ارتفعت عمليات البحث عن خدمات اختبار الاختراق في المملكة المتحدة بأكثر من 35% بين عامي 2023 و2025، مدفوعةً بمزيج من حوادث برامج الفدية، وتشديد الالتزامات التنظيمية، وموجة من شركات التأمين التي تطالب بأدلة على اختبار أمني فعال قبل إصدار وثائق التأمين الإلكتروني. وعلى الرغم من هذا الطلب المتزايد، لا يزال هناك ارتباك واسع حول ماهية اختبار الاختراق فعلياً، وكيف يختلف عن فحص الثغرات، وما هي التكلفة المناسبة له.
يغطي هذا الدليل الصورة الكاملة: ما هو اختبار الاختراق وما ليس كذلك، والأنواع الرئيسية، وكيف تسير العملية، وما يجب أن يتضمنه الناتج، والمؤهلات المهمة في المملكة المتحدة، ونطاقات التكلفة الواقعية لعام 2026.
ملخص سريع
- اختبار الاختراق هو هجوم محاكى من قِبل مختبر مفوض يستخدم نفس تقنيات المهاجمين الحقيقيين. وهو ليس مثل فحص الثغرات الذي يعمل بشكل آلي ولا يستطيع ربط الثغرات ببعضها أو تقييم الأثر الفعلي.
- يربط المختبرون ثغرات متعددة معاً لإثبات التأثير الفعلي، وليس فقط سرد المشكلات الفردية. هذا هو ما يجعل المنهجية مميزة وذات قيمة.
- في المملكة المتحدة، يُلزم معيار PCI DSS بإجراء اختبار اختراق سنوي، كما أن المادة 32 من UK GDPR ومعيار ISO 27001 وتوجيهات NCSC تشير جميعها إلى اختبار الاختراق المنتظم كدليل على الضوابط التقنية المناسبة.
- للمزودين المعتمدين من CREST، ابحث عن مؤهلات CRT (تطبيق الويب) أو CCT App (تطبيق الويب) أو CCT Inf (البنية التحتية). وللعمل في القطاع العام، يُطبق مخطط CHECK.
ما هو اختبار الاختراق (وما ليس كذلك)
اختبار الاختراق هو محاكاة منظمة ومفوضة لهجوم ضد هدف محدد. يستخدم المختبر نفس الأدوات والتقنيات وأساليب التفكير التي يستخدمها المهاجم الخبيث، لكنه يعمل ضمن نطاق وقواعد مشاركة متفق عليها. الهدف هو تحديد الثغرات وإثبات قابليتها للاستغلال في العالم الحقيقي قبل أن يفعلها مهاجم حقيقي.
فحص الثغرات ليس اختبار اختراق. يستجوب الماسح الآلي الأنظمة مقابل قاعدة بيانات بالثغرات المعروفة وينتج قائمة بالنتائج. إنه سريع وقابل للتكرار، لكنه لا يستطيع الاستدلال على السياق، أو ربط النتائج ببعضها، أو تقييم منطق الأعمال، أو إثبات التأثير الفعلي لما يجده. تخلط كثير من المنظمات بين الاثنين، وبعض الموردين يتعمدون طمس الحد الفاصل. إذا قدم لك أحد الموردين عرضاً لـ"اختبار الاختراق" وكانت المشاركة تعتمد كلياً على أداة دون أي تحليل يدوي، فقد اشتريت فحص ثغرات بسعر متميز.
هذا التمييز مهم من الناحية العملية. قد يُشير فحص الثغرات إلى أن تطبيقك يحتوي على نموذج تسجيل دخول بدون قفل للحساب. أما اختبار الاختراق فيذهب أبعد من ذلك: يحاول المختبر استغلال ذلك جنباً إلى جنب مع ضعف تعداد اسم المستخدم ورمز جلسة يمكن التنبؤ به لإثبات سلسلة استيلاء كاملة على الحساب. هذا هو الفرق بين إدراج خطر وإثباته.
أنواع اختبار الاختراق
حسب مستوى المعرفة. توصف الاختبارات عادةً بالصندوق الأسود أو الرمادي أو الأبيض، في إشارة إلى مقدار المعلومات المقدمة للمختبر في البداية:
- الصندوق الأسود: يبدأ المختبر بدون معرفة مسبقة بالهدف، محاكياً مهاجماً خارجياً أجرى استطلاعه الخاص. الأقرب إلى سيناريو هجوم واقعي لكنه قد يكون غير فعال من حيث الوقت لأن المختبر يقضي وقت المشاركة في مهام (كرسم خريطة للتطبيق) يمكنك توفيرها.
- الصندوق الرمادي: يُعطى المختبر بعض المعلومات، عادةً بيانات اعتماد المستخدم والوثائق، لكن ليس الكود المصدري أو مخططات البنية الكاملة. الخيار الأكثر شيوعاً لاختبارات تطبيقات الويب لأنه يوازن بين الواقعية والكفاءة.
- الصندوق الأبيض: يمتلك المختبر وصولاً كاملاً بما في ذلك الكود المصدري ووثائق البنية ومخططات البنية التحتية. يُستخدم للتقييمات الشاملة ومراجعات الكود المدفوعة بالامتثال. يجد أعلى نسبة من الثغرات لكنه يتطلب أكبر قدر من الإعداد من فريقك.
حسب نوع الهدف. تشمل الفئات الشائعة:
- اختبار اختراق الشبكة: البنية التحتية الخارجية أو الداخلية، وقواعد جدار الحماية، وتكوين VPN، وفرص التنقل الجانبي
- اختبار اختراق تطبيقات الويب: أفضل عشرة لـ OWASP وما يتجاوزها، بما في ذلك المصادقة وإدارة الجلسات والتحقق من المدخلات ومنطق الأعمال
- اختبار اختراق API: نقاط نهاية REST وGraphQL، وتجاوز المصادقة، والتعيين الجماعي، وتحديد المعدل، وكشف البيانات
- اختبار اختراق تطبيقات الهاتف المحمول: تطبيقات Android وiOS، وتخزين البيانات غير الآمن، وتجاوز تثبيت الشهادة، ومشكلات API الخلفية المكشوفة عبر طبقة الجوال
- الهندسة الاجتماعية: محاكاة التصيد الاحتيالي، والتذرع، والتصيد الصوتي (vishing) لاختبار طبقتك البشرية
- اختبار الاختراق المادي: التسلل، واستنساخ RFID، وتجاوز التحكم في الوصول، واستهداف المواقع المادية
تبدأ معظم الشركات البريطانية باختبار تطبيق ويب أو شبكة وتوسع النطاق مع نضج برنامجها الأمني.
عملية اختبار الاختراق
يتبع اختبار الاختراق الصارم منهجية محددة. تصف كلٌّ من CREST وPTES (معيار تنفيذ اختبار الاختراق) تسلسلاً مشابهاً:
تحديد النطاق وقواعد المشاركة
قبل بدء الاختبار، تتفق أنت والمزود على الهدف ونوع الاختبار وفترات الاختبار (تتطلب بعض المنظمات اختبارات خارج ساعات العمل لتجنب التأثير على الإنتاج)، وإجراءات التصعيد في حال اكتشاف نتيجة حرجة في منتصف الاختبار، وما هو خارج النطاق صراحةً. احصل على ذلك كتابةً. رسالة التفويض تحمي كلا الطرفين.
الاستطلاع
يجمع المختبر معلومات حول الهدف من خلال وسائل سلبية (استخبارات المصادر المفتوحة، وسجلات شفافية الشهادات، والوظائف المعلنة التي تكشف عن مجموعة التقنيات، وبيانات الاعتماد المسربة في قواعد بيانات الاختراق) ووسائل نشطة (تعداد DNS، ومسح المنافذ، وبصمات الخدمة). في اختبار الصندوق الأسود، يمكن أن تستغرق هذه المرحلة جزءاً كبيراً من وقت المشاركة.
الاستغلال
يحاول المختبر استغلال الثغرات المحددة للحصول على وصول أولي أو إثبات التأثير. هنا تنفصل المنهجية عن الفحص: يحاول المختبر المهاري مسارات متعددة، ويتكيف عندما يُحجب أحد المسارات، ويبحث عن تركيبات من المشكلات ذات الخطورة المنخفضة التي تنتج معاً نتيجة عالية التأثير.
ما بعد الاستغلال وربط الثغرات
هذه هي المرحلة التي يتجاهلها معظم تسويق المزودين. بعد الحصول على وصول أولي، ماذا يمكن للمهاجم أن يفعل فعلاً؟ قد يربط المختبر الذي يُقيّم تطبيق ويب ثغرة XSS مع ضعف CSRF ومعرف جلسة يمكن التنبؤ به لإثبات استيلاء كامل على الحساب. في البنية التحتية، ينطوي ما بعد الاستغلال على تصعيد الامتيازات والتنقل الجانبي وتحديد البيانات أو الأنظمة التي يمكن الوصول إليها من موطئ القدم الأولي.
ربط الثغرات أمر بالغ الأهمية لأنه يعيد صياغة المخاطر. نتيجة فردية مصنفة بـ CVSS 5.5 (متوسطة) تصبح محادثة مختلفة تماماً عندما تستطيع إثبات أنها قابلة للاستغلال بالتزامن مع اثنتين أخريين لسرقة قاعدة بيانات عملائك.
إعداد التقرير
يوثق المختبر جميع النتائج ويكتب التقرير ويسلمه في الإطار الزمني المتفق عليه (عادةً من خمسة إلى عشرة أيام عمل بعد اكتمال الاختبار). ما يتضمنه التقرير مُغطى في القسم التالي.
ما يتضمنه تقرير اختبار الاختراق الجيد
تقرير اختبار الاختراق الاحترافي هو وثيقة عمل لفريقك، وليس أداة مبيعات للمزود. يجب أن يتضمن:
الملخص التنفيذي. نظرة عامة غير تقنية على المشاركة، والوضع العام للمخاطر، وعدد وخطورة النتائج، والمشكلات الأكثر أهمية. مكتوب لقارئ على مستوى مجلس الإدارة يحتاج إلى اتخاذ قرارات، وليس لمطور يحتاج إلى إصلاح كود.
النطاق والمنهجية. ما تم اختباره، وكيف تم اختباره، وأي قيود (على سبيل المثال، إذا تم استبعاد عناوين URL معينة أو كان الاختبار مقيداً بساعات العمل).
النتائج المصنفة حسب المخاطر. كل ثغرة مدرجة مع تصنيف الخطورة. يستخدم معظم المزودين البريطانيين المحترفين درجات CVSS 3.1 إلى جانب تصنيف مخاطر سياقي يأخذ في الاعتبار بيئتك المحددة. درجة CVSS بمعزل عن غيرها يمكن أن تكون مضللة؛ نتيجة 7.5 بدون ناقل وصول خارجي تمثل خطراً مختلفاً عن نفس الدرجة على نقطة نهاية مواجهة للعموم.
التفاصيل التقنية وخطوات التكرار. معلومات كافية لمطوريك لتكرار النتيجة وفهم سبب قابليتها للاستغلال والتحقق من أن إصلاحهم يعمل. هذا يعني: الطلبات والاستجابات الدقيقة، والحمولات المستخدمة، وصور الشاشة عند الإفادة.
إرشادات المعالجة. نصائح محددة وقابلة للتنفيذ لكل نتيجة. ليس “قم بتحديث تبعياتك” بل “قم بترقية المكتبة X من الإصدار 2.3.1 إلى 2.4.0 وأزل استدعاء التسلسل المُهمل في السطر 247 من UserController.php”.
بيان إعادة الاختبار. تأكيد ما إذا كانت إعادة الاختبار مدرجة، وإذا كانت كذلك، كيف سيتم إغلاق النتائج. لا تُعتبر النتيجة محلولة حتى يؤكد مختبر ذلك.
محركات الامتثال في المملكة المتحدة لاختبار الاختراق
PCI DSS. يجب على أي شركة تعالج أو تخزن أو تنقل بيانات حاملي البطاقات إجراء اختبار اختراق على الأقل سنوياً وبعد أي تغييرات جوهرية على البنية التحتية أو التطبيق. يتضمن PCI DSS v4.0، الذي أصبح الإصدار الوحيد الفعال في مارس 2024، متطلبات محدثة لنطاق ومنهجية اختبار الاختراق. هذا متطلب إلزامي، وليس توصية.
UK GDPR المادة 32. تُلزم المنظمات بتنفيذ تدابير تقنية مناسبة لضمان أمان مناسب للمخاطر. اختبار الاختراق هو الطريقة الأكثر مباشرة لإثبات أنك قيّمت بنشاط ما إذا كانت ضوابطك التقنية تعمل. أشار ICO إلى اختبار الأمان في قرارات تنفيذية.
ISO 27001. يغطي التحكم 8.8 في الملحق أ إدارة الثغرات التقنية، واختبار الاختراق هو طريقة قياسية لتلبية هذا التحكم. إذا كنت تسعى للحصول على شهادة ISO 27001، فسيتوقع مدققك رؤية أدلة على الاختبار.
Cyber Essentials Plus. يتضمن المستوى الأعلى من مخطط Cyber Essentials الحكومي البريطاني تقييماً في الموقع وفحص ثغرات. في حين أن Cyber Essentials Plus ليس اختبار اختراق، فإن تحقيقه والحفاظ على الخط الأساسي الذي يحدده هو مقدمة منطقية.
توجيهات NCSC. يوصي المركز الوطني للأمن السيبراني باختبار الاختراق كجزء من إطار “10 خطوات للأمن السيبراني”، تحديداً تحت خطوتي “إدارة الثغرات” و"أمن الشبكة".
مؤهلات CREST ولماذا تهم
CREST هي هيئة الاعتماد الأولية في المملكة المتحدة لشركات اختبار الاختراق والمختبرين الأفراد. يتم تقييم المزودين المسجلين في CREST على عملياتهم ومنهجيتهم وقدرتهم على التعامل مع البيانات الحساسة بشكل مناسب. يمكن للمختبرين الأفراد الحصول على المؤهلات التالية:
- CREST Registered Tester (CRT): مؤهل مستوى مبتدئ يُثبت الكفاءة التقنية في اختبار تطبيقات الويب أو البنية التحتية.
- CREST Certified Tester - Application (CCT App): مؤهل متقدم لاختبار اختراق تطبيقات الويب. يتطلب اجتياز اختبار عملي.
- CREST Certified Tester - Infrastructure (CCT Inf): مؤهل مكافئ لاختبار الشبكة والبنية التحتية.
بالنسبة لهيئات القطاع العام في المملكة المتحدة، يُطبق مخطط CHECK. CHECK هو مخطط تديره NCSC يشترط أن يحمل مختبرو الاختراق وضع عضو فريق CHECK أو قائد فريق CHECK. إذا كنت دائرة حكومية أو هيئة صحية NHS أو سلطة محلية، فيجب أن يحمل مزودك وضع CHECK.
عند تقييم المزودين، اطلب رؤية المؤهلات المحددة التي يحملها المختبرون الذين سيعملون على مشاركتك، وليس المؤهلات التي يحملها كبار موظفي الشركة. الشخص الذي يكتب تقريرك ويجري اختبارك هو المؤهل الذي يهم.
كم مرة يجب أن تختبر؟
تعتمد الإجابة الصحيحة على ملف المخاطر الخاص بك، لكن الحد الأدنى العملي هو:
- سنوياً على الأقل لأي تطبيق مواجه للإنترنت يتعامل مع البيانات الشخصية أو بيانات الدفع
- بعد الإصدارات الرئيسية التي تُدخل وظائف جديدة أو تدفقات مصادقة جديدة أو تكاملات جديدة
- قبل الإطلاق لمنتج أو تطبيق أو خدمة جديدة ستعالج البيانات الشخصية أو بيانات الدفع لأول مرة
- بعد حادثة أمنية، لفهم ما إذا كان المهاجم قد ترك وراءه آليات استمرارية أو استغل ثغرات لم تُغلق بعد
- عندما يتغير ملف المخاطر، على سبيل المثال بعد اندماج أو استحواذ أو توسع كبير في قاعدة المستخدمين
تكاليف اختبار الاختراق في المملكة المتحدة
| نوع المشاركة | نطاق التكلفة النموذجي | ملاحظات |
|---|---|---|
| اختبار تطبيق ويب بالصندوق الأسود | £2,000 إلى £8,000 | خارجي، لا توجد بيانات اعتماد مقدمة |
| اختبار تطبيق ويب بالصندوق الرمادي/الأبيض | £5,000 إلى £15,000 | اختبار مصادق عليه، قد يتضمن مراجعة الكود المصدري |
| اختبار اختراق API | £3,000 إلى £8,000 | REST/GraphQL، يعتمد على عدد نقاط النهاية |
| اختبار اختراق البنية التحتية (خارجي) | £3,000 إلى £10,000 | المحيط، الخدمات المكشوفة |
| اختبار اختراق البنية التحتية (داخلي) | £4,000 إلى £12,000 | يحاكي سيناريو داخلي أو ما بعد الاختراق |
| تمرين الفريق الأحمر | £15,000 إلى £50,000+ | محاكاة خصم كاملة، متعددة المتجهات |
| مشاركة الهندسة الاجتماعية | £2,000 إلى £6,000 | تصيد احتيالي، صوتي، أو حملة مشتركة |
تعكس المعدلات أسعار السوق البريطانية في 2026. تشير عروض الأسعار التي تقل كثيراً عن هذه النطاقات عادةً إلى فحص آلي مع حد أدنى من التحليل اليدوي.
تغطي خدمة اختبار الاختراق من Mecanik اختبارات تطبيقات الويب وAPI والبنية التحتية للشركات البريطانية، باستخدام منهجية PTES وOWASP، مع استغلالات إثبات المفهوم وتقرير معالجة ذو أولويات.
النقاط الرئيسية
- اختبار الاختراق هو محاكاة يدوية ومفوضة لهجوم. وهو مختلف تماماً عن فحص الثغرات الآلي.
- يربط المختبرون ثغرات متعددة معاً لإثبات التأثير الحقيقي، وليس فقط إحصاء المشكلات الفردية بمعزل عن بعضها.
- التزامات الامتثال البريطانية (PCI DSS، UK GDPR المادة 32، ISO 27001، توجيهات NCSC) تشير جميعها إلى اختبار الاختراق المنتظم كممارسة أمنية أساسية.
- يحتوي التقرير الجيد على نتائج مصنفة حسب المخاطر وخطوات تكرار تقنية ودرجات CVSS مع تقييمات سياقية وإرشادات معالجة محددة لكل مشكلة.
- للمؤهلات، ابحث عن CREST CRT أو CCT App أو CCT Inf للمختبرين الأفراد في مشاركتك. للعمل في القطاع العام، يُشترط وضع مخطط CHECK.
- اختبر سنوياً على الأقل، وبعد الإصدارات الرئيسية، وقبل الإطلاق لأي خدمة جديدة تتعامل مع البيانات الشخصية أو بيانات الدفع.
الأسئلة الشائعة (FAQ)
ما الفرق بين اختبار الاختراق وفحص الثغرات؟ يستخدم فحص الثغرات أدوات آلية للتحقق من الأنظمة مقابل قاعدة بيانات بالمشكلات المعروفة. يتضمن اختبار الاختراق مختبراً بشرياً يستدل على الهدف، ويربط الثغرات ببعضها، ويُثبت قابلية الاستغلال الفعلية. الفحوصات سريعة ومفيدة لتحديد الخط الأساسي؛ لكنها ليست بديلاً عن الاختبار اليدوي.
كم من الوقت يستغرق اختبار الاختراق؟ يستغرق اختبار تطبيق ويب لموقع متوسط التعقيد عادةً من ثلاثة إلى خمسة أيام من وقت الاختبار. التطبيقات الكبيرة، والمشاركات بالصندوق الأبيض مع مراجعة الكود المصدري، أو اختبارات البنية التحتية عبر مضيفين كثيرين تستغرق وقتاً أطول. تُضيف محادثة تحديد النطاق وكتابة التقرير وقتاً إضافياً، لذا خطط لأسبوعين إلى أربعة أسابيع من بدء المشاركة إلى تسليم التقرير النهائي.
هل أحتاج إلى إخطار مزود الاستضافة الخاص بي قبل اختبار الاختراق؟ راجع شروط خدمة مزود الاستضافة أو السحابة. تُسمح AWS وAzure وGCP جميعها باختبار الاختراق لمواردك الخاصة دون إشعار مسبق لمعظم الخدمات، رغم وجود بعض القيود. يتطلب مزودو الاستضافة المشتركة في الغالب إشعاراً مسبقاً. يجب على مزود اختبار الاختراق الخاص بك تأكيد ذلك أثناء تحديد النطاق.
ماذا يحدث إذا وجد المختبر ثغرة حرجة أثناء الاختبار؟ يجب أن تحدد قواعد مشاركتك إجراء تصعيد للنتائج الحرجة. سيتصل بك المختبر ذو السمعة الجيدة فوراً بدلاً من الانتظار حتى التقرير. ثم تقرر ما إذا كنت ستوقف الاختبار مؤقتاً أثناء المعالجة، أو الاستمرار مع توثيق تلك النتيجة، أو تعديل النطاق.
هل يمكن لاختبار الاختراق أن يتسبب في توقف الخدمة؟ معظم تقنيات الاختبار غير مدمرة ولا تتسبب في توقف الخدمة. يتطلب اختبار رفض الخدمة موافقة صريحة وعادةً ما يُجرى خارج ساعات العمل. يجب على المختبر الخاص بك مناقشة مخاطر أي تقنية قد تكون مُضطربة قبل محاولتها.
كيف أتحقق من مؤهلات مختبر اختراق CREST؟ تحتفظ CREST بسجل عام للشركات المسجلة والأفراد المعتمدين على crest-approved.org. ابحث باسم الشركة أو المختبر للتحقق من الوضع. للتحقق من CHECK، تنشر NCSC قائمة بمزودي الخدمة المعتمدين في CHECK.
التعليقات