6 ميزات يجب أن يحتويها كل تقرير عن اختبار الاختراق

تقارير اختبار الاختراق
يعد اختبار الاختراق أكثر الطرق فعالية لضمان أمان الشبكة. من خلال محاكاة تصرفات مجرمي الإنترنت في العالم الحقيقي ، يمكن للمديرين تحقيق أكبر قدر ممكن من الفهم الملموس لنقاط الضعف في نظامهم.

والأهم من ذلك ، يمكن أن يمنحك اختبار الاختراق الذي يتم تنفيذه جيدًا نظرة ثاقبة أساسية حول كيفية تعزيز أمن الإنترنت والمعلومات. إن عملية اختبار القلم الفعلي ، وإجراءاته ، وأهدافه ، وكيفية اختيار اختبار القلم الصحيح ، هي كل سؤال في حد ذاته. وعادة ما تحظى هذه الأسئلة بأكبر قدر من الاهتمام.

ما أهمله عملاء اختبار القلم هو في الواقع “الناتج” الذي يأتي مع الاختبار: تقرير ما بعد الاختبار.

لماذا يعد تقرير اختبار الاختراق مهمًا؟
فوائد تقرير اختبار الاختراق الجيد
ماذا يحتوي تقرير اختبار الاختراق؟
ما هي المعلومات التي تم توفيرها لمختبري الاختراق؟
ما هي حالات الاختبار المضمنة؟
ما هي الأصول التي كانت ضمن نطاق الاختبار؟
ما هي نقاط الضعف التي تم تحديدها؟
المخاطر في السياق
كيف يتم احتساب المخاطر؟
تقرير التسليم
مراجعة التقرير

1. ترتيب استخلاص المعلومات
2. معدل نقاط الضعف
   كيف تبدأ الإجراءات العلاجية
   
3. شبكة مضمونة
4. العثور على مزود Pentest المناسب بسرعة
5. احصل على المطابقة مجانًا مع أفضل بائعي Pentest الذين يتناسبون مع ميزانيتك.

لماذا يعد تقرير اختبار الاختراق مهمًا؟
يعد تقرير الاختبار في الواقع أحد أهم خطوات عملية اختبار القلم بالكامل. لسوء الحظ ، فشلت العديد من الشركات التي تتعاقد مع اختبار الاختراق في إدراك ذلك.

ينظر الكثيرون إلى اختبار القلم بنفس الطريقة التي قد يشاهدون بها زيارة الطبيب. يظهر المريض. يتم وخزه وحثه للتأكد من أن كل شيء على ما يرام. يغادر. لا توجد “متابعة” حقيقية ما لم يتم العثور على خطأ خطير.

اختبار الاختراق ، من وجهة النظر هذه ، يعمل بنفس الطريقة. يريد المديرون إجراء فحص على نظامهم ، لذا فهم يعرضونه لبعض الهجمات التجريبية. إذا لم يتم العثور على نقاط ضعف صارخة ، فهذا هو الحال. في حين أن هذا الفهم له بعض الحقيقة ، فإنه يفشل في التعرف على فوائد وأغراض اختبار القلم حقًا.

من الناحية النظرية ، تمتلك أي شبكة رقمية ثغرة أمنية واحدة على الأقل يمكن للقراصنة استغلالها. ما يحاول اختبار القلم الكشف عنه هو كيفية استجابة النظام لسلسلة من الهجمات المحددة مسبقًا وتقنيات الاختراق. بحكم التعريف تقريبًا ، يعد اختبار القلم هو الخطوة الأولى في العملية. تكتشف هذه العملية كيفية تحسين التكوين الحالي لشبكتك وكيف يمكنها مواجهة تهديدات معينة.

من المفترض أن يحتوي تقرير اختبار الاختراق على كل تلك المعلومات.

فوائد تقرير اختبار الاختراق الجيد
الآن وقد أوضحنا هذه النقطة الأساسية ، يمكننا فك تقرير الاختبار أكثر قليلاً.

بشكل عام ، هناك فئتان من الفوائد التي يقدمها لك تقرير اختبار الاختراق.

الأول هو توفير التوجيه لكيفية المضي قدما. أي مشاكل محتملة مع نظامك ، ومستوى المخاطرة المرتبط بنقاط الضعف هذه ، وما يمكن فعله حيالها ، كلها أمور يجب تضمينها في تقرير اختبار القلم.

هذا مهم لأنه يعطي المديرين خريطة طريق حول كيفية المضي قدمًا في الإصلاح. هل توظف فريق تطوير لتجديد نظامك الآن؟ هل يمكنك تسليم التصحيحات المطلوبة إلى فريق تكنولوجيا المعلومات الداخلي لديك؟ هل تحتاج أو تريد الاستثمار في حل هذه المشكلات؟ من المفترض أن يتم تضمين الإجابة على كل هذه الأسئلة – أو على الأقل المعلومات الأساسية اللازمة لاتخاذ قرار – في تقرير الاختبار.

الفائدة الثانية؟ أوراق اعتماد.

كما هو الحال في معظم المجالات ، تخدم بيانات الاعتماد في مجال تكنولوجيا المعلومات أغراضًا مختلفة.

على المستوى الأساسي ، يعمل تقرير اختبار الاختراق بمثابة اعتراف بالسلامة – شهادة أمان من نوع ما. إنه يتيح لعملائك معرفة أنك تأخذ أمان نظامك على محمل الجد وأخضعته لاختبارات حقيقية وملموسة لضمان سلامته.

في عالم اليوم حيث توجد مخاطر سرقة البيانات والصادرة

من المعروف جدًا أن الهجمات الإلكترونية عبر الإنترنت (تهديد يؤثر بشكل أساسي على الشركات الصغيرة إلى المتوسطة الحجم) ، فإن عرض هذه الرسالة الأمنية أمر بالغ الأهمية من منظور العلامة التجارية وثقة العملاء.

فائدة أخرى لا تقل أهمية هي عامل الامتثال. شهدت السنوات العديدة الماضية ارتفاعًا في تنظيم تكنولوجيا المعلومات من اللائحة العامة لحماية البيانات في أوروبا إلى قانون خصوصية المستهلك في كاليفورنيا (CCPA). تتطلب العديد من هذه اللوائح الهامة من أصحاب البيانات إظهار “احتياطات معقولة” لمنع تسرب البيانات.

إن مراجعة نظامك من قبل مختبرين موثوقين بالقلم ، في جميع الحالات تقريبًا ، يمكن أن يفي بهذه المتطلبات.

ماذا يحتوي تقرير اختبار الاختراق؟
مراجعة تقارير اختبار الاختراق، معرفة ما يمكن أن يقدمه لك تقرير الاختبار ، من الجيد أن يكون لديك فكرة عما يفترض أن يبدو عليه التقرير اللائق.

العناصر الأولى التي تم تناولها في تقارير اختبار الاختراق هي خصائص اختبار القلم نفسه.

هناك ثلاث نقاط سيتم تناولها هنا:

ما هي المعلومات التي تم توفيرها لمختبري الاختراق؟
قبل بدء أي اختبار بالقلم ، سيجمع المطورون معلومات حول النظام الذي سيختبرونه. سيتضمن ذلك بعض جمع المعلومات من جانبهم ، ولكنه سيتألف إلى حد كبير من أسئلة حول مكونات النظام والتهيئة الموجهة إلى المديرين الذين وظفوهم. سيحدد مطورو المعلومات في البداية بشكل كبير منهجية اختبار الاختراق.

ما هي حالات الاختبار المضمنة؟
كما أشرنا سابقًا ، فإن اختبارات القلم ليست إجراءً محددًا بشكل فردي. نطاق الهجمات والمحاكاة التي يمكن تطبيقها ، من حقن SQL إلى خدع الهندسة الاجتماعية ، واسع جدًا. يجب أن يحدد تقرير اختبار الاختراق بوضوح الأدوات والتكتيكات والتقنيات التي تم استخدامها أثناء الاختبار.

ما هي الأصول التي كانت ضمن نطاق الاختبار؟
مثلما لا يوجد تعريف ضيق لما يتضمنه اختبار القلم ، كذلك لا يوجد نطاق محدد لاختبار القلم.

تميل شبكة الأعمال النموذجية (خاصة على مستوى الشركة) إلى تضمين مجموعة من المكونات والتطبيقات. قواعد البيانات ، أدوات الاتصال ، مديري المهام ، الأعمال. يمكن لكل هذه البرامج ، من الناحية الفنية ، إنشاء نقاط ضعف للنظام. ولكن نادرًا ما يكون كل جانب من جوانب شبكة الشركة جزءًا من اختبار القلم. يجب إبراز المكونات التي خضعت لاختبار القلم في التقرير.

ما هي نقاط الضعف التي تم تحديدها؟
أخيرًا ، يجب أن يسرد التقرير بطريقة واضحة ومفصلة ما هي نقاط الضعف التي تم تحديدها في سياق اختبار القلم.

الطريقة التي يتم بها نقل هذه المعلومات أمر بالغ الأهمية.

أولاً ، يجب على المديرين توقع ملخص تنفيذي في الجزء العلوي من هذا القسم. سيوفر الملخص التنفيذي التوجيه الاستراتيجي للأشخاص المسؤولين عن معالجة نقاط الضعف هذه. قد لا يقوم رئيس قسم المعلومات بشكل شخصي بإصلاح الأخطاء التي تم تحديدها في الاختبار ، ولكنه سيحتاج إلى ملخص عام. القيمة الأخرى للملخص التنفيذي هي الحصول على شيء يمكن تسليمه إلى كبار المسؤولين في الشركة. قد لا يكون لهؤلاء الأشخاص أي مشاركة مباشرة في جانب تكنولوجيا المعلومات لإدارة الأعمال ، ولكن لا يزال يتعين إبلاغهم بالمشكلات.

الشيء الثاني الذي تبحث عنه هو كتابة التقارير بلغة واضحة وموجهة عمليًا. وهذا يعني إيصال الثغرات بطريقة يمكن للشخص العادي معرفة ما يقال (إذا تم وضع الثغرات بلغة عالية التقنية ، فلن يكون ذلك مفيدًا لمعظم المديرين التنفيذيين الذين يقرؤون التقرير) ، والأهم من ذلك ، وضع عوامل الخطر في السياق.

هذه النقطة الأخيرة تستحق التفريغ قليلاً.

المخاطر في السياق
في نهاية اليوم ، تعقد الشركات اختبارات القلم لمعرفة المخاطر التي تواجهها. لكن مفهوم المخاطرة ليس نوعًا من النجاح / الفشل. يجب موازنة المخاطر. والطريقة التي يتم بها تقييم المخاطر تعتمد دائمًا على السياق.

ماذا يعني هذا لتقرير اختبار الاختراق؟

ببساطة ، فهذا يعني أن قسم “اكتشاف الثغرات الأمنية” يجب أن يتضمن التداعيات المحتملة لكل ثغرة أمنية.

لنفترض أن شركة في صناعة الرعاية الصحية تعاقدت على اختبار القلم. إحدى الثغرات التي تم العثور عليها كانت ثغرة في تحميل الملفات إلى بوابات المرضى.

قد يقول أحد الإصدارات:

“التكوين الحالي لا يمنع تحميلات المستخدم إلى بوابات المرضى.”

في حين أن هذا دقيق من الناحية الفنية ، فإنه يفشل في تسليط الضوء على العواقب الواقعية التي يمكن أن تنتج عن الضعف.

الآن ، ضع في اعتبارك هذا الإصدار:

“التكوين الحالي لا يمنع المستخدمين غير المصرح لهم من تحميل البيانات إلى بوابة المريض. من خلال هذه الثغرة الأمنية ، يمكن للمهاجمين تنفيذ التعليمات البرمجية عن بُعد ورفع امتيازاتهم ، مما يمنح الوصول إلى السجلات الطبية السرية ويسمح للمهاجمين بالعمل كمسؤولين في البرنامج “.

ترى الفرق؟

والثاني ببساطة له وزن أكبر لأنه يتحدث إلى أصحاب القوة

يمكن أن يكون تأثير الثغرة الأمنية على الأعمال التجارية.

من بين جميع النقاط التي تحدد جودة تقارير اختبار الاختراق ، ربما يكون هذا هو الأهم.

من الضروري أن يفصل التقرير العواقب المحتملة لكل مشكلة تم الكشف عنها في الاختبار. بهذه الطريقة فقط يمكن للمديرين الحصول على صورة واضحة للمخاطر التي يواجهونها.

كيف يتم احتساب المخاطر؟
بالإضافة إلى شرح نقاط الضعف بوضوح في السياق ، يجب أن يحتوي تقرير اختبار القلم على شكل من أشكال نظام التصنيف للمشكلات المكتشفة.

سواء كان هذا نظام تصنيف رقمي (مقياس من 1 إلى 10 على سبيل المثال) أو يعتمد على فئات (منخفضة ، متوسطة ، عالية) ، من المهم أن يكون لدى العميل فكرة نسبية عن شدة كل نقطة ضعف مكشوفة في نظامهم.

كيف يقوم مختبرو الاختراق بإجراء هذه الحسابات؟

بشكل عام ، يعتمد تقييم المخاطر على عاملين محددين: أ) الاحتمالية و ب) الأثر.

بمعنى آخر ، ما هي احتمالات أن تواجه هذه الشبكة هذا التهديد بالذات ، وإذا حدث ذلك ، فما هي العواقب المحتملة.

إذا كتبنا هذا في صورة معادلة ، فسيبدو مثل هذا:

التأثير * الاحتمالية = مستوى المخاطرة.

دعونا نعالج كل واحدة من هذه على حدة.

في مجال الأمن السيبراني ، تعتمد الاحتمالية إلى حد كبير على القواسم المشتركة للتهديد في وقت معين وداخل صناعة معينة. هذا هو المكان الذي تأتي فيه الخبرة حقًا لأن المختبِر يحتاج إلى أن يكون على دراية بمشهد التهديد الحالي بالإضافة إلى الأنماط الأوسع للجرائم الإلكترونية. على سبيل المثال ، إذا كان هناك ارتفاع في استخدام برمجيات إكسبلويت التي تم اكتشافها مؤخرًا ، فهذا يعني أن احتمالية وجود تهديد تزداد كثيرًا.

ما يعنيه هذا فيما يتعلق بحساب المخاطر هو أنه في حين أن الاحتمالية متقلبة ومتغيرة باستمرار ، إلا أن هناك طرقًا لمنحها تقييمًا ملموسًا لأي وقت ومجال معين.

الآن ، فيما يتعلق بالتأثير. السؤال الأول ذو الصلة هو ما الذي يمكن أن يتأثر.

يمكن أن تشكل الثغرة تهديدًا من الناحية الفنية فقط ، أي أنها قد تؤدي إلى فشل مؤقت في النظام أو مواطن الخلل الأخرى التي يمكن أن تؤثر على استمرارية العمل. على الرغم من أن هذا ليس بالأمر الهين ، إلا أن الضرر الناتج عن مثل هذا التهديد يكون عادةً مؤقتًا وبالتالي يحصل على تصنيف تأثير أقل.

يتضمن النوع الأكثر خطورة من التأثير التهديدات التي يمكن أن تلحق الضرر بشكل دائم أو تعرض الجوانب الحرجة للعمل للخطر. من حيث التأثير المحتمل ، هذه هي الفئات التي سيبحث عنها مختبرو القلم عن:

معلومات التعريف الشخصية للعملاء / العملاء والموظفين
البيانات المالية
الأسرار التجارية والصناعية
بنية تحتية حرجة
إذا شكلت ثغرة أمنية معينة تهديدًا محتملاً لأي من مكونات العمل هذه ، فسيصنف هذا مستوى التأثير على أنه مرتفع.

يجب أن يتضمن تقرير اختبار القلم تصنيفًا مبسطًا لكل ثغرة أمنية وشرحًا لهذه التصنيفات بناءً على العوامل المذكورة أعلاه.

تقرير التسليم
لقد اجتزت اختبار القلم الخاص بك. ما الذي يجب أن تتوقعه من حيث تسليم التقرير؟

بقدر ما يتعلق الأمر بوقت الاستجابة ، فإنه يعتمد إلى حد كبير على حجم الاختبار. من الأمور الجيدة التي يمكن توقعها بالنسبة إلى شركة متوسطة الحجم تلقي تقرير اختبار القلم في أسبوع عمل واحد. تذكر أن المختبرين يسجلون الإجراءات والنتائج التي توصلوا إليها أثناء ذهابهم. ينظم التقرير ببساطة تلك المعلومات ويؤطرها في سياق تأثير الأعمال الذي ناقشناه أعلاه.

ثم هناك طريقة التسليم الفعلية.

وغني عن القول ، سيحتوي تقريرك على معلومات حساسة للغاية حول الأعمال الداخلية لنظامك. سيكون لدى المطورين المختلفين طرق مختلفة لإعادة توجيه المستندات إليك بطريقة آمنة. على الأقل ، يجب أن تتوقع استخدام شكل من أشكال البريد الإلكتروني المشفر لهذه المستندات. سوف يتحايل بعض المطورين على coms الرقمية تمامًا ويقومون فعليًا بتسليم البيانات في شكل محرك أقراص الإبهام أو بطاقة SD.

مراجعة التقرير
بمجرد الحصول على التقرير ، حان الوقت لبدء مراجعة النتائج.

هناك نقطتان رئيسيتان يجب مراعاتهما في هذه المرحلة.

1. ترتيب استخلاص المعلومات
   من المهم مراجعة التقرير بالكامل مع جميع أعضاء الفريق المعنيين. يعد إشراك الجميع لمناقشة ما تم العثور عليه أمرًا حيويًا للعلاج.
2. معدل نقاط الضعف
   إذا كان تقريرك جيدًا ، فإنه يعرض بوضوح نقاط الضعف والعواقب المحتملة التي قد تترتب عليها. الآن الأمر متروك لك للبدء في مخاطبتهم.

الأولوية الأولى هي الثغرات الأمنية التي يلزمك قانونًا تصحيحها. التالي هو أخذ اعتبارات الميزانية في الاعتبار.

بالنسبة للعديد من الشركات ، لن يكون إصلاح كل شيء ممكنًا ببساطة. إذا كان علاج مشكلة ما يعني تجديدًا شاملاً للنظام ، على سبيل المثال ، فقد لا يكون الاستثمار ممكنًا. هذا هو المكان الذي يجب أن يحدث فيه فرز الميزانية.

أخيرًا ، هناك تصنيف للثغرات وفقًا لشدتها.

يوجد هنا بعض الأدوات مفتوحة المصدر المفيدة جدًا والتي يمكن أن تكون مفيدة. إن إطار العمل المشترك الذي أوصى به الخبراء هو نظام تسجيل نقاط الضعف المشترك (CVSS). يستخدم CVSS مجموعة من المقاييس الأساسية لمساعدتك في الحساب

درجة من 0 إلى 10 لكل عنصر. من الفوائد العظيمة لـ CVSS أنه يعمل مع قاعدة بيانات الثغرات الأمنية الوطنية الأمريكية (NVD) التي تحتوي على أرشيف ضخم من تهديدات تقنية المعلومات المعروفة. إذا حدد اختبار القلم نقاط ضعف معروفة ، فيمكنك ببساطة البحث عن درجاتهم في NVD.

ضع في اعتبارك أنه ليس من الضروري معالجة جميع المخاطر. يمكن للشركة أن تقرر بناءً على تقرير اختبار القلم وتقييمها اللاحق أن ثغرة معينة تقع ضمن نطاق تحمل المخاطر. وهذا جيد.

ومع ذلك ، يجب مراقبة أي نقاط ضعف تعتبر غير محفوفة بالمخاطر بما يكفي لتتطلب العلاج لضمان عدم ارتفاع مستوى المخاطر بسبب التغيرات في مشهد التهديد بمرور الوقت.

كيف تبدأ الإجراءات العلاجية
لقد وصلت الآن إلى الخطوة الأخيرة: الإصلاح.

أول شيء يجب تحديده هو ما إذا كانت المشكلات التي تحتاج إلى حل تتطلب توظيف خبراء خارجيين أو ما إذا كان يمكن إدارتها بواسطة موظفين داخليين. هذا سؤال مباشر نسبيًا يمكنك طرحه على موظفي تكنولوجيا المعلومات أو العمليات لديك.

من الجيد أيضًا أن تعرف من البداية أنه لا تتطلب جميع المشكلات نفس النوع من الإصلاح.

قد تتطلب بعض المشاكل برامج ترقيع تغلق نقاط الضعف. في هذه الحالة ، ستحتاج إلى الاتصال بالمطورين المتخصصين في هذه البرامج.

سيتطلب البعض الآخر نوعًا من إصلاح النظام. على سبيل المثال ، لنفترض أن تطبيقًا معينًا تستخدمه يمتلك بروتوكولات أمان لا تلبي معايير الأمان في مجالك. في مثل هذه الحالة ، قد لا يكون هناك أي شيء تفعله بخلاف استبدال برنامجك الحالي بشيء أكثر قوة. هنا ، ليس مطورًا تحتاج إلى الاتصال به ، بل هو منتج بديل أو مقدم خدمة.

هناك أيضًا احتمال أن الثغرات الأمنية التي تم اكتشافها ليست مشكلات معزولة ولكنها في الواقع تشكل عيبًا فادحًا في تصميم نظامك أو خط تطويره. إذا كانت هذه هي الحالة ، فسيقوم أي مختبِر مختص بتوضيح ذلك في التقرير وستحتاج إلى طلب المشورة بشأن الخطوات التالية من مصمم الأنظمة.