اختبار اختراق تطبيقات الأجهزة المحمولة

اختبار اختراق تطبيقات الهاتف المحمول هو طريقة اختبار أمان يستخدمها متخصصو أمن تكنولوجيا المعلومات لتقييم الأمان من داخل بيئة الهاتف المحمول. من خلال إجراء اختبار القلم المحمول ، يمكن لمطوري التطبيقات تحديد نقاط الضعف في تطبيق الهاتف المحمول ، والاختناقات ، والثغرات ، ونواقل الهجوم قبل تسليم التطبيق إلى المستخدمين.

سيوفر اختبار القلم لتطبيق الجوال الجيد عددًا كبيرًا من الأفكار المهمة.

سيسمح الاختبار للشركات بإدراك كيفية تعديل التصميم والكود والبنية الأساسية. يضمن ذلك أن التطبيق مستقر وموثوق به قبل طرحه ، وكذلك طوال فترة استخدام التطبيق ونشره في السوق.

لسوء الحظ ، بينما ينتج المطورون المزيد والمزيد من التطبيقات المبتكرة كل يوم ، فإن حالة أمان التطبيقات اليوم ، ببساطة ، سيئة للغاية.

في إحدى الدراسات الحديثة ، احتوت 63٪ من التطبيقات التي تم تحليلها والبالغ عددها 3335 على ثغرات أمنية معروفة ، بمتوسط 39 ثغرة أمنية لكل تطبيق.

لكن الخبر السار هو أن الغالبية العظمى من هذه المشكلات – أكثر من تسعين بالمائة منها – لديها إصلاحات معروفة.

هذا هو السبب في أن الاستثمار في اختبار القلم المناسب هو تكلفة أساسية للغاية لممارسة الأعمال التجارية.

عادةً ما تكون الموارد في الوقت والمال اللازمين لإصلاح المشكلات التي تم اكتشافها أثناء اختبار القلم المحمول أوامر أقل من تكاليف الاضطرار إلى إصلاحها بعد إطلاق المنتج بالفعل.

هذا بالإضافة إلى أي مسؤوليات قد يتحملها منشئو المحتوى بسبب منتجاتهم المعطلة أو المشكلات الأمنية التي قد تثيرها تطبيقاتهم. تذكر أنه من المرجح أن يكتشف المخترقون أي ثغرة لم تكتشفها. لكل هذه الأسباب ، يجب أن يكون اختبار اختراق تطبيقات الهاتف المحمول عنصرًا أساسيًا في اختبار الأمان لكل مطور تطبيق قوي.

هناك العديد من الأسباب الوجيهة لإخضاع تطبيقك المحمول للاختبار بالقلم ، بدءًا من الأمان وحتى التحسين.

1. امنع الهجمات المستقبلية من خلال توقع تكتيكات المهاجمين المحتملين
   على المستوى الأساسي ، اختبار الاختراق هو محاكاة تكتيكات واستراتيجيات المتسللين في العالم الحقيقي. أفضل طريقة لتحديد قوة أمان تطبيقك هي تشغيله من خلال محاكاة هجوم. من خلال اختبار القلم على مستوى الخبراء ، يمكنك توقع السيناريوهات المستقبلية المحتملة وتخفيف المخاطر ، واكتشاف العيوب في التعليمات البرمجية ومعالجتها قبل أن يستغلها المتسللون.

مع نمو خدمتك ، مما يعني نطاقًا أوسع لاستخدام التطبيق وتحديثات التطبيق نفسه ، سيثبت اختبار الاختراق أنه أكثر أهمية لأن هذه التطورات ستفتح نقاط ضعف جديدة (وفي بعض الحالات أكثر خطورة) ومخاطر للمستخدم. سيساعد إجراء اختبارات منتظمة لقلم الهاتف المحمول في الحفاظ على سلامة ومتانة تطبيقك بمرور الوقت.

2. تعريض التطبيق لبيئة واقعية قبل بدء البث المباشر
   قبل نشر تطبيق جوال جديد ، يجب أن يمر أي تطبيق جوال بسلسلة من الإجراءات الفنية

اختبارات قبول المستخدم للتأكد من أنها تلبي المتطلبات الفنية والتجارية. في الأساس ، هل سينفذ التطبيق ما يفترض أن يفعله؟ هذه الاختبارات هي الطريقة الوحيدة للتأكد من أن تطبيق الهاتف المحمول يرضي المستخدم النهائي ويمكن أن تدعمه فرق تكنولوجيا المعلومات.

لكن الأمن والوظائف مرتبطان بشكل وثيق.

غالبًا ما يكون لعناصر السلامة وقابلية الاستخدام لأي برنامج علاقة مقايضة. في حين أن المزيد من الميزات وسهولة الاستخدام لا يضران بالضرورة بالأمان ، فكلما زاد عدد الأشياء التي يمكن للتطبيق القيام بها وزاد وصوله إلى أجهزتك وأنظمتك ، بحكم التعريف تقريبًا ، زادت احتمالية حدوث ثغرات أمنية.

يمكن أن يوفر اختبار القلم المنظم جيدًا نظرة ثاقبة للمتطلبات التشغيلية اللازمة لإنشاء بيئة تطبيق تعمل بسلاسة وأمان. هذا الجمع بين السلامة والتحسين يمكن أن يتم بكفاءة فقط في مرحلة التطوير. إن محاولة تغيير أحد التطبيقات بشكل أساسي بعد الإطلاق من أجل التوافق مع الأمان محكوم عليها بالفشل. اليوم ، أي مهندس برمجيات متمرس يفهم هذا. يتم تحقيق هذا الأمان حسب التصميم من خلال دمج اختبار الاختراق مع التقييمات الفنية والوظيفية للتطبيق.

من خلال اكتساب المعرفة بالعيوب في التعليمات البرمجية المصدر ، ونواقل الهجوم ، والاختناقات ، والثغرات الأمنية قبل طرح تطبيق الجوّال ، ستتاح لك الفرصة لتغيير بنية التطبيق وتصميمه ورمزه. كما أشرنا سابقًا ، فإن إصلاح المشكلات في هذه المرحلة أرخص وأكثر فاعلية من معالجتها لاحقًا ، مثلما يحدث عند حدوث خرق أو فشل كبير آخر.

3. اختبر مدى استجابة فريق تكنولوجيا المعلومات في مؤسستك
   إن إطلاق تطبيق بطموحات طويلة الأمد يعني أن تكون قادرًا على دعم عملائك.

وهذا يعني وجود فريق تكنولوجيا معلومات يمكنه الاستجابة للأخطاء والحاجة إلى الترقيات وشكاوى المستخدمين.

كيف تعرف أن موظفي تكنولوجيا المعلومات لديك على قدر هذه المهمة؟

من خلال اعتماد اختبار أمان تطبيقات الأجهزة المحمولة كجزء من عملية تطوير تطبيقات الأجهزة المحمولة ومشروع الهاتف المحمول ، يمكنك اختبار مهارات فريق أمان مؤسستك.

فريق تكنولوجيا المعلومات الحالي
سيكون اختبار القلم المحمول قادرًا على تكرار سلسلة كاملة من الاهتمامات الفنية للتطبيق. لا يقتصر هذا على الجوانب الفنية لهيكل التطبيق – على سبيل المثال ، هل يعمل التطبيق وهل هو عرضة للهجوم – ولكنه أيضًا يحاكي السيناريوهات التي سيتعين على فريقك الرد عليها:

ما هي جودة الحلول التي يمكنهم تقديمها للعملاء في سيناريو مستمر؟
ما مدى دقة اكتشاف مصدر المشكلة وطبيعتها؟
بعبارة بسيطة ، هذه أسئلة مهمة يجب الإجابة عليها.

يعد اختبار القلم المحمول طريقة ممتازة لتدريب فريقك الفني قبل نشر التطبيق ، وأيضًا أفضل طريقة لإبقائهم حادًا وجاهزًا لخدمة قاعدة عملائك بعد إطلاق التطبيق.

ببساطة ، إذا لم يتمكن خبراء الأمان والفنيين لديك من الرد بشكل صحيح ، فهناك خطأ ما في عمليتك. سيُظهر لك تمرين الخضوع لاختبار القلم مكان نقاط الضعف هذه وما عليك القيام به لإصلاحها.

4. تلبية معايير أمن الصناعة والامتثال للوائح
   عالم تكنولوجيا المعلومات اليوم الذي يتميز بالامتثال الثقيل هو أمر يحتاج جميع المطورين إلى مواجهته.

يعد التحقق من الوضع الأمني لتطبيقك أمرًا ضروريًا للوصول للأعمال إلى جميع الصناعات الرئيسية. ISO 27001 ، HIPAA ، FIPS 140-2 ، شهادة OWASP ، كل هذه تتطلب شكلاً من أشكال الإثبات الملموس بأن تطبيقك آمن.

في العديد من الحالات الأخرى ، يكون التحقق الأمني مفروضًا بموجب قانون الأمن السيبراني. مع ظهور لوائح تكنولوجيا المعلومات الرئيسية ، مثل اللائحة العامة لحماية البيانات (GDPR) و CPA في كاليفورنيا ، يتعرف المزيد والمزيد من الشركات على العواقب القانونية لنقص بيانات الاعتماد الأمنية. وتشمل هذه كل شيء من الالتزامات المدنية إلى الحرمان من الأسواق المربحة.

اليوم ، مع السرعة التي تنتقل بها المؤسسات إلى الأجهزة المحمولة ، أصبح تطبيق اختبار القلم على التطبيقات ضروريًا للغاية من وجهة نظر الامتثال.

الأدوات المستخدمة
عند تطوير نظام اختبار الاختراق لتطبيقك ، من المهم أن تكون على دراية أولاً بأنواع الأدوات اللازمة لإجراء اختبار فعال.

حتى إذا استعنت بمصادر خارجية تمامًا لاختبار القلم على الجوّال ، فمن الضروري أن يكون المدراء ومنشئو المحتوى على الأقل على دراية عامة بما هو موجود.

الهندسة العكسية
يُطلق على أحد أكثر أنواع البرامج الأساسية المصممة لاختبار تطبيقات الأجهزة المحمولة أدوات الهندسة العكسية. ببساطة ، تعمل هذه البرامج على تفكيك شفرة مصدر التطبيق إلى الشكل الأصلي تقريبًا من أجل تقييم أي أخطاء أو ثغرات محتملة. بعد تفكيك البنية الأساسية للتطبيق ، يعيد البرنامج بناء التطبيق مع التعديلات والتعديلات.

هذه طريقة شاملة للغاية لضمان التحسين في الطبقة الأساسية لتطبيقك. لاحظ أن لغة “التفكيك” و “إعادة البناء” لا يجب أن تؤخذ حرفياً. لن يقوم أحد بتفكيك تطبيقك المصمم بعناية. تتم هذه العملية على المستوى المعلوماتي فقط. الهندسة العكسية

أدوات تقييم رمز التطبيق دون التأثير على وظائف التطبيق في العالم الحقيقي. لكننا سنناقش كيف يمكن أن تؤثر اختبارات القلم على عملياتك في لحظة.

محاكاة الهجمات
ثم هناك المزيد من أدوات اختبار القلم الكلاسيكية المصممة لمحاكاة الهجمات الفعلية من قبل مجرمي الإنترنت. عادةً ما تقوم برامج اختبار القلم هذه بتوجيه حركة مرور الويب الموجهة إلى تطبيقك عبر متصفح متخصص. غالبًا ما يكون لمطوري أدوات محاكاة الهجوم هذه متصفح داخلي خاص بهم لهذا الغرض ، ولكن سيكون هناك أيضًا خيار لتهيئة المتصفح الذي تختاره ليكون متوافقًا مع وظائف البرنامج.

نظرًا لأن نشاط المستخدم يتدفق عبر البرنامج ، يمكنه تقييم عوامل الهجوم المحتملة التي قد يستخدمها المتسلل للتحكم في التطبيق أو الوصول إلى بيانات المستخدمين الآخرين على النظام الأساسي.

تجدر الإشارة إلى أنه بهذه الطريقة ، لا يختلف اختبار اختراق الأجهزة المحمولة كثيرًا عن نوع الويب العادي. سيُجري مُختبِر القلم الجيد العديد من تدريبات القرصنة القياسية على تطبيقك لمعرفة كيف يصمد. سيتضمن ذلك إدخال SQL الشائع الذي يسمح للمستخدم بالتحايل على بروتوكولات المصادقة. تقييم قوة ميزات الأمان المضمنة هو أيضًا معيار. هذا صحيح بشكل خاص إذا كان التطبيق نفسه يؤدي وظيفة متعلقة بالأمان (مثل جدار الحماية المحمول على سبيل المثال).

محللات البروتوكول
أجهزة تحليل البروتوكول هي برامج تلتقط وتقيم الإشارات وحركة المرور المرسلة عبر قناة اتصالات رقمية. يمكن أن تأتي محللات البروتوكول في شكل برامج أو أجهزة. ولكن لأغراض اختبار اختراق الأجهزة المحمولة ، فأنت تبحث عن إصدار البرنامج.

تركز هذه الأدوات على الأساليب التقنية التي يتم من خلالها نقل البيانات الرقمية بين العقد المختلفة للشبكة. في حالة تطبيقات الهاتف المحمول ، قد يعني هذا الاتصالات بين مختلف مستخدمي التطبيق ، وكذلك الرسائل من المستخدمين مباشرة إلى خادم التطبيق. سيتيح لك محلل البروتوكول عالي الجودة معرفة ما يحدث على شبكتك بمستوى مفصل للغاية. يمكن تحديد ومعالجة أي عوائق لتجربة المستخدم السلس أو الحظر على بروتوكولات الاتصال الخاصة بالتطبيق.

أقل تقليدية
يمكن لمسؤولي اختبار المهارات أيضًا استخدام بعض الأساليب الخارجية لمحاولة اختبار أمان تطبيقك. أحد أشكال الهجوم على وجه الخصوص هو اختراق الهندسة الاجتماعية المعروف الآن. تتضمن هذه الفئة الواسعة تكتيكات مثل التصيد الاحتيالي أو أساليب التلاعب الأخرى التي تهدف إلى خداع مسؤولي النظام أو الحصول على امتياز الوصول أو السيطرة على وظائف النظام.

سيوفر لك تضمين تدريبات الهندسة الاجتماعية في اختبار القلم المحمول الخاص بك نظرة ثاقبة مهمة حول الثغرات الموجودة في التدفق التشغيلي للتطبيق ويكشف عن أي طرق محتملة يمكن خداع النظام الأساسي بها.

اختبار اختراق Android مقابل iOS
android vs ios
نظرًا لأننا نتحدث بالفعل عن موضوع الأدوات ، فلنتحدث عن سؤال شائع في مساحة تطبيقات الجوال: ما هي الاختلافات بين Android و iOS عندما يتعلق الأمر باختبار القلم؟

للإجابة على هذا السؤال ، نحتاج إلى فهم بعض الحقائق المهمة التي تميز Apple عن تطبيقات Android والأنظمة الأساسية التي تم تصميمها من أجلها.

يعتمد نظام التشغيل Android على لغة الترميز Linux ، بينما يتم ترميز iOS الخاص بـ iPhone في Objective-C ، أكثر من ذلك ، يجب أن نقول ، لغة الترميز “المعقدة”.

يمنح هذا الاختلاف الرئيسي مزايا وعيوب iOS و Android على التوالي. يتمثل العيب الأساسي لنظام التشغيل Android ذي الصلة بهذه المحادثة في أن التعقيد الإضافي لأوامر التطبيق يؤدي إلى الاستخدام المفرط لقوة المعالجة والذاكرة. وهذا بدوره يؤدي إلى مشكلات في الأداء ومعايير منخفضة للأداء بشكل عام.

في حالة نظام التشغيل iOS ، فإنه يتمتع بميزة الاستفادة من قوة المعالجة العالية والذاكرة التي يمتلكها. لكن هذا ينتج عنه جانب سلبي: نظام التشغيل iOS هو نظام تشغيل مغلق ، مما يجعله عرضة بشكل كبير لخرق أمني. كما يتخيل المرء ، هذا يعني أن ميزات الأمان تخضع للتدقيق الشديد في تطبيقات iOS.

فيما يتعلق بعملية الاختبار الفعلية ، لا يمكن لأي تطبيق الدخول إلى متجر Apple دون الخضوع لعملية فحص شاملة من قبل فريق متخصص في Apple. ولكن بالنسبة للمطورين الذين يرغبون في تشغيل إبداعاتهم من خلال بعض الاختبارات ، فإن الأمر يتطلب القليل من التجوّل. أولاً ، يجب تشغيل بيئة الحوسبة التي تختبر التطبيق على نظام التشغيل Mac OS. هذا منطقي بالنظر إلى بيئة التشغيل الفريدة للبرامج الموجهة من Apple بشكل عام.

ولكن بالإضافة إلى ذلك ، لا يمكن تشغيل التطبيقات في مرحلة التطوير التي لم تحصل على شهادة Apple مباشرة على أجهزة Apple العادية ، وبالتالي لا يمكن إجراء الاختبار الموثوق به حقًا. من أجل تشغيل تطبيق قيد التطوير ، فإنهم يحتاجون إلى بيئة عمل خاصة يتم تحقيقها عن طريق كسر حماية أي جهاز iOS – والتي لا تزال شرعيتها غير واضحة بعض الشيء في بعض البلدان. بمجرد كسر حماية الجهاز ، هناك العديد من مجموعات أدوات iOS مفتوحة المصدر المتاحة لاختبار أمان التطبيق.

تطبيقات Android في المقابل لا تفعل ذلك

يجب أن تتعامل مع هذه الحدود. يمكن تنزيل تطبيقات Android مباشرة من موقع ويب أو حتى من بطاقة ذاكرة صديقك. لا يوجد جانب محدد بطبيعته لتطبيق Android الموجه يمنعك من اختباره.

على الرغم من أن اختبار تطبيقات Android قد يكون عملية أبسط للبدء بها ، إلا أن هناك عامل خطر مهم يجب مراعاته فيما يتعلق بالاختبار الفعلي. يعد Android إلى حد بعيد نظام التشغيل الأكثر شيوعًا على مستوى العالم ، حيث يمثل ما يقرب من ثلاثة أرباع السوق الدولية. بالنظر إلى هذه الأرقام ، لا ينبغي أن يكون مفاجئًا أن حوالي 98٪ من جميع البرامج الضارة للجوال تستهدف أجهزة Android. إنه اقتصاد بسيط حقًا. يرغب المتسللون الذين يطورون أدوات ضارة في الحصول على أقصى استفادة من البرامج الضارة الموجهة نحو نظام التشغيل Android ، حيث سيكون لديهم عدد أكبر من الأهداف للاختيار من بينها.

لذلك ، في حين أنه قد يكون من الأسهل تنفيذ اختبار Android للجوال ، إلا أن هناك العديد من المشكلات التي يجب البحث عنها وخطر تهديدات يوم الصفر – الثغرات التي تم اكتشافها أولاً بواسطة المتسللين قبل أن تتاح للمطورين فرصة تصحيحها – هو أيضا أعلى بكثير.

معايير الصناعة لاختبار اختراق الأجهزة المحمولة
ليست كل “المشكلات” المتعلقة بتطبيق الجوال متساوية.

عند اختبار أحد التطبيقات ، سيستخدم أي مطور ماهر المعايير لتحديد أ) ما هو المستوى الفعلي للمخاطر الأمنية لأي مشاكل يتم تحديدها ، و ب) ما مدى ارتفاع الحاجة إلى التخفيف من هذه المخاطر.

هنا ، هناك بعض المصطلحات التي يجب أن تكون على دراية بها:

أواسب
كان OWASP Mobile Top 10 موجودًا منذ فترة ويستخدمه الملايين حرفيًا في صناعة تكنولوجيا المعلومات. يعمل OWASP كخط أساس عندما يتعلق الأمر بأمان تطبيقات الهاتف المحمول ويساعد فرق الأمن والتطوير في العثور على نقاط الضعف والتخفيف منها في وقت مبكر من عملية التطوير. كما أنه يساعد في تحسين جودة رمز التطبيق وتقليل الثغرات الأمنية قبل دفع التطبيق إلى النشر والإنتاج.

CVSS
تعد أنظمة تسجيل نقاط الضعف الشائعة أو CVSS أحد أكثر المعايير المعترف بها على نطاق واسع في عالم تطبيقات الأجهزة المحمولة. ما يصنفه على وجه التحديد هو مدى خطورة الثغرات الأمنية للتطبيق ويساعد في تحديد مدى إلحاح إصلاح هذه العيوب. كما قد تكون خمنت ، فإن هذه الخطورة تتأثر بشدة بنوع التطبيق الذي يتم تقييمه. سيحصل التطبيق المصرفي على تصنيف شدة أعلى لأي عيب معين من تطبيق تحرير الصور.

CWE
يرعى برنامج US-CERT التابع لوزارة الأمن الداخلي بالولايات المتحدة تقرير تعداد نقاط الضعف الشائعة ويديره. إنها في الأساس قائمة ، يتم تحديثها من وقت لآخر ، بأكثر نقاط الضعف الأمنية شيوعًا في التطبيقات. إنها أداة رائعة لمختبري القلم لأنها تضع معيارًا عمليًا لقوة الأمان الإجمالية للتطبيق.

NIAP
تعد الشراكات الوطنية لتأمين المعلومات أحد برامج أمن تكنولوجيا المعلومات التي طورتها حكومة الولايات المتحدة. يحتوي NIAP على معايير أمان محددة لتطبيق الهاتف المحمول للالتزام بها. هذا المعيار مهم بشكل خاص إذا كان المطور يتطلع إلى اقتحام السوق الحكومية.

عملية اختبار اختراق التطبيق

بشكل عام ، تشمل مراحل منهجيات اختبار اختراق تطبيقات الهاتف المحمول المراحل التالية:

1) الاكتشاف
تضمنت عملية الاكتشاف جمع المعلومات التي ستشكل أساسًا لمراحل اختبار الاختراق. وهي تتكون أساسًا من تحديد التهديدات ذات الصلة بالتطبيق. لتحقيق ذلك ، سيقوم مختبرو القلم بالبحث عن نقاط الضعف في المصادر المفتوحة وغالبًا ما تكون شبكة الويب المظلمة حيث تنتشر أساليب القرصنة. يعد التعرف على بنية التطبيق أيضًا جزءًا من هذه العملية. مع بعض الاستثناءات بسبب التعقيد أو التطبيقات المتخصصة ، فهذه مرحلة قصيرة نسبيًا ولا ينبغي أن تستغرق أكثر من بضعة أيام لمختبري القلم الماهرين.

2) التقييم والتحليل
تعتبر عملية التحليل والتقييم هي الخطوة الفريدة من نوعها لأنها تتطلب من أداة اختبار القلم تحليل التطبيق قبل التثبيت وبعده. خلال هذه المرحلة سيتم إجراء أي هندسة عكسية تمت مناقشتها أعلاه على كود التطبيق. سيشمل التقييم أيضًا ما يشار إليه باسم “التحليل الديناميكي”. وهذا يعني التحليل الجنائي لأنظمة ملفات التطبيق ومراقبة حركة المرور بين التطبيق وخادم التطبيق.

3) الاستغلال
من وجهة نظر أمنية ، يعتبر الاستغلال أهم خطوة في اختبار القلم وعادة ما يكون الأطول. سيقوم المختبرين هنا بإلقاء هجمات مختلفة على التطبيق لمعرفة كيف يقف. إنه هنا عندما تصبح معايير اختبار الأجهزة المحمولة في متناول اليد حقًا. اعتمادًا على مدى اتساع الاختبار الذي تريده ، يمكن للمسؤول إخضاع التطبيق لمجموعة واسعة من عمليات الاستغلال. ضع في اعتبارك أن الاختبار الأكثر تركيزًا على الاستغلال سيكون له أيضًا مرحلة الاكتشاف الموجهة نحو اكتشاف المزيد من المخاطر المتعلقة بالهجوم. حسب الحالة ، عملية الاستغلال.

4) الإبلاغ
تتمثل المرحلة الأخيرة من اختبار اختراق تطبيقات الأجهزة المحمولة في الإبلاغ عن النتائج عبر تقارير فنية وورقة تنفيذية قابلة للتسليم. من المهم

للحصول على كلا الأمرين: ستقدم الملخصات التنفيذية تقريرًا نهائيًا إلى كبار المسؤولين في الشركة بعبارات مفهومة. سيكون التقرير الفني هو الأساس لأي إصلاح تقوم بإجرائه على التطبيق ولكنه سيكون مهمًا أيضًا لأغراض الامتثال. سيسمح التقرير الفني للمنظمين أن يروا بشكل مفصل جدوى بنية التطبيق ووظائفه.

شهادات ومؤهلات البائعين الهامة
عند التعاقد مع شركة أو فرد لاختبار الاختراق لتنفيذ اختبار قلم للجوال ، ستحتاج إلى التأكد من أن المطور المسؤول يعرف بالفعل ما يفعله.

فيما يلي أهم الشهادات المعترف بها في جميع أنحاء الصناعة. تأكد من أن أي شخص يتم إجراؤه في اختبار اختراق هاتفك المحمول لديه شهادة واحدة على الأقل من هذه الشهادات تحمل اسمه أو اسمها.

أولاً ، دعنا نذكر بعض الشهادات الأكثر شهرة:

هاكر أخلاقي معتمد
إن شهادة الهاكر الأخلاقي المعتمد (CEH) الصادرة عن EC-Council هي بالفعل المؤهل الأساسي لأي شخص يقوم بعمل متعلق بالقرصنة. غالبًا ما تكون مطلوبة من قبل معظم المنظمات الخاصة والعامة الرئيسية بما في ذلك وزارة الدفاع الأمريكية.

جهاز اختبار الاختراق المعتمد من GIAC
GPEN هو ترخيص صادر عن شركة حماية المعلومات الرقمية GIAC. تركز GPEN على الاختراقات لكلمات المرور ، وتطفل البرامج الرقمية ، والتحضيرات التجريبية الشاملة. على مدار العشرين عامًا الماضية ، كان معيارًا لمختبري القلم في جميع أنحاء العالم خاصةً عندما يتعلق الأمر بالاختبارات التي تركز على الأمان.

محترف معتمد في الأمن الهجومي
يقوم OSCP بتدريب المشاركين على عمليات اختبار الاختراق باستخدام برنامج Kali Linux التنفيذي والأدوات ذات الصلة المطلوبة. يعتبر OSCP في العديد من القطاعات الترخيص الأمثل لاختبار القلم. هذا لأنه يُعرف بالامتحان المتطلب للغاية. يعد اختبار OSCP عمليًا تمامًا ويستمر لمدة 24 ساعة مع محاكاة منتظمة لسيناريوهات الاختراق والاختراق.

ماجستير اختبار الاختراق المرخص من EC-Council
شهادة أخرى صادرة عن EC-Council ، LPTM هي ترخيص عالي الكفاءة مخصص لوظائف اختبار القلم المتقدمة. عادةً ما يُعترف بحامل ترخيص LPT كمحترف يتمتع بخبرة كافية.

العنصر الذي يمنح LPTM مستوى أعلى هو الجانب الديناميكي لتدريب الحامل. سيكون المختبر النموذجي على دراية جيدة بالتهديدات الشائعة وكيفية تأمين التطبيق من تلك التهديدات. من ناحية أخرى ، فإن الأفراد المعتمدين من LPTM قادرون على إنشاء حلول جديدة للهجمات الإلكترونية المعقدة. إذا كان تطبيقك يمثل هدفًا ذا قيمة عالية (أي شيء له علاقة بالتمويل أو الأعمال المصرفية على سبيل المثال) ، فقد يكون من المفيد البحث عن هذا المستوى العالي من الشهادة. من المحتمل أيضًا أن يمنحك وجود مُختبِر معتمد من LPTM دورًا هامًا فيما يتعلق بالامتثال.

تتضمن بعض الشهادات الشائعة الأخرى ما يلي:

محترف معتمد في الأمن الهجومي
اختبار الاختراق المعتمد (CPT)
خبير معتمد في الأمن الهجومي (OSCE)
CompTIA PenTest +
أي من هذه الشهادات هي مؤشر لائق على كفاءة مختبري القلم.

ملاحظة أخيرة حول المؤهلات:

اختبار القلم هو مصطلح عام ينطبق على جميع أنواع أنظمة تكنولوجيا المعلومات. لكن ليست كل أنواع الاختبارات متطابقة. على سبيل المثال ، كثير من الناس على دراية باختبار الاختراق من حيث صلته بالنظام الرقمي للشركة ، مثل الأجهزة والعقد والبرامج التي تشكل شبكة المؤسسة. في حين أن هناك العديد من التداخلات مع اختبار اختراق الشبكة ، فإن اختبار تطبيقات الأجهزة المحمولة هو إجراء متميز للغاية يتطلب معرفة متعمقة بسطح هجوم الأجهزة المحمولة وفهم مجموعة واسعة من نقاط الضعف الفريدة لتطبيقات الأجهزة المحمولة.

عند التعاقد مع أحد المختبرين ، تأكد من أنها شركة ذات خبرة في مجال الهاتف المحمول.

ما هي تكلفة اختبار قلم تطبيق الهاتف المحمول؟
يمكن أن تتقلب تكلفة الاختبار المناسب لاختراق الأجهزة المحمولة بشكل كبير اعتمادًا على التطبيق المعين.

كخط أساس ، سيتخلص العديد من الخبراء من علامة 4000 دولار. لكن اختبارات القلم الرخيصة يمكن أن تكون أقل تكلفة. في النهاية الأعلى ، يمكن أن يؤدي اختبار القلم المحمول الكامل إلى تشغيل ما يصل إلى 20000 دولار.

أهم العوامل التي تحدد العدد الدقيق هي (أ) حجم المؤسسة التي تنشر التطبيق بالإضافة إلى عدد المستخدمين و (ب) مدى تعقيد التطبيق.

إن التطبيق الذي يحتوي على أدوار متعددة للاختبار وعدد كبير من الصفحات / النماذج الفريدة سيستغرق وقتًا أطول للمهندس للاختبار بشكل مناسب. علاوة على ذلك ، إذا كنت مهتمًا باستكشاف ما وراء التهديدات القياسية التي تواجه تطبيقات الأجهزة المحمولة واختبار هجمات أكثر تعقيدًا ، فسيؤدي ذلك إلى زيادة السعر بشكل كبير.

لسوء الحظ ، هناك فجوة بين ما يوصي به المحترفون وما هو ممكن عمليًا.

يوصي العديد من خبراء تكنولوجيا المعلومات باختبار الاختراق لتطبيقاتك مرتين في السنة.

تستند هذه التوصية إلى الوتيرة النموذجية لتطورات التهديد والتكنولوجيات والاتجاهات الناشئة. بعبارة أخرى ، إذا كنت تريد أن تكون على دراية بأحدث المخاطر في عالم الإنترنت ، فإن الأمر يستحق الاختبار.

طلبنا مرة كل ستة أشهر.

ومع ذلك ، هذا ببساطة غير عملي للعديد من الشركات.

مع وصول التكاليف بسهولة إلى 10000 دولار أمريكي وأوقات التسليم التي تصل إلى ثلاثة أسابيع ، لا يمكن لمعظم الشركات تحمل هذه العملية إلا مرة واحدة في السنة.

هذا ببساطة هو الواقع في هذه المرحلة – على الأقل حتى تجعل التكنولوجيا من السهل والأرخص تنفيذ هذه الاختبارات.

قد تكون التوصية الجيدة كالتالي: إذا كنت مقيدًا بعدد اختبارات القلم التي يمكنك إجراؤها ، فتأكد من أن الاختبارات التي تنفذها من الدرجة الأولى. سيكون الاختبار الفردي الذي يقوم باستكشاف شامل لشفرة تطبيقك ويحاكي مجموعة من الهجمات المعقدة أكثر فاعلية بما لا يقاس من ثلاثة أو أربعة اختبارات متوسطة – كما أنه سيكون أرخص بشكل عام.

هل اختبار القلم هو كل ما تحتاجه لأمان تطبيقات الهاتف المحمول؟
بالإضافة إلى الجوانب الفنية لاختبار الاختراق ، من المهم للشركات أن يكون لها الموقف الصحيح فيما يتعلق بعملية اختبارات القلم.

من المؤكد أن اختبارات القلم هي الطريقة الأكثر فعالية لضمان أمن تكنولوجيا المعلومات على مستوى الشبكة أو التطبيق. ومع ذلك ، فإن اختبارات القلم ليست نوعًا من الأشياء المحددة والنسيان. بيت القصيد من الاختبار هو معرفة ما يحتاج إلى العلاج.

في تطبيقات الأجهزة المحمولة ، هناك مجموعة واسعة من المشكلات التي تحتاج إلى معالجة لضمان السلامة والوظائف: معايرة عدد أذونات التطبيق ، وتثبيت الشهادة ، وسياسات كلمات المرور ، وبروتوكولات تسجيل الخروج القسري ، وهذه ليست سوى عدد قليل من المكونات المؤثرة جدًا لأي هاتف محمول برنامج.

يمكن أن يسلط اختبار القلم الجيد الضوء على ما يجب تغييره. لكن تغييرها سيكون متروكًا لك.

قبل الدخول في نظام اختبار القلم ، تأكد من أن لديك خطة مؤقتة للمتابعة. ضع في اعتبارك أن العديد من شركات الاختبار ستقدم خدمات الإصلاح أيضًا ، مما قد يسهل المضي قدمًا في الإصلاحات المطلوبة. في حالات أخرى ، يجب أن يكون فريق تقنية المعلومات الداخلي للشركة قادرًا على حل المشكلة. هذا هو الحال عادةً عندما تكون الشركة التي تتلقى الاختبار هي أيضًا مطور التطبيق. سيضمن وجود خطة متابعة في النهاية حصولك على أقصى استفادة من استثمارك في اختبار القلم المحمول.