp، وهي شركة تكنولوجيا كبيرة مقرها كاليفورنيا

حالة الاستخدام: تقوم شركة TechGiant بجمع ومعالجة المعلومات الشخصية لسكان كاليفورنيا من خلال خدماتها المتنوعة عبر الإنترنت.

التطبيق: يحتاجون إلى:

  • توفير معلومات واضحة حول ممارسات جمع البيانات
  • تقديم خيارات إلغاء الاشتراك في مبيعات البيانات
  • الرد على طلبات المستهلكين بشأن الوصول إلى البيانات أو حذفها
  • تنفيذ تدابير أمنية معقولة

فوائد:

  • زيادة الشفافية والثقة مع المستهلكين في كاليفورنيا
  • تحسين إدارة البيانات وتنظيمها
  • تجنب عقوبات CCPA
  • التحضير لقوانين الخصوصية الفيدرالية المحتملة

5. قانون نقل التأمين الصحي والمساءلة (HIPAA)

مثال للمنظمة: HealthCare Plus، وهي شركة تقدم الرعاية الصحية في عدة ولايات

حالة الاستخدام: يدير HealthCare Plus السجلات الصحية الإلكترونية ويتواصل مع المرضى ومقدمي الخدمات الآخرين إلكترونيًا.

التطبيق: يجب عليهم:

  • تنفيذ ضوابط الوصول القوية والمصادقة
  • تشفير بيانات المريض أثناء النقل وفي حالة السكون
  • إجراء تقييمات منتظمة للمخاطر الأمنية
  • تدريب الموظفين على ممارسات الخصوصية والأمان
  • إنشاء اتفاقيات شراكة تجارية مع البائعين

فوائد:

  • حماية المعلومات الحساسة للمريض
  • زيادة ثقة ورضا المرضى
  • تجنب عقوبات HIPAA الشديدة
  • تحسين الكفاءة التشغيلية من خلال الممارسات الموحدة

في كل هذه الحالات، لا يساعد الامتثال المؤسسات على تجنب العقوبات فحسب، بل يعزز أيضًا من موقفها الأمني ​​العام، ويبني الثقة مع العملاء، وغالبًا ما يؤدي إلى تحسين الممارسات التشغيلية. وفي حين أن التنفيذ الأولي قد يكون صعبًا ومكلفًا، فإن الفوائد طويلة الأجل من حيث الحد من المخاطر وتعزيز السمعة تفوق التكاليف عادةً.

4. مقارنة المعايير والمنهجيات

4.1 تحديد أطر عمل اختبار الاختراق

تُعد أطر عمل اختبار الاختراق إرشادات ومنهجيات منظمة تساعد المتخصصين في مجال الأمن على إجراء تقييمات أمنية شاملة ومتسقة. توفر هذه الأطر نهجًا منهجيًا لتحديد نقاط الضعف واستغلال نقاط الضعف والإبلاغ عن النتائج بطريقة موحدة.

1. OWASP (مشروع أمان تطبيقات الويب المفتوحة)

OWASP هي مؤسسة غير ربحية تعمل على تحسين أمان البرامج. وهي توفر موارد وأدوات ومنهجيات مختلفة لأمان تطبيقات الويب.

المكونات الرئيسية:

  • OWASP Top 10: قائمة محدثة بانتظام لأهم مخاطر أمن تطبيقات الويب
  • دليل اختبار OWASP: دليل شامل لاختبار أمان تطبيقات الويب
  • OWASP ZAP (Zed Attack Proxy): ماسح أمان تطبيقات الويب مفتوح المصدر

مثال للتطبيق: تقوم شركة ناشئة في مجال التكنولوجيا المالية بتطوير منصة جديدة للخدمات المصرفية عبر الإنترنت. وتستخدم الشركة قائمة OWASP Top 10 كقائمة مراجعة للتأكد من أنها تعالج المخاطر الأمنية الأكثر أهمية. وأثناء التطوير، تقوم الشركة بفحص تطبيقها بانتظام باستخدام OWASP ZAP لتحديد نقاط الضعف المحتملة. وقبل الإطلاق، تقوم الشركة بإجراء تقييم شامل وفقًا لدليل اختبار OWASP لضمان تغطية أمنية شاملة.

2. المعهد الوطني للمعايير والتكنولوجيا (NIST)

المعهد الوطني للمعايير والتكنولوجيا هو وكالة حكومية أمريكية تعمل على تطوير معايير وإرشادات الأمن السيبراني. ورغم أنه ليس إطار عمل خاصًا باختبار الاختراق، إلا أن المعهد الوطني للمعايير والتكنولوجيا يوفر موارد قيمة لاختبار الأمان.

المكونات الرئيسية:

  • NIST SP 800–115: دليل فني لاختبار وتقييم أمن المعلومات
  • إطار عمل الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا: يوفر مجموعة من الإرشادات للتخفيف من مخاطر الأمن السيبراني في المنظمة

مثال للتطبيق: تستعد إحدى شركات المقاولات الحكومية الكبيرة لإجراء تدقيق أمني. وهي تستخدم معيار NIST SP 800–115 لتوجيه عملية تقييم الأمن الداخلي لديها، مما يضمن تغطية جميع جوانب أنظمة المعلومات الخاصة بها. كما تعمل على مواءمة استراتيجيتها الأمنية الشاملة مع إطار عمل الأمن السيبراني التابع للمعهد الوطني للمعايير والتكنولوجيا، باستخدام وظائفه الأساسية الخمس (التحديد والحماية والكشف والاستجابة والاسترداد) لهيكلة برنامجها الأمني.

3. OSSTMM (دليل منهجية اختبار الأمان مفتوح المصدر)

OSSTMM هي منهجية تمت مراجعتها من قبل النظراء لإجراء اختبارات ومقاييس الأمان. وهي توفر نهجًا علميًا لاختبار الأمان التشغيلي للمواقع المادية والتفاعلات البشرية وجميع أشكال الاتصالات.

المكونات الرئيسية:

  • ستة أقسام تغطي أنواعًا مختلفة من الأمن (الجسدي، الطيفي، الاتصالات، شبكات البيانات، البيئي، والبشري)
  • RAV (قيم تقييم المخاطر): نهج كمي لقياس الأمن

مثال للتطبيق: تريد شركة متعددة الجنسيات تقييم أمن عملياتها بالكامل، بما في ذلك المكاتب المادية والبنية الأساسية الرقمية والعوامل البشرية. تستخدم OSSTMM كإطار شامل لهذا التقييم. على سبيل المثال:

  • الأمن المادي: يقومون باختبار ضوابط الوصول، وأنظمة المراقبة، واستجابات الإنذار.
  • شبكات البيانات: يقومون بإجراء اختبارات اختراق شاملة للشبكة.
  • الإنسان: يقومون بإجراء اختبارات الهندسة الاجتماعية لتقييم الوعي الأمني ​​للموظفين. بعد التقييم، يستخدمون نظام RAV التابع لـ OSSTMM لقياس وضعهم الأمني ​​الحالي وتتبع التحسينات بمرور الوقت.

التطبيق المقارن للأطر:

لنفترض أن هناك سيناريوًا ترغب فيه شركة تجارة إلكترونية كبيرة بإجراء تقييم أمني شامل:

1. OWASP: سيستخدمون هذا بشكل أساسي لتطبيقات الويب وواجهات برمجة التطبيقات الخاصة بهم. سيقوم فريق الأمان بما يلي:

o راجع أفضل 10 برامج اختبار وفقًا لتصنيف OWASP لتحديد أولويات جهود الاختبار الخاصة بك.

o استخدم دليل اختبار OWASP لضمان التغطية الشاملة لاختبارات أمان تطبيقات الويب.

o استخدم أدوات مثل OWASP ZAP للفحص الآلي.

2. المعهد الوطني للمعايير والتكنولوجيا: ستستخدم الشركة إرشادات المعهد الوطني للمعايير والتكنولوجيا لضمان قوة برنامجها الأمني ​​الشامل. وستقوم الشركة بما يلي:

o اتبع NIST SP 800–115 لتنظيم عملية اختبار الأمان الخاصة بك.

o مواءمة استراتيجية الأمن لديهم مع إطار عمل الأمن السيبراني التابع للمعهد الوطني للمعايير والتكنولوجيا، والتأكد من وجود عمليات لديهم لجميع الوظائف الأساسية الخمس.

3. OSSTMM: سيتم استخدام هذا النموذج لإجراء تقييم أمني أكثر شمولاً. سيقوم الفريق بما يلي:

o تقييم الأمن المادي لمراكز البيانات الخاصة بهم باستخدام قسم الأمن المادي في OSSTMM.

o اختبار أمان الشبكة باستخدام قسم شبكات البيانات.

o إجراء تقييمات للعوامل البشرية، بما في ذلك اختبارات الهندسة الاجتماعية.

من خلال الجمع بين هذه الأطر، يمكن لشركة التجارة الإلكترونية ضمان تقييم أمني شامل يغطي تطبيقات الويب، وموقف الأمن السيبراني العام، والجوانب الفنية وغير الفنية المحددة لعملها.

وفي الختام، ورغم أن كل من هذه الأطر تتمتع بنقاط قوتها، فإنها غالباً ما تكون أكثر فعالية عند استخدامها معاً، مما يسمح للمؤسسات بالاستفادة من مناهجها التكميلية لتقييم الأمن وتحسينه.

4.2 توفير الهيكل والتوجيه

يشير الهيكل والتوجيه في اختبار الاختراق إلى الأطر والمنهجيات الموحدة التي توفر نهجًا منهجيًا لإجراء تقييمات الأمان. تقدم هذه الأطر العديد من الفوائد:

1. الاتساق: التأكد من تغطية جميع جوانب الأمن في كل تقييم.

2. الكفاءة: توفر خريطة طريق للمختبرين لمتابعةها، مما يوفر الوقت والموارد.

3. المقارنة: تسمح بإجراء مقارنات ذات معنى بين التقييمات المختلفة أو على مر الزمن.

4. الاحترافية: إظهار نهج منهجي للعملاء وأصحاب المصلحة.

دعونا نستكشف ثلاثة أطر عمل بارزة توفر البنية والتوجيه في اختبار الاختراق:

1. ISSAF (إطار تقييم أمن أنظمة المعلومات)

ISSAF هو إطار عمل مفتوح المصدر تم تطويره بواسطة مجموعة أمان أنظمة المعلومات المفتوحة (OISSG).

المميزات الرئيسية:

  • تغطية شاملة لمختلف مجالات الأمن
  • منهجية مفصلة لكل مرحلة من مراحل اختبار الاختراق
  • توصيات الأدوات والتقنيات لكل خطوة

الهيكل: ينقسم ISSAF إلى ثلاث مراحل رئيسية:

1. التخطيط والإعداد

2. التقييم

3. الإبلاغ عن الآثار وتنظيفها وتدميرها

التطبيق العملي: قررت مؤسسة مالية كبيرة إجراء تقييم أمني شامل للبنية التحتية لتكنولوجيا المعلومات الخاصة بها. وقد اختارت ISSAF بسبب نهجها الشامل.

  • في مرحلة التخطيط والإعداد، يقومون بتحديد النطاق وجمع المعلومات حول أنظمتهم وإعداد أدوات الاختبار.
  • أثناء مرحلة التقييم، يتبعون المبادئ التوجيهية التفصيلية لـ ISSAF فيما يتعلق برسم خرائط الشبكة، وتحديد نقاط الضعف، واستغلالها.
  • في المرحلة النهائية، يقومون بتجميع تقرير مفصل عن النتائج التي توصلوا إليها، وتنظيف أي تغييرات تم إجراؤها أثناء الاختبار، والتأكد من تدمير جميع البيانات الحساسة التي تم جمعها بشكل آمن.

2. PTES (معيار تنفيذ اختبار الاختراق)

يوفر PTES لغة مشتركة ونطاقًا لإجراء اختبار الاختراق.

المميزات الرئيسية:

  • سبعة أقسام رئيسية تغطي عملية اختبار الاختراق بأكملها
  • المبادئ التوجيهية الفنية لإجراء الاختبارات
  • التركيز على التواصل الواضح للنتائج

بناء:

1. التفاعلات قبل المشاركة

2. جمع المعلومات الاستخبارية

3. نمذجة التهديد

4. تحليل نقاط الضعف

5. الاستغلال

6. ما بعد الاستغلال

7. إعداد التقارير

التطبيق العملي: ترغب إحدى شركات التجارة الإلكترونية متوسطة الحجم في اختبار أمان نظام معالجة الدفع الجديد الخاص بها. وهي تتبنى اختبار PTES لهذا التقييم المحدد.

  • في تفاعلات ما قبل المشاركة، يتم تحديد النطاق بوضوح، مع التركيز بشكل خاص على نظام الدفع.
  • أثناء جمع المعلومات الاستخباراتية ونمذجة التهديدات، يقومون بتحديد المهاجمين المحتملين وأساليبهم المحتملة.
  • في تحليل الثغرات واستغلالها، يقومون باكتشاف نقاط الضعف في نظام الدفع ومحاولة استغلالها.
  • تتضمن مرحلة ما بعد الاستغلال رؤية مدى قدرتهم على التحول عن أي وصول أولي تم الحصول عليه.
  • وأخيرًا، يقومون بإعداد تقرير مفصل وفقًا لإرشادات PTES، مع توضيح المخاطر بوضوح لأصحاب المصلحة الفنيين وغير الفنيين.

3. MITRE ATT&CK (التكتيكات والأساليب والمعارف المشتركة)

على الرغم من أنه ليس إطار عمل لاختبار الاختراق بشكل صارم، فإن MITRE ATT&CK يوفر قاعدة معرفية شاملة لتكتيكات وتقنيات الخصم استنادًا إلى الملاحظات في العالم الحقيقي.

المميزات الرئيسية:

  • مصفوفة تفصيلية لتكتيكات وتقنيات المهاجمين
  • تحديثات منتظمة بناءً على مشهد التهديد المتطور
  • ينطبق على كل من العمليات الهجومية (الفريق الأحمر) والدفاعية (الفريق الأزرق)

البنية: يتم تنظيم ATT&CK إلى تكتيكات (السبب وراء استخدام تقنية الهجوم) وتقنيات (الكيفية). وهي تغطي دورة حياة الهجوم بالكامل، بما في ذلك:

  • الوصول الأولي
  • تنفيذ
  • المثابرة
  • تصعيد الامتيازات
  • التهرب الدفاعي
  • الوصول إلى بيانات الاعتماد
  • اكتشاف
  • الحركة الجانبية
  • مجموعة
  • الترشيح
  • القيادة والتحكم

التطبيق العملي: ترغب إحدى الهيئات الحكومية في تحسين وضعها الأمني ​​ضد التهديدات المستمرة المتقدمة (APTs). وهي تدمج MITRE ATT&CK في اختباراتها الأمنية واستراتيجياتها الدفاعية.

  • الفريق الأحمر: يستخدم فريق اختبار الاختراق ATT&CK لنمذجة هجماتهم، والتأكد من استخدامهم للتقنيات التي يستخدمها خصوم العالم الحقيقيون. على سبيل المثال، قد يستخدمون تقنيات مدرجة ضمن "الوصول الأولي" مثل التصيد الاحتيالي أو استغلال التطبيقات التي تواجه الجمهور.
  • الفريق الأزرق: يستخدم الفريق الدفاعي ATT&CK لتوجيه استراتيجيات الكشف والاستجابة الخاصة بهم. ويتأكدون من وجود ضوابط ومراقبة لكل تكتيك وتقنية ذات صلة ببيئتهم.
  • التقارير: يتم ربط نتائج الفريق الأحمر بمصفوفة ATT&CK، والتي توضح تقنيات الخصم الناجحة والتي تم اكتشافها أو منعها.
  • التحسين: بناءً على النتائج، تعطي الوكالة الأولوية لتحسينات الأمن، مع التركيز على المناطق التي نجحت فيها تقنيات ATT&CK المتعددة.

في الختام، توفر هذه الأطر هيكلًا وتوجيهًا أساسيين لاختبار الاختراق، مما يتيح إجراء تقييمات أمنية أكثر شمولاً وتناسقًا وفعالية. وفي حين أن لكل منها نقاط قوة، تستخدم العديد من المؤسسات مجموعة من الأطر لضمان تغطية شاملة لاحتياجات اختبار الأمان الخاصة بها.

4.3 MITRE ATT&CK

MITRE ATT&CK (التكتيكات والأساليب والمعارف المشتركة)

MITRE ATT&CK هي قاعدة بيانات معرفية يمكن الوصول إليها عالميًا لتكتيكات وتقنيات الخصم استنادًا إلى الملاحظات الواقعية. وهي مصممة لتكون مصفوفة شاملة لسلوك المهاجم، وتوفر لغة مشتركة لمجتمع الأمن السيبراني.

المكونات الرئيسية:

1. التكتيكات: "السبب" الذي يدفع المهاجم إلى القيام بعمله. هذه هي الأهداف التكتيكية للخصم أثناء الهجوم.

2. الأساليب: "كيفية" تنفيذ الهجوم. وهي الأساليب المحددة التي يستخدمها الخصوم لتحقيق أهدافهم التكتيكية.

3. التقنيات الفرعية: أوصاف أكثر تحديدًا لسلوك الخصم من التقنيات.

4. الإجراءات: تنفيذات محددة للتقنيات أو التقنيات الفرعية التي يستخدمها الخصوم.

مصفوفة ATT&CK: تنظم مصفوفة ATT&CK التقنيات في فئات تكتيكية:

1. الوصول الأولي

2. التنفيذ

3. المثابرة

4. تصعيد الامتيازات

5. التهرب الدفاعي

6. الوصول إلى بيانات الاعتماد

7. الاكتشاف

8. الحركة الجانبية

9. المجموعة

10. القيادة والسيطرة

11. الترشيح

12. التأثير

مثال للتطبيق:

دعونا نفكر في سيناريو اختبار الاختراق لمؤسسة مالية:

1. الوصول الأولي: قد يستخدم مخترقو القرصنة هجوم تصيد احتيالي (تقنية T1566) للحصول على الوصول الأولي.

2. التنفيذ: بمجرد حصولهم على حق الوصول، يمكنهم استخدام PowerShell (تقنية T1059.001) لتنفيذ التعليمات البرمجية الضارة.

3. تصعيد الامتيازات: قد يستغلون ثغرة أمنية لتصعيد الامتيازات (التقنية T1068).

4. الاكتشاف: يمكن للمختبرين استخدام تقنيات اكتشاف الحساب (التقنية T1087) للعثور على أهداف عالية القيمة.

5. الحركة الجانبية: قد يستخدمون خدمات بعيدة (تقنية T1021) للتحرك داخل الشبكة.

6. التجميع: يمكن للفريق استخدام البيانات من الأنظمة المحلية (تقنية T1005) لجمع المعلومات الحساسة.

7. استخراج البيانات: أخيرًا، قد يقومون باستخراج البيانات عبر بروتوكول بديل (تقنية T1048) لمحاكاة سرقة البيانات.

سيناريو العالم الحقيقي:

في عام 2019، أبلغت شركة FireEye عن حملة هجومية تستهدف قطاعات المرافق، والتي أطلقت عليها اسم "TEMP.Veles". وقد استخدمت إطار عمل MITRE ATT&CK لوصف تصرفات الخصم:

1. الوصول الأولي: استخدم المهاجمون رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات ضارة (التقنية T1566.001).

2. التنفيذ: لقد استفادوا من نصوص PowerShell (التقنية T1059.001) لتشغيل البرامج الضارة الخاصة بهم.

3. الاستمرار: أنشأ الخصوم مهام مجدولة (التقنية T1053.005) للحفاظ على الوصول.

4. تصعيد الامتيازات: استغلوا الثغرات الأمنية في الأنظمة غير المرقعة (التقنية T1068).

5. التهرب الدفاعي: استخدم المهاجمون ملفات مشوشة (تقنية T1027) لتجنب الكشف.

6. القيادة والتحكم: استخدموا بروتوكولات C2 مخصصة (تقنية T1094) للاتصالات.

من خلال ربط الهجوم بـ ATT&CK، قدمت FireEye وصفًا واضحًا وموحدًا لسلوك الجهة المسؤولة عن التهديد، مما ساعد المؤسسات الأخرى على فهم الهجمات المماثلة والدفاع ضدها.

ميتري أت&ك وكالديرا:

CALDERA (وصف لغة الخصم السيبراني والعمليات لأتمتة الفريق الأحمر) هو نظام محاكاة آلي مفتوح المصدر تم تطويره بواسطة MITRE. يستخدم إطار عمل ATT&CK لإجراء عمليات محاكاة الخصم.

يتيح دمج ATT&CK وCALDERA ما يلي:

1. الاختبار الآلي: يمكن لـ CALDERA تنفيذ سيناريوهات الهجوم تلقائيًا استنادًا إلى تقنيات ATT&CK.

2. ملفات تعريف الخصم القابلة للتخصيص: يمكن لفرق الأمان إنشاء ملفات تعريف تحاكي جهات تهديد محددة أو اختبار سلاسل هجوم معينة.

3. رسم الخرائط في الوقت الحقيقي: عندما ينفذ CALDERA التقنيات، فإنه يقوم برسمها على مصفوفة ATT&CK في الوقت الحقيقي.

4. القياس الدفاعي: تستطيع المؤسسات استخدام CALDERA لاختبار قدراتها على الكشف والاستجابة ضد تقنيات ATT&CK.

مثال على الاستخدام المشترك:

ترغب إحدى الشركات الكبرى في اختبار دفاعاتها ضد مجموعة معينة من التهديدات المتقدمة المستمرة. وسوف تقوم بما يلي:

1. استخدم ATT&CK لتحديد التقنيات المستخدمة بشكل شائع بواسطة مجموعة APT هذه.

2. قم بإنشاء ملف تعريف خصم مخصص في CALDERA استنادًا إلى هذه التقنيات.

3. قم بتشغيل الاختبارات الآلية باستخدام CALDERA، الذي ينفذ التقنيات بطريقة خاضعة للرقابة.

4. لاحظ كيف تستجيب أنظمة دفاعهم لكل تقنية.

5. استخدم النتائج لتحسين دفاعاتهم، مع التركيز على المجالات التي فشل فيها الكشف أو الوقاية.

يوفر هذا الجمع بين قاعدة المعرفة الشاملة التي توفرها ATT&CK وقدرات الأتمتة التي توفرها CALDERA أداة قوية لاختبار الأمان الهجومي وتحسينه دفاعيًا. وهو يسمح للمؤسسات باختبار وتحسين وضع الأمان لديها بشكل مستمر ضد سيناريوهات الهجوم في العالم الحقيقي بطريقة خاضعة للرقابة وقابلة للقياس.

4.4 التحقيق في CVE و CWE

- CVE (الثغرات الأمنية والتعرضات الشائعة): قائمة بالثغرات الأمنية السيبرانية التي تم الكشف عنها علنًا. تتضمن كل إدخال رقم تعريف ووصفًا ومرجعًا عامًا واحدًا على الأقل.

- CWE (Common Weakness Enumeration): قائمة تم تطويرها من قبل المجتمع لأنواع نقاط الضعف في البرامج والأجهزة. وهي بمثابة لغة مشتركة لوصف نقاط الضعف الأمنية في البنية أو التصميم أو الكود.

5. وصف طرق الحفاظ على الاحترافية

5.1 التحقق من صحة الفريق

يجب على كل عضو في فريق PenTesting أن يثبت أنه قادر على العمل في بيئة آمنة:

- تقديم بيانات الاعتماد: مثل الشهادات ذات الصلة (على سبيل المثال، CompTIA PenTest+، CEH) التي توضح المهارات المناسبة لإجراء اختبارات PenTests.

- تقديم فحوصات خلفية حديثة: قد تتضمن درجات الائتمان وسجلات القيادة. من المهم التأكد من عدم وجود سجل جنائي أو إدانة جنائية لأي عضو في الفريق.

- التأكيد على أهمية التعرف على الأنشطة الإجرامية والإبلاغ عنها: حتى لو تم اكتشاف مثل هذا النشاط عن طريق الصدفة أثناء إجراء الاختبار.

5.2 الحفاظ على السرية

- يجب على الجميع في فريق PenTest الموافقة على الالتزام بسياسة التعامل مع المعلومات الملكية والحساسة.

- يجب على الفريق أن يوضح للعميل بشكل صريح أن المختبرين سوف يحمون أي معلومات يكتشفونها أثناء الاختبار.

5.3 تجنب الملاحقة القضائية

- قبل البدء بأي اختبار، يجب على الفريق توضيح شروط العقد بالتفصيل.

- مراجعة كافة الاعتبارات القانونية المحتملة التي قد تكون قابلة للتطبيق.

- فكر بعناية في جميع السيناريوهات التي قد تحدث أثناء الاختبار.

- توضيح كيفية إكمال الاختبار، بالإضافة إلى النزاعات المحتملة التي قد تنشأ.

خاتمة

يعد اختبار الاختراق أداة بالغة الأهمية في تقييم وتحسين وضع الأمن السيبراني في المؤسسة. من خلال الالتزام بالعمليات والمعايير والمتطلبات القانونية المعمول بها، يمكن لمحترفي اختبار الاختراق تقديم أقصى قيمة لعملائهم مع الحفاظ على أعلى مستويات الاحتراف والأخلاق.

يغطي هذا الدليل الشامل الجوانب الرئيسية لاختبار الاختراق، من فهم الأساسيات إلى الحفاظ على المعايير المهنية. وهو يوفر أساسًا قويًا لأي شخص يتطلع إلى فهم أو إجراء اختبارات الاختراق في سياق مؤسسي.

#########################################################################################

مثال على السيناريو: اختبار اختراق شركة التجارة الإلكترونية

نبذة عن الشركة:

GlobalShop هي شركة تجارة إلكترونية متوسطة الحجم تبيع الإلكترونيات في جميع أنحاء العالم. تعالج الشركة أكثر من 500000 معاملة بطاقة ائتمان سنويًا وتخزن بيانات العملاء بما في ذلك الأسماء والعناوين وسجلات الشراء.

الموقف:

أصبح الرئيس التنفيذي لشركة GlobalShop قلقًا بشكل متزايد بشأن الأمن السيبراني بعد سماعه عن خروقات البيانات البارزة الأخيرة. قررت الشركة الاستعانة بشركة اختبار اختراق احترافية، SecureInsight، لتقييم وضع الأمن لديها.

عملية اختبار الاختراق:

1. التخطيط وتحديد النطاق:

اجتمعت شركة SecureInsight مع فريق تكنولوجيا المعلومات في GlobalShop لتحديد نطاق الاختبار. واتفقوا على التركيز على منصة التجارة الإلكترونية ونظام معالجة الدفع وقاعدة بيانات العملاء. وحددوا إطارًا زمنيًا لمدة أسبوعين للاختبار ووضعوا قواعد المشاركة، بما في ذلك قائمة "عدم الاختبار" لأنظمة الإنتاج الحرجة.

2. الاستطلاع:

يبدأ فريق SecureInsight بجمع المعلومات المتاحة للعامة حول GlobalShop. ويبحثون عن نطاقات IP الخاصة بالشركة، ويفحصون كود مصدر موقعها على الويب، ويكتشفون العديد من عناوين البريد الإلكتروني للموظفين من خلال وسائل التواصل الاجتماعي.

3. المسح الضوئي:

باستخدام أدوات مثل Nmap، يقوم الفريق بفحص شبكة GlobalShop، وتحديد المنافذ والخدمات المفتوحة. ويكتشفون إصدارًا قديمًا من Apache يعمل على خادم الويب والعديد من محطات العمل غير المرقعة.

4. الحصول على الوصول:

من خلال استغلال ثغرة معروفة في إصدار Apache القديم، تمكن الفريق من الوصول إلى خادم الويب في البداية. ومن هناك، استخدموا هجمات رش كلمات المرور باستخدام كلمات مرور شائعة الاستخدام ونجحوا في الوصول إلى حساب المسؤول.

5. الحفاظ على الوصول:

يقوم الفريق بإنشاء باب خلفي على الخادم المخترق ويستخدمه للتحرك أفقيًا داخل الشبكة، مما يتيح له في النهاية الوصول إلى قاعدة بيانات العملاء.

6. تغطية المسارات:

يقوم الفريق بتوثيق أفعاله بعناية وإزالة أي آثار أنشأوها أثناء الاختبار، مثل الملفات المؤقتة أو حسابات المستخدم الجديدة.

7. التحليل:

تقوم SecureInsight بتحليل النتائج التي توصلت إليها، وتحديد العديد من الثغرات الأمنية الحرجة:

- برنامج الخادم قديم

- سياسات كلمة المرور الضعيفة

- عدم كفاية تقسيم الشبكة

- بيانات العملاء غير المشفرة

8. التقارير:

ويقوم الفريق بإعداد تقرير شامل يتضمن:

- ملخص تنفيذي لقيادة GlobalShop

- النتائج الفنية التفصيلية

- تصنيفات المخاطر لكل ثغرة

- توصيات للإصلاح

الآثار المترتبة على الامتثال:

- PCI DSS: يكشف الاختبار أن GlobalShop غير متوافق تمامًا مع متطلبات PCI DSS، وخاصة في مجالات الأنظمة الآمنة والتشفير.

- اللائحة العامة لحماية البيانات (GDPR): يشير اكتشاف بيانات العملاء غير المشفرة في الاتحاد الأوروبي إلى انتهاكات محتملة للائحة العامة لحماية البيانات (GDPR).

السلوك المهني:

طوال فترة المشاركة، تحافظ SecureInsight على السرية التامة فيما يتعلق بنتائجها. كما تتأكد من أنها تعمل ضمن النطاق المتفق عليه، وتتوقف عن إجراء الاختبارات عند وصولها إلى قاعدة بيانات العملاء بدلاً من محاولة استخراج البيانات.

حصيلة:

وفقًا لتقرير SecureInsight، قامت GlobalShop بتنفيذ العديد من التحسينات الأمنية:

- تحديث كافة برامج الخادم

- تنفيذ سياسات أقوى لكلمات المرور والمصادقة متعددة العوامل

- تحسين تقسيم الشبكة

- تشفير كافة بيانات العملاء

بعد ستة أشهر، تعاقدت GlobalShop مع SecureInsight لإجراء اختبار متابعة، والذي أظهر تحسنًا كبيرًا في وضع الأمان لديها.

يوضح هذا السيناريو كيفية عمل اختبار الاختراق عمليًا، ويغطي عملية الاختبار واعتبارات الامتثال والسلوك المهني. كما يوضح كيف يمكن لاختبار الاختراق تحديد نقاط الضعف الحقيقية ويؤدي إلى تحسينات ملموسة في الأمن السيبراني للمؤسسة.

العودة إلى المدونة

اترك تعليقا

يرجى ملاحظة أن التعليقات تحتاج إلى الموافقة قبل نشرها.