ملحوظة المحرر: في مثال أمن الشبكات، يصف أولادزيسلاو جوهر وإيجابيات وسلبيات اختبار اختراق الصناديق باللون الأسود والرمادي والأبيض. إذا كنت بحاجة إلى تعزيز دفاع شبكتك أو تقييم الإجراءات الأمنية الحالية، فيسعد ScienceSoft أن تقدم لك خدماتنا الشاملة خدمات اختبار اختراق الشبكات.
سينمو سوق اختبار الاختراق من 594.7 مليون دولار في عام 2016 إلى 1,724.3 مليون دولار بحلول عام 2021، وفقًا لبحث أجرته MarketsandMarkets.TM. لا عجب في الواقع. تتقاضى المؤسسات الكبيرة والصغيرة مبالغ كبيرة سنويًا أو حتى ربع سنوية مقدمي خدمات اختبار الاختراق للاستمتاع بفوائدها: منع الخسائر المالية، والامتثال للوائح الأمنية والحفاظ على صورة واعية بالأمن في عيون العملاء.
عادةً ما يقدم موفرو أمن المعلومات عدة أنواع من اختبارات الاختراق: الصندوق الأسود، والصندوق الأبيض، و صندوق رمادي. ما هو العمود الفقري لكل نوع؟ ما هي مزايا وعيوب؟ دعونا نلقي نظرة فاحصة.
اختبار اختراق الصندوق الأسود
ملخص
عندما يستخدم مهندسو اختبار الاختراق (ويعرفون أيضًا باسم المتسللين الأخلاقيين أو المخترقين) نموذج الصندوق الأسود، تكون لديهم معرفة محدودة للغاية بالشبكة (على سبيل المثال، اسم مضيف لخادم عام وعنوان IP) ولا توجد معلومات عن سياسات أمان العميل وشبكته. الهيكل وأنظمة التشغيل والبرمجيات وحماية الشبكة المستخدمة. مع وجود هذه التفاصيل فقط في متناول اليد، يتعين على المتسلل الأخلاقي اختراق الشبكة إلى أبعد الحدود واكتشاف أكبر عدد ممكن من نقاط الضعف.
يقترح بول مديان، كبير مسؤولي أمن المعلومات في Dixons Carphone خمس مراحل لاختبار الصندوق الأسود.
1. استطلاع.
قبل الاختبار، يقوم المتسللون الأخلاقيون بالتحقيق مع العميل لتكوين صورة واضحة عن الهدف. تعتبر المصادر المختلفة للمعلومات العامة مفيدة: موقع الويب الخاص بالعميل، وقواعد بيانات WHOIS (مستودعات أسماء النطاقات عبر الإنترنت)، ومحركات بحث الويب، والمجلات التجارية، وحتى الصفحات الصفراء.
2. يتم المسح.
في هذه المرحلة، قد يحصل المتسللون الأخلاقيون على معلومات حول خدمات الاستماع والمنافذ لتحديد نوع نظام التشغيل الذي يستخدمه العميل. على سبيل المثال، تشير منافذ TCP-UDP 137 و138 و139 و445 إلى نظام تشغيل Microsoft؛ يشير SSH على المنفذ 22 أو FT على المنفذ 21 أو DNS على المنفذ 53 إلى نظام التشغيل Linux.
هناك طريقة أخرى لتحديد نوع نظام التشغيل وهي استخدام NMap – وهي أداة مساعدة تستخدم بصمة مكدس TCP/IP. سيقوم فريق القرصنة أيضًا بالبحث عن أجهزة مودم الاتصال المعيبة في الشبكة (حيث يمكن استخدامها لتجاوز الدفاعات المحيطة) وإطلاق ماسح ضوئي للثغرات (أداة آلية تقوم بفحص الشبكة بحثًا عن الخروقات الأمنية وتنتج تقريرًا مفصلاً عن البحث نتائج).
3. تعداد.
تهدف مرحلة التعداد إلى ربط الأجهزة المضيفة المستهدفة لكشف نواقل الهجوم في الشبكة. هنا، يركز المتسللون الأخلاقيون على خدمات الشبكة المفتوحة والمشاركات التي قد يكون لها رابط مباشر إلى موارد العميل المهمة وأسماء المستخدمين ومجموعات المستخدمين (لرصد حسابات المستخدم أو المسؤول الافتراضية) وشاشات الشعار (إذا تم تكوينها بشكل خاطئ، فقد يكشفون البرنامج والجهاز يكتب).
4. الوصول.
الوصول هو ذروة عملية اختبار الاختراق بأكملها. هذا هو المكان الذي تبدأ فيه المتعة، حيث يحاول فريق الاختبار اختراق النظام المستهدف باستخدام اختراق كلمة المرور أو تجاوز سعة المخزن المؤقت أو DoS ضد عقد معينة في الشبكة.
5. تصعيد الامتياز والحفاظ على الوصول.
بمجرد أن يخترق فريق القرصنة الشبكة دون أي حقوق مميزة، فإنهم يهدفون إلى الوصول إلى مستوى المسؤول بمساعدة أدوات اختراق كلمة المرور والحفاظ على الوصول إلى الشبكة. للقيام بذلك، يقوم المخترقون بإنشاء أبواب خلفية يتم إزالتها بالطبع بواسطة المتسللين الأخلاقيين قبل انتهاء المشروع.
إيجابيات وسلبيات
تمثل المراحل الخمس الموضحة أعلاه الدورة الكاملة لعملية الاختراق. الميزة الرئيسية هنا هي أن المتسللين الأخلاقيين يعملون في ظروف شبيهة بالحياة، لذا فهم قريبون من اكتشاف أكبر عدد ممكن من نقاط الضعف. علاوة على ذلك، مع اختبار اختراق الصندوق الأسود، عادةً ما يستخدم المخترقون أدوات مفتوحة المصدر، حيث من المرجح أن يلجأ مجرمو الإنترنت إليها أيضًا. وبسبب هذه الأدوات المجانية، تكلفة اختبار الاختراق بالنسبة للعميل أقل بكثير مقارنة باختبار الصندوق الأبيض أو الرمادي.
ومع ذلك، فإن استخدام الأدوات مفتوحة المصدر في اختبار اختراق الصندوق الأسود له عيوبه، حيث أن لها حدود وظيفية. عيب آخر لاختبار اختراق الصندوق الأسود هو أن المختبرين لا يمكنهم رؤية البنية التحتية بأكملها، لأن العميل يوفر القليل من المعلومات عن الشبكة. لذلك، قد يغفل المخترقون بعض نقاط الضعف المهمة.
اختبار اختراق الصندوق الأبيض
ملخص
يفترض اختبار اختراق الصندوق الأبيض أن المتسللين الأخلاقيين مطلعون على “أسرار” شبكة العميل، مثل حقوق المسؤول والوصول إلى ملفات التكوين. لنفكر في مثال عندما تطلب إحدى الشركات اختبار اختراق الصندوق الأبيض لخدمتها عبر الإنترنت. في هذه الحالة، يمكن لفريق المخترقين رؤية تكوينات الخادم، ومن يتواصل معه، ومبادئ تشفير قاعدة البيانات.
إيجابيات وسلبيات
يعد اختبار اختراق الصندوق الأبيض نهجًا حتميًا، حيث يعرف المتسللون الأخلاقيون كل شيء عن النظام المستهدف. يعمل هذا العامل لصالح البنستر لأنه يساعد على التعامل مع قيود وقت المشروع. وفي الوقت نفسه، لا يوفر هذا النوع من الاختبارات أي معلومات حول الطرق التي يدخل بها المجرم إلى الشبكة، لذلك تظل نقاط الضعف هذه دون تصحيح. علاوة على ذلك، غالبًا ما يكون العملاء غير مستعدين لمشاركة الرؤى حول شبكتهم مع المخترقين، حيث أن ذلك ينطوي على مخاطر أمنية.
اقرأ أكثر: اختبار اختراق الصندوق الأبيض: الجوهر والقيمة والتقنيات
تقرير الصندوق الأسود مقابل الصندوق الأبيض
ينتهي اختبار الصندوق الأبيض والصندوق الأسود بتقرير عن نقاط الضعف المكتشفة في شبكة العميل. في نموذج الصندوق الأسود، يتميز التقرير بما يسمى علاج – التدابير الوقائية الممكنة، بناء على خبرة المقاول. ويقدم تقرير الصندوق الأبيض بدوره للعميل توصيات معالجة الاحتياجات الأمنية للعميل. لا يتم تنفيذ خطوات المعالجة بعد اختبارات الصندوق الأسود، لأنها تمثل أفضل الممارسات وليست مفصلة مثل التوصيات بعد اختبار الصندوق الأبيض. عند الانتهاء من اختبار اختراق الصندوق الأبيض، يجوز للمقاول تنفيذ هذه التوصيات. هنا، يجب على العميل أن يفكر في هذا الخيار فقط إذا كان أداء مقدم خدمة اختبار الاختراق جيدًا وأثبت أنه شريك موثوق به، ولن يحاول أخذ الأموال مقابل نقاط الضعف غير الموجودة. وإلا فمن الأفضل تغيير المقاول. سيقوم هذا المزود بالتحقق مرة أخرى من الثغرات الأمنية وتنفيذ التوصيات.
اختبار اختراق الصندوق الرمادي
ملخص
يشمل اختبار اختراق الصندوق الرمادي الأساليب المذكورة أعلاه. ومع ذلك، فهو أقرب إلى اختبار الصندوق الأسود. يقوم العميل بمشاركة المعلومات جزئيًا على شبكته، مثل تفاصيل تسجيل دخول المستخدم أو النظرة العامة على الشبكة. في حالة اختبار الاختراق لتطبيق ويب، سيحاول مهندس الاختبار اكتشاف نقاط الدخول المحتملة. بعضها متاح مجانًا (نموذج تنزيل الملف، نموذج الملاحظات)، وبعضها مخصص لمستخدمي الشركات فقط (نموذج المصادقة). قد تزود الشركة مهندس الاختبار بحساب شركة للتعمق أكثر في الشبكة.
إيجابيات وسلبيات
في نموذج المربع الرمادي، لا يقدم العميل كافة المعلومات المتعلقة بشبكته. قد يكون هذا العامل، إلى جانب القيود المفروضة على نطاق الاختبار والإطار الزمني له، هو السبب وراء تجاهل المتسللين الأخلاقيين لنقاط الضعف غير التافهة. لذلك، قبل اختيار هذا النهج، يجب على العميل تحديد مناطق الشبكة التي تحتاج إلى اختبار الاختراق وأي منها يجب الوصول إليها عن طريق جهاز penester.
أسود أم رمادي أم أبيض؟
باختصار، تعطي أنواع اختبارات الاختراق رؤية لحالة أمان الشبكة من وجهات نظر مختلفة:
- الصندوق الأسود: منظور خارجي.
- الصندوق الأبيض: من الداخل المميز.
- الصندوق الرمادي: شخص خارجي يحمل عناصر المعلومات الداخلية.
قبل اختيار اللون المفضل لاختبار الاختراق، يجب على الشركات تحديد نوع المعلومات الأمنية التي تريد الحصول عليها لشبكتها. اختر الصندوق الأسود إذا كنت تريد محاكاة عمليات الاختراق الواقعية على محيط الشبكة الخارجية؛ المربع الأبيض – إذا كنت تريد التحقق من تكوين أنظمة الشبكة بشكل صحيح؛ الصندوق الرمادي – إذا كنت تريد اختبار الصندوق الأسود ولكن مع رؤى أعمق.
حدد نقاط الضعف في الشبكة والتطبيقات قبل أن تتحول إلى تهديدات حقيقية لأمنك السيبراني.
