يمكن أن يطلق على المخترقين الأخلاقيين أسماء مختلفة: القبعات البيضاء، ومختبري الاختراق، ومختبري القلم من بينهم. والفرق الكبير بين الاختراق الأخلاقي والاختراق الخبيث أو الإجرامي هو القصد. تظل عملية الاختراق كما هي: البحث عن طرق للوصول إلى نظام كمبيوتر أو شبكة.
“لا يقوم المتسللون الأخلاقيون باستغلال الثغرات الأمنية التي يجدونها بشكل خبيث. هدفهم هو إخطار الشركة أو المنظمة بوجود مشكلة على أمل إصلاحها”، كما يوضح جيسون كينت، المتسلل المقيم في أمان التسلسل، شركة متخصصة في أمن واجهات برمجة التطبيقات وإدارة الروبوتات.
تحدثت InformationWeek مع قادة الأمن السيبراني حول ما يتطلبه الأمر لكي تصبح مخترقًا وكيف يمكن لهؤلاء الأشخاص تعزيز أمن المؤسسة.
ما الذي يجعل من الشخص قرصانًا جيدًا؟
إذا كان عليك أن تختصر عملية الاختراق إلى سمة أساسية، فقد تكون الفضول هو السمة الوحيدة. يرغب المخترقون في تفكيك شيء ما لمعرفة كيفية عمله.
يقول كينت: “المخترقون أشخاص فضوليون يبحثون عن حل للمشكلات بطرق مثيرة للاهتمام. وكلما كانت الطرق أكثر أناقة، كانت عملية الاختراق أفضل”.
بالنسبة للعديد من الأشخاص الذين يبنون حياتهم المهنية في مجال القرصنة والأمن السيبراني، فإن هذا الفضول واضح منذ سن مبكرة.
عندما كان طفلاً، كان نبيل حنان يفكك الألعاب والإلكترونيات وأجهزة الكمبيوتر. ويقول: “كنت أكسرها وأدمرها باستمرار، ولكن بطبيعتي، كنت مهتمًا بتعلم كيفية عمل الأشياء”. واليوم، يعمل مدير أمن المعلومات الميداني في شركة الأمن السيبراني نتسبي.
كان إيفيند هورفيك يحب دائمًا رؤية ما وراء كواليس الأفلام والبرامج التلفزيونية. وقد تحول هذا الفضول إلى القرصنة في وقت مبكر. أثناء طفولته، اكتشف جهاز كمبيوتر محمولًا متروكًا فوق حاوية قمامة. يقول لموقع InformationWeek: “انتهى بي الأمر بالعمل مع صديق للعائلة، وقد علمني كيفية كسر كلمات مرور Windows”.
حاولا معًا معرفة هوية المالك الأصلي للكمبيوتر المحمول، وفي النهاية سلما الكمبيوتر المحمول للشرطة. بعد هذا التعريف المبكر، كان هورفيك مهتمًا بالاختراق. في سنوات مراهقته، حضر مؤتمرات الأمن السيبراني، وأظهر لقسم تكنولوجيا المعلومات في مدرسته الثانوية كيفية إصلاح خطأ الشاشة الزرقاء، وأرشد أطفالًا آخرين من خلال CoderDojo.
ساعدته الاتصالات التي أقامها في مؤتمرات الأمن السيبراني عندما كان مراهقًا في الحصول على أول وظيفة له في مجال الأمن السيبراني. الآن، يعمل هورفيك مهندسًا متعاقدًا في مجال الأمن السيبراني مع خدمات الأعمال من صن ستريم، مزود خدمات تكنولوجيا المعلومات المُدارة.
على مدار مسيرته المهنية، تمكن هانان من التعامل مع العديد من المتسللين. حتى أن NetSPI تقدم برنامج تدريب مدفوع الأجر للأشخاص الذين يرغبون في أن يصبحوا مختبري اختراق: NetSPI University.
“لقد تعلمت خلال تلك الفترة أنني لا أستطيع تعليم شخص ما أن يكون ذكيًا”، يشاركنا هانان. يمكن تعليم المعرفة، لكن الذكاء الذي يشير إليه هانان هو القدرة الفطرية على التفكير خارج الصندوق عند التعامل مع حل المشكلات.
هل هناك سوء فهم للقرصنة الأخلاقية؟
خارج مجتمعات تكنولوجيا المعلومات والأمن السيبراني، يتخيل القراصنة غالبًا مجرمين خلف لوحات المفاتيح. ويعلم كينت من تجربته الشخصية أن محاولات القراصنة الأخلاقيين للمساعدة قد تُقابل بالشك الصريح.
قبل نحو عشر سنوات، اشترى كينت جهاز فتح باب مرآب جديد يمكنه تشغيله باستخدام هاتفه. وبما يتماشى مع الطبيعة الفضولية للمخترق، قام بتفكيك واجهة برمجة التطبيقات الخاصة به. وكان أحد أصدقائه الذي يعيش على بعد آلاف الأميال يمتلك نفس جهاز فتح باب المرآب، واستغل كينت ثغرة أمنية لفتح باب مرآب صديقه عن بُعد.
إذا كان كينت قادرًا على القيام بذلك، فيمكن لشخص آخر ذي نوايا خبيثة أن يفعل ذلك أيضًا. حاول شرح المشكلة وطلب إصلاحها على خط دعم العملاء الخاص بالشركة دون جدوى. في النهاية، نشر تغريدة حول المشكلة، مما أثار استجابة في النهاية.
“لم يكن أحد أفراد فريق الأمن لديهم، أو أحد أفراد فريق إدارة المنتجات لديهم. بل كان أحد أفراد فريقهم القانوني”، كما يقول. “لقد اعتقدوا أنني أريد ابتزازهم بطريقة ما”.
ولم يكن دافعه هو الابتزاز؛ بل كان يريد منع استغلال هذه الثغرة الأمنية والتسبب في فتح أبواب غير مصرح بها. وفي نهاية المطاف، تمكن كينت من إظهار لفريق الهندسة في الشركة كيفية إعادة إنشاء الخلل حتى يمكن إصلاحه. ولكن كان من الواضح أن رد الفعل الفوري كان مشبوهًا.
ويقول هورفيك: “لسبب أو لآخر، ترتبط عمليات القرصنة ارتباطًا جوهريًا في أذهان الناس بالنشاط الإجرامي، على الرغم من أنني أعتقد أن الغالبية العظمى من الاهتمام بالقرصنة لا علاقة له على الإطلاق بالجريمة المنظمة”.
في تجربته، وجد هورفيك أن القراصنة الأخلاقيين يميلون إلى أن يكونوا أشخاصًا يحبون أجهزة الكمبيوتر ببساطة. ويقول: “نحن لسنا أشرارًا، ولسنا مخيفين. وكثيرون منا عاطفيون حقًا. نحن لا نعض. نحن فقط نحب أجهزة الكمبيوتر”.
ماذا يستطيع القراصنة الأخلاقيون أن يفعلوا للمؤسسات؟
القرصنة مصطلح واسع النطاق، والأشخاص الذين يعملون في هذا المجال لديهم غالبًا تخصصات مختلفة. قد يركز المتسللون بشكل أكبر على اختبار الشبكات أو تطبيقات الويب، على سبيل المثال. وبينما قد يكون هناك العديد من الصوامع ومجالات التركيز المختلفة داخل مجتمع القرصنة الأخلاقية، تميل الشركات إلى التفاعل مع هؤلاء الخبراء بعدة طرق مختلفة.
اختبار الاختراق هو اتصال شائع بين الشركات والمتسللين الأخلاقيين، وغالبًا ما يكون مدفوعًا بمتطلبات الامتثال. قد تقوم المنظمات الأكبر والأكثر نضجًا بتوظيف مختبري اختراق داخليًا بالإضافة إلى التعاقد مع أطراف ثالثة. في حين تعتمد العديد من المنظمات على أطراف ثالثة فقط.
قد تستعين الشركات أيضًا بمخترقين أخلاقيين للمشاركة في تمارين الفريق الأحمر، وهي عبارة عن محاكاة لهجمات في العالم الحقيقي. وعادةً ما يكون لهذه التمارين هدف محدد، ويتمتع المخترقون الأخلاقيون بحرية استخدام أي وسيلة متاحة لتحقيق هذا الهدف.
يقدم هانان تقييمًا أمنيًا جسديًا كمثال على تمرين الفريق الأحمر. “ادخل إلى مبنى، وابحث عن جهاز كمبيوتر غير مقفل، وقم بتوصيل جهاز USB بالكمبيوتر”، كما يوضح. “قد يكون هذا أحد أهدافك. كيف تدخل المبنى؟ هل تنتحل شخصية عامل توصيل؟ هل تنتحل شخصية عامل تكييف وتدفئة؟ هل تظهر فقط مرتديًا سترة صفراء وخوذة صلبة وتدخل المبنى؟ هذا متروك لك”.
يمكن للمؤسسات أيضًا تشغيل تمارين الفريق الأحمر حول التصيد والهندسة الاجتماعية.
إن تجربة كينت المحبطة في محاولة الإبلاغ عن ثغرة أمنية لشركة ما ليست هي الحال دائمًا. اليوم، لدى العديد من المنظمات برامج مكافأة الأخطاء التي تدعو المتسللين بشكل نشط إلى فحص أنظمتهم بحثًا عن نقاط الضعف.
يمكن أن تكون برامج مكافأة الأخطاء عامة أو خاصة، ويتم تشغيلها داخليًا أو يتم التعاقد مع جهة خارجية تدير المبادرة لصالح مؤسسة. يتم دفع المكافآت عادةً بمعدل ثابت أو عبر نظام متدرج: فكلما كانت الأخطاء أكثر خطورة، كلما زاد الأجر.
قد يكون المتسللون الأخلاقيون الذين يشاركون في هذه البرامج أشخاصًا يشغلون وظائف منتظمة من التاسعة صباحًا إلى الخامسة مساءً ويلاحقون مكافآت الأخطاء كهواية أو للحصول على دخل إضافي. حتى أن هناك بعض الأشخاص الذين نجحوا في تحويل المشاركة في مكافآت الأخطاء إلى عمل بدوام كامل. يمكن أن تكون برامج مكافآت الأخطاء أيضًا بمثابة بوابة للمتسللين الذين بدأوا للتو.
“تُعد مكافآت الأخطاء طريقة رائعة للمخترقين الأخلاقيين الطموحين لدخول هذا الجانب من العمل،” جون برايس، الرئيس التنفيذي لشركة سوبروزاوتقول شركة “إيه بي سي”، وهي شركة متخصصة في اختبار وتقديم خدمات الاستشارات في مجال الأمن السيبراني، لموقع InformationWeek:
عند إنشاء برنامج مكافأة الأخطاء، تحتاج الشركات إلى الميزانية ليس فقط للمكافآت ولكن أيضًا لإدارة البرنامج وتقييم الأخطاء المكتشفة.
على الرغم من أن برامج مكافأة الأخطاء يمكن أن تساعد في تعزيز وضع الأمن في المؤسسة، فمن المهم أن يقوم قادة الأمن بتحديد نطاق المبادرة بوضوح وإبلاغ ذلك للمتسللين المشاركين.
يوصي برايس بـ “تحديد التوقعات بوضوح فيما يتعلق بما تبحث عنه والتأكد من أن العلاقة التي تربطك بالأشخاص الذين يحاولون العثور على الأخطاء قوية ومحافظة عليها”.
كيف يمكن للشركات الحصول على أقصى استفادة من القراصنة الأخلاقيين؟
يمكن أن يكون القراصنة الأخلاقيون موردًا قيمًا للشركات، ومثلهم كمثل العديد من الموارد القيمة، قد يكون توافرهم محدودًا. يقول برايس: “بالنسبة لما نراه الآن، وخاصة على المستوى العالي أو المتقدم، فإن الطلب مرتفع للغاية، والمجال صغير جدًا من حيث من هم فيه”.
في ظل وجود مجموعة محدودة من المواهب والطلب المرتفع على المهارات المتوفرة في تلك المجموعة، كيف يمكن للشركات الاستفادة على أفضل وجه من مهارات القراصنة الأخلاقيين؟
توصي هانان قادة المؤسسات بمحاولة إزالة المشاعر من المعادلة عندما يتعاملون مع شركة خارجية يتم تعيينها لاختبار نقاط الضعف والثغرات أو مع قراصنة مستقلين يشاركون في برنامج مكافأة الأخطاء.
“عندما أتولى منصبًا في منظمة ما… فإنني في الأساس أصف طفلها بأنه قبيح كأول خطوة في عملي”، كما يوضح. “أحضر وأكسر شيئًا وأقول لهم، ‘مرحبًا، لقد فعلت هذا بشكل غير صحيح.’ هنا تحتاج حقًا إلى التحكم في مشاعرك عند الباب”.
لا توجد مؤسسة آمنة بنسبة 100%، ويمكن للاختراق الأخلاقي أن يظهر لك نقاط الضعف هذه قبل أن يكتشفها المهاجم. ولكن مجرد العثور على نقاط الضعف ليس سوى الخطوة الأولى نحو تحسين الأمان. ويتعين على قادة المؤسسات أن يعالجوا هذه نقاط الضعف بالفعل.
“في الأساس، أفضل ما يمكنك فعله هو استخدام المعلومات التي يقدمونها لك لإصلاح المشكلات التي يحددونها. من المذهل بالنسبة لي مدى قلة ما يحدث بالفعل”، كما يقول هورفيك.
وبما أن الشركات تستخدم القرصنة الأخلاقية، فإن السماح لها بأن تصبح روتينًا مملًا يمكن أن يؤدي إلى تآكل القيمة المحتملة. ويوصي برايس “بتدوير الموارد. لا تجعل نفس المستشار يقوم بالاختبار، ويمارس القرصنة الأخلاقية في كل مرة. فأنت تريد مجموعة جديدة من العيون”.
قد لا يقتصر الاختراق على كسر الأشياء فحسب. يرى هانان فرصًا لإشراك القراصنة الأخلاقيين في المزيد من دورة حياة المنتج حتى تتمكن الشركات من الاستفادة من مهاراتهم لإصلاح ما يمكن كسره.
“حقا [make] “يقول إن القراصنة الأخلاقيين يشكلون جزءًا من الحمض النووي الهندسي لأي منظمة ودورة حياة المنتج الإجمالية، بحيث يكون هناك المزيد من التعاون”، “حدد نقاط الضعف في وقت مبكر … [and] “العمل بشكل فعال على إصلاح هذه المشكلة بشكل أسرع.”
