- CPT مقابل المكافآت: CPT هو اختبار منظم ومحدد زمنيًا لتقارير الامتثال بتكلفة ثابتة. Bug Bounty هو اكتشاف مستمر ومفتوح يتم دفعه لكل ثغرة أمنية صالحة يتم العثور عليها.
- تخفيف المخاطر الرئيسية: انتبه إلى سوء فحص الباحثين، والكشف المحتمل عن البيانات/التسرب من قبل جهات فاعلة سيئة، ومخاطر سوء تصنيف العمالة من مشاركة المقاولين العالميين.
- أساسيات الاختيار: اطلب التحقق الصارم من الهوية، وشهادة CREST المؤكدة للتقارير، وسياسات الشراء الأخلاقية التي تضمن معايير العمل العادلة.
يعد اختبار الاختراق الجماعي بتغطية واسعة، وتوفير موارد مرنة، وكفاءة في التكلفة من خلال الاستفادة من مجموعة موزعة من مختبري الأمان.
تدرك شركة Trustwave، إحدى شركات LevelBlue، أنه ليس لدى كل مؤسسة الموارد المالية اللازمة للدخول في شراكة مع شركة أمنية تتمتع بقدرات مخصصة لاختبار الاختراق. وفي الوقت نفسه، نريد توعية المؤسسات بالمزالق العديدة في سوق اختبار القلم الجماعي وتقديم بعض الإرشادات حول اختيار الموردين المناسبين.
على الرغم من أن فوائد اختبار الاختراق الجماعي حقيقية، إلا أن المخاطر المميزة لهذا النوع من الاختبارات هي كذلك. يمكن أن يشمل ذلك وكالات الاختبار المزيفة، والآثار الضريبية، وحتى المشتريات الأخلاقية.
للتعامل بشكل أفضل مع كيفية تقديم الخدمات المستندة إلى الجمهور، دعنا نلقي نظرة على من يقوم بالعمل، والبيانات والمخاطر التشغيلية لمؤسستك، والضوابط العملية التي يمكنك استخدامها لاتخاذ قرارات مستنيرة بشأن المشتريات والحوكمة.
تعريف اختبار الاختراق الجماعي
المصطلح في حد ذاته ليس معروفًا جيدًا، ولكن لتسهيل الأمر، دعونا نفكر فيه باعتباره ابن عم قريب لبرنامج مكافأة الأخطاء، ولكن ضع في اعتبارك أنه على الرغم من أن أوجه التشابه واضحة، إلا أن الاختلافات يمكن أن تكون صارخة تمامًا.
يركز برنامج مكافأة الأخطاء في المقام الأول على الاكتشاف المستمر للثغرات الأمنية، وهو مصمم للعمل إلى أجل غير مسمى، أو على أساس دائم، مما يسمح بالحد المستمر من المخاطر. وعادةً ما يكون له نطاق واسع ومفتوح، وغالبًا ما يغطي جميع الأصول التي تواجه الجمهور. ونظرًا لأن المتسللين يعملون بأسلوب حر وغير منظم، فإن المؤسسة تستفيد من حشد كبير ومتنوع من المختبرين.
النموذج المالي هو الدفع مقابل النتائج، مما يعني أن الشركة تدفع فقط مكافأة مقابل نقاط الضعف الصحيحة والفريدة التي يتم العثور عليها، والتي يمكن أن تجعل التكلفة الإجمالية غير قابلة للتنبؤ بها. الناتج الرئيسي هو قائمة جارية لتقارير الثغرات الأمنية ومقاييس الأمان التي تم التحقق منها.
في المقابل، فإن اختبار الاختراق الجماعي موجه نحو تقييم منظم ومحدد زمنيًا لتلبية احتياجات الامتثال أو اختبار ميزة جديدة. تكون هذه الارتباطات محددة زمنيًا، وتدوم لفترة محددة، وتعمل ضمن نطاق محدد وخاضع للرقابة يتم تحديده قبل بدء الاختبار.
المختبرون هم فريق منسق وأصغر من الخبراء الذين تم فحصهم بدرجة عالية والذين يتبعون نهجًا منظمًا وقائمًا على المنهجية. وينتج عن ذلك تقرير نهائي شامل مثالي لتلبية متطلبات الامتثال (مثل SOC 2 أو PCI DSS). التكلفة عادة ما تكون رسومًا ثابتة أو نموذجًا مختلطًا، مما يوفر ميزانية أكثر قابلية للتنبؤ بها.
يجب على الشركة أن تفكر في اختبار الاختراق الجماعي عندما تكون مهتمة باستئصال الأنشطة ذات المخاطر الأقل، أو عند إجراء اختبار خارجي حيث لا تسمح المنظمة باختبار الاختراق في الباب. بالإضافة إلى ذلك، السعر يلعب دورا. يميل اختبار الاختراق الجماعي إلى أن يكون أقل تكلفة.
كيف يتم تقديم خدمات الاختراق الجماعي
بطريقة مشابهة لبرنامج مكافأة الأخطاء، يتم تسليم معظم الاختبارات الجماعية من خلال منصة وسيطة الذي ينسق المختبرين، وينطاق الارتباطات، ويجمع النتائج.
تختلف المنصات بشكل كبير في كيفية عملها: فبعضها عبارة عن أسواق في المقام الأول (تربط المشترين بالمختبرين الفرديين)، والبعض الآخر يقدم برامج مُدارة (التدقيق، والفرز، وإعداد التقارير، ودعم العلاج بعد الاختبار).
تشمل الاختلافات الرئيسية التي تؤثر على ملف تعريف المخاطر الخاص بك ما يلي:
- ما إذا كانت المنصة تدير الهوية وتفحصها مركزيًا أو تتركها للمشترين.
- كيف تتعامل المنصة مع سير عمل الكشف والفرز والمعالجة.
- العلاقة التعاقدية: التوظيف المباشر للمختبرين مقابل التعاقد مع مزود الخدمة كمنصة.
إيجابيات وسلبيات الموارد العالمية مقابل الموارد الإقليمية
إن استخدام أدوات الاختبار العالمية يؤدي إلى زيادة الحجم والمهارات المتخصصة (المفيدة للتكنولوجيات المتخصصة)، ولكنه يزيد من المخاطر التنظيمية والقانونية ومخاطر سلسلة التوريد (الرقابة على الصادرات، وتدفقات البيانات عبر الحدود، وقوانين العمل المختلفة). قد توفر الموارد الإقليمية ملاذًا قانونيًا أقوى، وعمليات فحص خلفية أسهل، ومزايا ثقافية/سياقية – ولكن مجموعات المواهب الأصغر حجمًا وتكاليف أعلى محتملة.
من يقوم بالعمل – التدقيق والثقة.
فحص الموارد
ليس كل المختبرين متساوين، ويعد برنامج التدقيق المناسب أمرًا ضروريًا ليس فقط للحصول على نتائج جيدة ولكن أيضًا لحماية مؤسستك. يجب أن يشمل الفحص الفعال ما يلي:
- التحقق من الهوية (فحص المستندات، تحديد الهوية الثنائية).
- الشيكات الجنائية / الشرطة حيثما كان ذلك مناسبًا وقانونيًا.
- التحقق من صحة المهارات (شهادات مثل قمة مهام التحدي، وتاريخ البرنامج الماضي).
- مقاييس السمعة (تقييمات المنصة، تأييد النظراء، الأبحاث المنشورة مسبقًا).
التأكد من أن المختبرين هم من يقولون أنهم هم
الخطر الرئيسي في الحشود المفتوحة هو انتحال الشخصية والهويات المزيفة. يمكن أن يسمح التدقيق السيئ للمجرمين أو المحتالين بالمشاركة والدخول إلى أنظمتك. يمكن أن يشمل ذلك السماح للجهات الفاعلة التي ترعاها الدولة أو الجهات الخبيثة التي يمكنها استخدام الوصول للاختبار كغطاء.
سيناريو المخاطر: يجتاز الممثل السيئ عملية تدقيق سيئة التصميم والتنفيذ، ويتم منحه وصولاً موسعًا، ثم يقوم لاحقًا بسحب البيانات أو إثبات الثبات تحت ستار الاختبار.
الاستغلال المحتمل للعمال
يمكن لنماذج التعهيد الجماعي أن تخلق مخاطر عمالية لا تعرض مؤسستك للمسائل القانونية فحسب، بل أيضًا للمسائل الأخلاقية.
- التعرض للضرائب والتقاعد: هل العمال يعملون كمقاولين أو موظفين؟ يمكن أن تؤدي مخاطر سوء التصنيف إلى مسؤولية على المنصات أو المشترين.
- العبودية الحديثة/حماية العمال: قد تقوم بعض المنصات بالاستعانة بمختبرين من ولايات قضائية ذات حماية عمالية ضعيفة؛ يجب عليك أن تفكر فيما إذا كانت ظروف العمل أو الممارسات القسرية متضمنة.
- المشتريات الأخلاقية: تضمين بنود تتطلب من المنصات الالتزام بمعايير العمل وتوفير الشفافية بشأن نموذج مشاركة العمال.
الرضا عن مركز العمليات الأمنية (SOC) أثناء الاختبار
إحدى القضايا التي يجب أن تكون على دراية بها هي رضا شركة نفط الجنوب (SOC). إذا تعامل مركز عمليات الأمن (SOC) الخاص بك مع اختبار الحشود باعتباره تمرينًا خاضعًا للرقابة، فقد يتم تجاهل نشاط الخصومة الحقيقي، أو على العكس من ذلك، قد يتم الخلط بين المختبرين وبين الخصوم. وأي من النتيجتين تقلل من قيمة البرنامج وتزيد من المخاطر.
جودة التسليمات
يمكن أن تتراوح نتائج الاختبار الجماعي من تقارير مكونة من سطر واحد “مثل مكافآت الأخطاء” إلى سلاسل استغلال موثقة جيدًا مع نصائح للإصلاح. تأكد من تحديد النتائج التي تريدها في نهاية الاختبار في أي عقد.
هناك ثلاث مشاكل شائعة يجب تجنبها عند ترتيب الاختبارات:
- نتائج مكررة أو منخفضة القيمة (الضوضاء).
- قضايا سيئة التكرار أو غير موثقة بشكل كاف.
- نصيحة علاجية عامة للغاية.
مستوى مهارة اختبار القلم
يتفوق التعهيد الجماعي في الاتساع (يقوم العديد من الماسحات الضوئية والمختبرين بإجراء الاختبارات بشكل متزامن)، ولكن لا تضمن جميع الأنظمة الأساسية العمق. إذا كنت بحاجة إلى محاكاة متقدمة للخصم، فتأكد من مستوى المهارة المطلوب وقدم عينة من العمل السابق.
وتذكر أن هناك فرقاً بين:
- مسح الثغرات الأمنية المكتوبة (آلية، مهارة مخصصة منخفضة) و
- خبراء متخصصون في الأمن الهجومي (الاستغلال اليدوي، مسارات الهجوم الإبداعي).
الحصول على أفضل النتائج الممكنة
تعمل عمليات مراجعة النظراء أو الفرز على تحسين جودة المخرجات بشكل كبير. ابحث عن المنصات التي:
- الفرز والتحقق من صحة الطلبات قبل التسليم.
- توفير آلية لمراجعة النظراء أو الرأي الثاني للنتائج المعقدة.
- تقديم عملية تتبع معالجة مُدارة.
المفتاح هنا هو عدم التعامل مع الحشود كصندوق أسود: الإصرار على التدقيق القوي، والحماية التعاقدية الواضحة، والضوابط الفنية التي تقلل من التعرض، والعمليات التشغيلية التي تحافظ على فعالية مركز عمليات العمليات.
عندما تجمع عناصر التحكم هذه مع تحديد النطاق المعقول والفرز البشري، يصبح الاختبار الجماعي محرك اكتشاف قويًا – وليس خطرًا لا يمكن إدارته.
في ملخص
للتخفيف من المخاطر وتوفير أعلى قيمة لمؤسستك، انظر إلى سجل التتبع الخاص بمزود اختبار الاختراق المقترح، بما في ذلك ما يلي:
- تراث المورد الخاص بك، هل هم ملتزمون بأمنك؟
- مراجع مستقلة، بينما سيكون لدى المؤسسات اتفاقيات عدم إفشاء سارية، يجب أن تكون معظم المؤسسات قادرة على تسهيل الاتصال مع العميل قبل تنفيذ العقد.
- شهادات الصناعة، CREST هي مثال رائع، مما يسمح لك بالتأكد من أن شركات الأمن السيبراني التي تتعامل معها لاختبار أنظمتك وحمايتها تتمتع بالسمعة الطيبة والكفاءة.
- اطلب نماذج من التقارير المنقحة التي تتوافق مع نطاقك المطلوب، واعرف جودة ما ستتلقاه مسبقًا.
أخيرًا، إذا كانت أي من النقاط المثارة هنا تجعلك تتوقف، فتذكر أن Trustwave SpiderLabs لديها فرق مخصصة من مختبري القلم الذين يتمتعون بتاريخ طويل في إجراء اختبارات فعالة للغاية من شأنها تحسين أمانك.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ولا ينبغي تفسيره على أنه نصيحة قانونية أو تنظيمية أو تتعلق بالامتثال أو الأمن السيبراني. يجب على المؤسسات استشارة متخصصيها في الشؤون القانونية أو الامتثال أو الأمن السيبراني فيما يتعلق بالتزامات محددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات المُدارة والاستجابة لها من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية، إلا أنها ليست بديلاً عن المراقبة الشاملة للشبكة، أو إدارة الثغرات الأمنية، أو برنامج الأمن السيبراني الكامل.
