اختبار الاختراق للتحكم في استجابة موظفي الأمن للاختراقات
الشركات تذهب لاختبار الاختراق للعثور على ثغرات في شبكة شركاتهم قبل أن يستغلها المتسللون. بالإضافة إلى الصلبة تقييم أمن الشبكة، قد يساعد CISO على التحقق مما إذا كان فريق الأمان الخاص بالشركة جاهزًا لمكافحة انتهاكات أمان الشبكة.
المتطلبات المسبقة
اختبار الاختراق يمكن أن تكون معلنة أو غير معلنة. لفهم ما إذا كان قسم الأمان جاهزًا للعمل، فمن المفيد أن يفكر CISO في إجراء اختبارات غير معلنة. وبخلاف ذلك، فإن العملية ستشبه بالأحرى عرضًا استعراضيًا وليس ضمانًا أمنيًا يومًا بعد يوم.
مصدر المعلومات
سوف يحصل كبير مسؤولي أمن المعلومات (CISO) على رؤى حول المؤهلات العامة لقسم الأمن من خلال تقرير اختبار الاختراق، وبشكل أكثر دقة، نقاط الضعف الموضحة فيه. نظرًا لحقيقة أنه لا توجد شبكة خالية من الثغرات الأمنية، فلا يزال هناك العديد من الثغرات الأمنية التي يمكن استغلالها بسهولة والتي لا ينبغي أن تكون موجودة في الشبكة المُدارة بشكل جيد. يشير وجود مثل هذه الثغرات الأمنية في تقرير اختبار الاختراق إلى أن المتخصصين في مجال الأمن بالشركة لا يمتلكون مستوى الخبرة الكافي لضمان مستوى أمان لائق لشبكة الشركة. وهذا يعني أنك لا تتعرض لأتفه التهديدات السيبرانية فحسب، بل ستخسر أيضًا أموالاً إضافية مقابل عمل إضافي لاختبار الاختراق.
نقاط الضعف في الشبكة التي لا ينبغي أن تكون هناك
علاوة على ذلك، قمنا بوصف نقاط الضعف التافهة التي لن يفوتها متخصصو الأمن اليقظون. لذا، إذا كان تقرير اختبار الاختراق يحتوي على هذه الثغرات الأمنية، فهذا يعني أن مستوى كفاءة موظفي الأمن لديك مشكوك فيه إلى حد كبير.
تصحيحات أمنية مفقودة
- تصحيحات نظام التشغيل.
تغطي تصحيحات نظام التشغيل الأمنية جيدة التوقيت حجمًا هائلاً من الثغرات الأمنية الخطيرة التي يمكن للمهاجمين استغلالها بسهولة. هل تتذكرون هجوم WannaCry الشهير؟ أحدث برنامج الفدية هذا ضررًا كبيرًا بمئات الآلاف من أجهزة الكمبيوتر في 150 دولة في مايو 2017. واستهدف الهجوم ثغرات أمنية في Microsoft Windows، والتي كان من الممكن تغطيتها عن طريق التصحيح المحدث.
في حين أن العديد من المؤسسات تحافظ على تحديث أنظمة التشغيل الخاصة بها، إلا أن التطبيقات غالبًا ما تظل على هامش الاهتمام الأمني. ومع ذلك، قد لا تكون نقاط الضعف في التطبيق أقل تدميراً. فكر، على سبيل المثال، في هجوم SQL slammer عام 2003، عندما تسببت دودة كمبيوتر شديدة العدوى في رفض الخدمة على بعض مضيفي الإنترنت وإصابة 75000 ضحية في غضون دقائق. استغلت الدودة خطأ تجاوز سعة المخزن المؤقت في برنامج قاعدة بيانات Microsoft SQL Server وDesktop Engine. تم إصدار التصحيح لمعالجة ثغرة Microsoft قبل ستة أشهر، لكن غالبية المؤسسات تجاهلته.
تتطلب جميع التطبيقات، بدءًا من قواعد بيانات المؤسسة وحتى تطبيقات سطح المكتب، تصحيحًا مناسبًا. لا تضمن هذه الممارسة غياب الثغرات الأمنية المتعلقة بالتطبيقات فحسب، بل تجعل أيضًا اختبار الاختراق أكثر كفاءة، مما يتيح مزيدًا من الوقت لتحديد العيوب الأمنية المعقدة، وبالتالي توفير أموال إضافية للشركة.
مع توفر كمية كبيرة من تصحيحات نظام التشغيل والتطبيقات، قد يجد مسؤولو الأمان صعوبة في مواكبة أحدث التصحيحات. في هذه الحالة، يجب على CISO التأكد من أن فرق الأمان الخاصة بهم تستخدم أدوات التحديث التلقائي، على سبيل المثال، FileHippo Update Checker أو Update Notifier أو Windows Server Update Services (WSUS). لا يقوم محترف الأمان الملتزم بتثبيت أداة التحديث وتمرير أموال التصحيح إليها فحسب، بل يقوم أيضًا بالتحقق بانتظام من أحدث التصحيحات. بالإضافة إلى ذلك، سيتأكد هو أو هي من تثبيت التصحيحات بنجاح، والتحقق مما إذا كان التصحيح قد تم تطبيقه وفقًا للسجل، وما إذا كانت إعادة التشغيل مطلوبة لإكمال التثبيت أو ما إذا كانت الإصدارات الصحيحة من البرنامج .dll و .إملف تنفيذى الملفات موجودة.
تم تمكين خدمات الشبكة والبروتوكولات غير المستخدمة
في كثير من الأحيان، يكشف اختبار الاختراق عن نقاط الضعف في خدمات الشبكة التي تم التغاضي عنها وتركها ممكّنة، على الرغم من أنها غير مستخدمة وغير مصححة. على سبيل المثال، غالبًا ما تعمل نقاط الضعف غير المصححة في خدمات الإدارة مثل إدارة النظام الخاصة بشركة Hewlett Packard وOpenManage الخاصة بشركة Dell Inc. كنقاط وصول إلى شبكة الشركة.
تشكل بروتوكولات الشبكة غير المستخدمة تهديدًا مماثلاً. يتأكد متخصصو الأمن المسؤولون من تعطيل بروتوكولات الإدارة عن بعد، مثل telnet أو بروتوكول سطح المكتب البعيد (RDP) عندما لا تكون قيد الاستخدام. الشيء نفسه مع NetBIOS وتحليل اسم البث المتعدد للارتباط المحلي (LLMNR). يعد هذان البروتوكولان من بروتوكولات البث القديمة التي تستخدمها خوادم Windows XP وWindows 2003 للتوافق مع الإصدارات السابقة. يؤدي ترك أدوات Microsoft القديمة هذه دون مراقبة إلى زيادة مساحة الهجوم.
كلمات المرور الافتراضية أو الضعيفة وملفات كلمات المرور غير المحمية
يجب أن يبدو ضمان قوة كلمة المرور أمرًا واضحًا لمحترفي أمن المعلومات. ومع ذلك، تكشف تقارير اختبار الاختراق باستمرار عن نقاط الضعف المتعلقة بكلمات المرور. ألق نظرة على المشكلات الأكثر شيوعًا:
- استخدام كلمات المرور الافتراضية والضعيفة. على سبيل المثال، تقوم الإصدارات الأقدم من Microsoft SQL Server بإنشاء حساب مسؤول بكلمة مرور “password”.
- استخدام كلمات مرور ضعيفة (أقل من 7-8 أحرف، بدون أحرف أو أرقام خاصة).
- تخزين ملفات SAM (خريطة محاذاة التسلسل) في مكان معروف. على سبيل المثال، لاختراق كلمات مرور Windows، يجب على المتسلل الحصول على التجزئات المخزنة في ملف Windows SAM، والذي يوجد عادةً في موقعين معروفين على نطاق واسع (C:\WINDOWS\repair أو C:\Windows\System32\config). تستحق هذه الملفات موقعًا أكثر غموضًا، لأنها تحتوي على معلومات أمنية أساسية.
إن الطريقة التي ينظر بها متخصصو الأمان لديك إلى سياسة كلمة المرور توضح مدى احترافيتهم. يجب تكوين جميع حسابات الإدارة من خلال إعادة تعيين كلمات المرور القوية بشكل منتظم.
الوصول غير المقيد إلى أهداف الهجوم المشتركة
قد ينسى مسؤولو الأمن تقييد الوصول إلى أهداف الشبكة الشائعة مثل واجهات المستخدم الرسومية على الويب، وتسجيلات الدخول إلى مؤتمرات الفيديو، والأبواب الخلفية للتطبيقات، وخدمات FTP، وواجهات برمجة التطبيقات الخاصة، وواجهات التحكم عن بعد، وtelnet، وSSH. وهذا يمنح مختبر الاختراق، وبالتالي المهاجم، مجموعة متنوعة من نقاط الوصول إلى الشبكة للتسوية ويلقي بظلال من الشك على احترافية موظفي الأمن.
في ملاحظة أخيرة
يساعد اختبار الاختراق CISO على تقييم كفاءة فريق الأمان من خلال الكشف عن نقاط الضعف الشائعة. سيقوم موظفو الأمن الدقيقون بمعالجة نقاط الضعف هذه قبل أن يقضي متخصصو اختبار الاختراق وقتهم الإضافي في تحديد مثل هذه المشكلات. يعد هذا بمثابة مؤشر على كفاءة موظفي الأمن، حيث أن التصحيح في الوقت المناسب يوفر للشركة أموالاً إضافية عند إجراء اختبارات الاختراق المفرطة.
حدد نقاط الضعف في الشبكة والتطبيقات قبل أن تتحول إلى تهديدات حقيقية لأمنك السيبراني.