اختبار الاختراق ومتطلبات نجاحه

الكاتبة: ايمان بنت مشبب بن احمد ملداح

ملخص

تعتمد المنظمات على نظام حماية يضمن أمن المعلومات والبيانات الخاصة بها . ولكن مهما كانت قوة هذا النظام فإنه لابد من وجود نقاط ضعف يمكن أن يستخدمها من يحاول اختراق هذا النظام ومن ثم الدخول الى بيانات المنظمة والتي عادة ما تكون تتطلب مستوى عالي من السرية خاصة ضد المنافسين لهذه الشركة مما قد يؤدي إلى خسائر كبيرة. ولذلك تستخدم الشركات ما يسمى باختبار الاختراق (Penetration Test) وهو قياس لمدى حصانة الأنظمة ضد الاختراقات يتم عن طريق محاكاة الطريقة التي سيتم استخدامها من قبل من يحاول اختراق النظام ومن ثم إيجاد الثغرات الأمنية ومحاولة إيجاد الحلول المناسبة لتجنبها. ويتم هذا الاختبار من قبل أشخاص ذوي مهارة عالية جداً في هذا المجال يتم توظيفهم من قبل الشركات في الأقسام الخاصة بالأمور التقنية أو من قبل شركات متخصصة في القيام بمثل هذه الاختبارات يتم الاتفاق بينها وبين المنظمة بواسطة عقد بين الطرفين يحدد فيه الهدف من الاختبار ومجاله. ويعتبر هؤلاء الأشخاص ممن يسمون بالقراصنة (Hackers) و هنا يسمون عملهم بهذه الطريقة بالقرصنة الأخلاقية(Ethical Hacking) حيث يقومون باختبار أجزاء النظام المختلفة ومحاولة اختراقها سواء كانت أجهزة أو برمجيات مثل أنظمة التشغيل وقواعد البيانات. ويستخدم لأداء هذا الاختبار العديد من الإستراتيجيات المختلفة والتي يتم اختيارها بما يتناسب مع الهدف من الاختبار والمجال المطلوب اختباره بالإضافة إلى العديد من الأدوات التي تساعد على أداء الاختبار بأعلى جودة ممكنة.

الكلمات المفتاحية

اختبار الاختراق , الثغرات الأمنية , المنظمة, الحماية, إستراتيجيات الاختبار.

مقدمة

تعتبر التعاملات الالكترونية الأساس الذي تعتمد عليه الشركات والمنظمات المختلفة في الوقت الحالي, حيث عن طريقها يتم إدارة مهام المنظمة وتخزين وتبادل البيانات المتعلقة بها, وغير ذلك من التعاملات والتي يفترض أن تتم بسرية تامة تضمن عدم تسرب هذه المعلومات لخارج نطاق المنظمة مما قد يتسبب في حدوث خسائر كبيرة. ولكي نحافظ على هذه السرية يتطلب منا معرفة المخاطر التي يمكن أن تواجهها المنظمة, كمحاولة اختراق النظام من قبل أشخاص ذوي مهارات عالية لعدة أسباب قد تكون تخريبية أو لصالح منظمات منافسة تحاول الحصول على بيانات هذه المنظمة. لذلك يجب أن تتبع هذه المنظمات العديد من الطرق لحماية أمن هذه المعلومات, ومن إحدى هذه الطرق طريقة اختبار الاختراق (Penetration Test) بمعنى اختبار مدى حصانة النظام ضد الاختراقات. وتتم هذه الطريقة بواسطة محاكاة الطريقة التي يمكن أن يستخدمها من يحاول اختراق النظام و إيجاد الثغرات التي يمكن ان يستعملها ومن ثم سد هذه الثغرات قبل أن يتم اكتشافها. وعلى الرغم من أهمية هذا الاختبار إلا أنه يكاد ينعدم استخدامه والقيام به في المنظمات والشركات في الدول العربية .
هنا نحتاج لمعرفة ماهية هذا الاختبار وأنواعه, والإستراتيجيات المختلفة لتطبيقه, وكيف تستطيع الشركات الاستفادة منه , وأخيرا المعايير المستخدمة لضمان نجاح هذا الاختبار.

ماهية اختبار الاختراق (Penetration Test)

نستطيع تعريفه بأنه "مجموعة من الأنشطة التي تُعمل لتعريف أو كشف الثغرات الأمنية؛ والفكرة هي إيجاد مدى السهولة أو الصعوبة على شخص ما لاختراق آليات التحكم الأمنية في المنظمة أو الحصول على الدخول الغير مصرح به إلى الأنظمة المعلوماتية لها" . ويتم هذا الاختبار بواسطة شخص ذو خبرة ومهارة عالية في هذا المجال حيث أن مهمة اختراق الأنظمة تتطلب مستوى عالي من المهارة وهذا المستوى يتوفر عادة في من يسمون بالقراصنة (Hackers) ولكن هنا يطلق على عملهم بالقرصنة الأخلاقية(Ethical Hacking).

أهميته والهدف منه

الهدف من إجراء هذا الاختبار هو المحافظة على موارد المنظمة وذلك بإيجاد نقاط الضعف أو الثغرات التي يمكن أن يستخدمها أي شخص غير مصرح له للوصول إلى هذه الموارد مما قد يؤدي إلى حدوث خسائر مادية كبيرة, وعند إيجاد نقاط الضعف هذه يتم تدارك المشكلة ومحاولة تغطيتها قبل أن يتم استخدامها. وتظهر أهمية هذا الاختبار لعدة نقاط هي :
- يعتبر الخطوة الأولى لفهم الوضع الأمني الحالي للمنظمة لأنه يحدد ما هي نقاط الضعف ومعرفة التقنيات والخدمات المفترض تطبيقها فبالتالي يساعد على وضع الخطة المناسبة لحماية النظام.
- النتائج الموثقة من الاختبار تساعد مسئول الشبكة أو مدير أمن المعلومات في المنظمة على تبرير الميزانية المطلوبة لعمل إجراءات الحماية , خاصة إذا كان الخطر يتعلق ببيانات العملاء أو الموارد البشرية.
- الوضع الأمني للمنظمة يحتاج لدراسة دائمة نظراً للتطور المتسارع للتكنولوجيا. لذلك وجود طرف ثالث مستقل وغير منحاز يقوم باختبار درجة حماية المنظمة يمكن المساهمين فيها من ضمان حقهم ويساعد على تقديم الأدلة اللازمة عند حل المشاكل القانونية الخاصة بأمن المعلومات المتعلقة بالمنظمة.
- المتطلبات التنظيمية واللوائح تتطلب توفر هذا الاختبار عند التعاملات التجارية. ومن هذه اللوائح على سبيل المثال HIPPA (Health Insurance Portability and Accountability Act) وهي لوائح خاصة بالتامين الصحي وتشمل على قواعد خاصة بمجال الأمن في المنظمات.
- التجارة الإلكترونية تتطلب قدرا عالي من الحماية خاصة عند التعامل مع الشركاء والموردين والعملاء وأي خلل أو ضعف بسيط في نظام أحد الطرفين قد يؤدي إلى خسائر كبيرة لذلك إجراء هذا الاختبار يقلل من احتمالية حدوث هذا الخطر ويعطي الثقة للطرفين من الناحية الأمنية.
- عندما تريد المنظمة الدخول إلى مجال عمل جديد أو استخدام تقنيات جديدة فإن الاختبار يتحقق من إمكانية تطبيق هذه المستجدات مع الإطار الأمني المتوفر بنجاح و بأدنى حد من الخسائر المتوقعة.

من يقوم بهذا الاختبار؟

كما ذكر سابقا يتطلب القيام بهذا الاختبار شخص ذو مهارة عالية ولكن هذا الشخص سيكون ضمن فريق مخصص لهذا العمل. هذا الفريق يمكن أن يكون فريق داخلي أو خارجي. أسباب اختيار نوع الفريق سواء داخلي أو خارجي تختلف من منظمة لأخرى. الفريق الداخلي يتكون من مجموعة من الموظفين من داخل المنظمة, وتفضل المنظمات هذا النوع لأنه يمكن من إجراء اختبار يومي للنظام والشبكات وبذلك نضمن اكتشاف الثغرات الأمنية بسرعة. أما الفريق الخارجي فيكون من طرف آخر وهو عبارة عن شركات مخصصة توفر هذه الخدمة يتم الاتفاق معها بواسطة عقد يحدد فيه الهدف والمجال من الاختبار. وتحديد الهدف والمجال بشكل جيد يضمن أن الخدمة المقدمة من قبل الطرف الخارجي تتوافق مع توقعات المنظمة. ولكن يؤخذ على هذه الطريقة أنها مكلفة وتتم تقريباً مرة واحدة في السنة مع أن الأنظمة والشبكات الإلكترونية تتغير بشكل دائم .لذلك تعتبر هذه الطريقة اختبار للنظام في لحظة معينة يتم عن طريقها معرفة الخطة المفترض إتباعها. وهناك عدة أمور يجب أخذها في الاعتبار عند اختيار الشركة المقدمة للخدمة أهمها أن تكون الشركة موثوقة, وأن يتم التأكد من الموظفين العاملين في هذه الشركة أنهم على مستوى عالي من الكفاءة .
أي فرد من الفريق سواء داخلي أو خارجي لابد أن تتوفر به عدة أمور منها أن يكون على علم ومعرفة وخبرة بهذا المجال, وأن يكون لديه المعرفة الكافية بمختلف أنظمة التشغيل وأنواع الشبكات والتطبيقات, و متابعاً لأحدث الأخبار الأمنية والتقنيات الجديدة المستخدمة في الاختراق , وأخيراً أن يكون لديه شهادات متخصصة في هذا المجال.

الإستراتيجيات المتبعة في اختبار الاختراق

هناك العديد من الإستراتيجيات التي يمكن إتباعها عند اختبار مدى حصانة النظام ضد الاختراقات وتختلف هذه الإستراتيجيات عن بعضها في الكيفية التي سيتم بها الاختبار وفي كمية المعلومات التي يمكن أن يحصل عليها من يجري الاختبار.
- إستراتيجية الاختبار الداخلي.
القيام بالاختبار من داخل المنظمة ومحاولة الاختراق باستخدام الأجهزة والبرامج الموجودة في داخل محيط المنظمة.
- إستراتيجية الاختبار الخارجي.
القيام بالاختبار من الخارج بواسطة جهاز كمبيوتر بعيد متصل بشبكة الإنترنت.
- إستراتيجية المعرفة من الصفر.
في هذه الإستراتيجية لا يوجد لدى فريق العمل أي معلومة عن المنظمة لذلك يبدأ الفريق بجمع المعلومات التي تساعده على تحقيق أهدافه. هنا تعتبر عملية الاختبار عملية مكلفة وتحتاج لوقت طويل.ويستخدم لمحاولة إيجاد أكبر عدد ممكن من نقاط الضعف.
- إستراتيجية المعرفة الجزئية.
عند استخدام هذه الإستراتيجية يزود الفريق بقدر بسيط من المعلومات والذي يمكن أن يحصل عليها أي شخص يحاول اختراق النظام. تقلل من التكلفة والوقت بشكل بسيط . وتستخدم عندما يكون لدينا نوع معين من الهجوم أو هدف محدد لحمايته.
- إستراتيجية المعرفة التامة.
يتم تزويد الفريق عند استخدام هذه الإستراتيجية بجميع البيانات الممكنة عن المنظمة. تستخدم هذه الإستراتيجية لتقليل التكلفة والوقت ومحاولة محاكاة ما إذا كان المخترق من داخل محيط المنظمة كالموظفين مثلاً.
الأنظمة التي يمكن اختبارها
يتكون النظام لأي منظمة من عدة أجزاء كل جزء منها يؤدي وظيفة لها أهميتها بالنسبة للمنظمة . ويمكن أن يتم اختبار جميع هذه الأجزاء أو جزء منها حسب احتياج المنظمة .ويمكن تقسيم هذه الأجزاء حسب نوعها إلى:
- التطبيقات والبرمجيات مثل أنظمة التشغيل و قواعد البيانات.
- الموقع الإلكتروني وإمكانية الاتصال عن بعد.
- الشبكات اللاسلكية وتتضمن الأجهزة التي تستخدم تقنية البلوتوث والواي فاي وغيرها.
- القوانين التي تتحكم بالهندسة الاجتماعية.
- الأجهزة والأجزاء المادية مثل مدى صعوبة إمكانية الوصول إلى الخوادم.

متطلبات و معايير نجاح الاختبار

لكي نضمن نجاح الاختبار أو بالأصح الوصول لأعلى حد ممكن من الدقة في النتيجة هناك العديد من العوامل التي يجب على المنظمة أخذها في الاعتبار عند أداء الاختبار أهمها تحديد المجال والهدف من الاختبار بدقة, و أيضاً اختيار الشركة الموفرة لخدمة الاختبار بعناية وهذا يعتبر عامل هام لأنه بالإضافة لضمان نجاح الاختبار لابد من ضمان حماية البيانات بعد انتهاء الاختبار.
ولكي نضمن نجاح الاختبار من ناحية من يقوم به هناك عدة عوامل تساعده على أداءه ,أولاً, أن يقوم بعمل تغطية شاملة لنقاط الضعف والثغرات الممكنة الحصول بجميع أنواعها وتحديد مخاطرها و طرق الحماية منها و ذلك بعمل قائمة تحتوي على كل من الأجهزة وأنظمة التشغيل والتطبيقات الموجودة في النظام . ثانياً ,تقديم النتائج النهائية على شكل تقارير واضحة وبشكل مباشر بعد انتهاء كل مرحلة من الاختبار وعرض هذه النتائج بطريقة تمكن غير المختصين في التقنية كالإدارة مثلاً في فهم الوضع الحالي.ثالثاً , استخدام التطبيقات والبرمجيات القوية وتحديثها بشكل دائم والتي يمكن أن تكتشف الثغرات والفيروسات المكتشفة حديثاً . ويتوفر العديد من الأدوات المساعدة والتي تختلف من حيث التكلفة ومدى الجودة , ونقوم باختيار الأدوات المناسبة بالاعتماد على القائمة التي تم إعدادها مسبقاً. أخيراً , الحصول على أعلى النتائج مع أدنى حد لفترة انقطاع أعمال المنظمة وبالتالي عدم حدوث خسائر بسبب القيام بالاختبار.
ويوجد العديد من المعايير والقواعد العالمية المتبعة عند القيام بالاختبار والتي قد تساعد إلى حد كبير في نجاح الاختبار وأحد هذه المعايير المستخدمة هوOSSTMM(Open Source Security Testing Methodology Manual) وهو طريقة لاختبار مدى حماية النظام. والهدف منه وضع القواعد المناسبة للاختبار والتي تضمن إعطاء نتائج صحيحة.

الخاتمة

اختبار الاختراق من الإجراءات المهمة والتي يجب تطبيقها بشكل دوري لضمان حماية الأنظمة مع الأخذ بالاعتبار المجال الذي سيتم اختباره و الطريقة المتبعة والأدوات المساعدة المناسبة والتي تساعد على نجاح الاختبار والحصول على النتائج المتوقعة منه.

المراجع

1. الجطيلي , فهد."اختبار قابلية النظام للاختراق." مركز التميز لأمن المعلومات . 20 ديسمبر 2009 < http://coeia.edu.sa/index.php/ar/asuurance-awarness/articles>
2. “Penetration Test." Wikipedia. 20 December 2009 <http://en.wikipedia.org/wiki/Penetration_test>.
3. Danhieux ,Pieter."Penetration Testing: The Third Party Hacker." SANs Institute ,InfoSec Reading Room. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.
4. Simpson , Nancy." Guidelines for Developing a Penetration Rules of Behavior." SANs Institute ,InfoSecReadingRoom. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.
5. Graff, Mark." Instruments of the Information Security Trade." SANs Institute ,InfoSecReadingRoom. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.
6. Braden , Jimmy." Penetration Testing - Is it right for you?." SANs Institute ,InfoSecReadingRoom. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.
7. Burrows, Dave." Penetration 101 - Introduction to becoming a Penetration Tester." SANs Institute ,InfoSecReadingRoom. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.
8. Layton, Timothy." Penetration Studies - A Technical Overview." SANs Institute ,InfoSecReadingRoom. 20 December 2009 <http://www.sans.org/reading_room/whitepapers/testing/ >.