ليست كل اختبارات الاختراق متشابهة. تختلف أنواع اختبار الاختراق على محورين: مقدار ما يعرفه المختبِر مسبقًا عن أنظمتك (black box أو white box أو grey box)، وأي جزء من بيئتك يقع ضمن النطاق (تطبيق ويب، أو API، أو محيط الشبكة، وهكذا). اختيار هذه الأمور بشكل صحيح هو ما يجعل الاختبار فعّالًا من حيث التكلفة ومفيدًا بحق بدلًا من كونه إجراءً شكليًا. يشرح هذا الدليل الخيارات لتحسن الاختيار.
الخلاصة
- تصف مصطلحات black box وwhite box وgrey box مقدار المعلومات التي يبدأ بها المختبِر؛ وgrey box هو الأكثر شيوعًا وفعالية من حيث التكلفة في معظم المهام
- تشمل أنواع الاختبار حسب النطاق الشبكة الخارجية والشبكة الداخلية وتطبيق الويب وAPI والاختبار اللاسلكي والهندسة الاجتماعية
- يعتمد المزيج المناسب على ما تحميه، ومتطلبات الامتثال لديك، وميزانيتك
- أيًا كان النوع، فإن الاختبار الجيد يتبع منهجية معترفًا بها مثل PTES أو OWASP ويقدم نتائج مرتبة حسب الأولوية وقابلة للاستغلال
أنواع اختبار الاختراق حسب مستوى المعرفة
يتعلق هذا بمقدار ما يُخبَر به المختبِر قبل البدء، وهو ما يحاكي أنواعًا مختلفة من المهاجمين.
اختبار الصندوق الأسود (Black Box)
يُمنح المختبِر معلومات مسبقة قليلة أو معدومة، فقط ما قد يملكه مهاجم خارجي حقيقي (مثل اسم النطاق). ويجري الاستطلاع الخاص به من الصفر.
- يحاكي: مهاجمًا خارجيًا دون معرفة داخلية.
- المزايا: رؤية واقعية للتعرّض الخارجي؛ يختبر ما قد يجده مهاجم انتهازي.
- العيوب: الوقت المنفَق على الاستطلاع قد يعني وقتًا أقل لاختبار المشكلات الأعمق، وقد تُفوَّت بعض الثغرات لمجرد نقص الوقت لا لقلة الخطر.
- الأفضل لـ: تقييم التعرّض الخارجي الواقعي.
اختبار الصندوق الأبيض (White Box)
يُمنح المختبِر معلومات كاملة: مخططات البنية، والكود المصدري، وبيانات الاعتماد، والإعدادات.
- يحاكي: شخصًا داخليًا ذا دراية، أو تدقيقًا شاملًا يفترض أسوأ حالات معرفة المهاجم.
- المزايا: التغطية الأكثر شمولًا؛ يُصرف الوقت في إيجاد المشكلات لا في اكتشاف البيئة؛ ويمكنه إيجاد عيوب منطقية عميقة وعلى مستوى الكود.
- العيوب: يتطلب مزيدًا من التحضير ومشاركة المعلومات؛ وأقل تمثيلًا لمهاجم خارجي أعمى.
- الأفضل لـ: تعظيم التغطية، وللأنظمة الحرجة حيث يتفوّق الشمول على الواقعية.
اختبار الصندوق الرمادي (Grey Box)
يُمنح المختبِر معلومات جزئية، مثل بيانات اعتماد مستخدم عادي ونظرة عامة رفيعة المستوى، لكن دون التفاصيل الداخلية الكاملة.
- يحاكي: مهاجمًا حصل بالفعل على موطئ قدم، أو مستخدمًا عاديًا خبيثًا أو مخترَقًا.
- المزايا: توازن عملي؛ استخدام فعّال للوقت مع اختبار مسارات هجوم واقعية مثل تصعيد الامتيازات من حساب عادي.
- العيوب: ليست رؤية عمياء بالكامل ولا مطّلعة بالكامل، رغم أن هذه المقايضة تُعد نقطة قوة لمعظم الأغراض.
- الأفضل لـ: معظم المهام. grey box هو الخيار الافتراضي الشائع لأنه يوازن بين الواقعية والتغطية والتكلفة.
الاختبار حسب النطاق
بمعزل عن مستوى المعرفة، تختار ما يقع ضمن النطاق. تشمل الأنواع الشائعة:
- اختبار الشبكة الخارجية: المحيط المواجه للإنترنت: الخوادم العامة، وجدران الحماية، والخدمات المكشوفة.
- اختبار الشبكة الداخلية: من داخل الشبكة، يحاكي مهاجمًا موجودًا بالفعل (عبر التصيّد، أو جهاز مارق، أو شخص داخلي خبيث)، ويختبر الحركة الجانبية.
- اختبار تطبيق الويب: اختبار معمّق لمنطق تطبيق ويب محدد ومصادقته ومدخلاته، عادةً بما يتوافق مع منهجية OWASP.
- اختبار API: اختبار مركّز لواجهات API، وهي سطح هجوم متنامٍ وغالبًا أقل حماية من واجهة الويب الأمامية.
- الاختبار اللاسلكي: شبكات Wi-Fi وفصلها عن الأنظمة الحساسة.
- الهندسة الاجتماعية: اختبار الطبقة البشرية عبر التصيّد وتقنيات الذرائع (مع قواعد اشتباك متفق عليها).
كيف تختار الاختبار المناسب
- تحمي تطبيقًا محددًا؟ عادةً ما يقدم اختبار grey box لتطبيق الويب (وAPI) أفضل قيمة.
- قلق بشأن التعرّض الخارجي؟ ابدأ باختبار للشبكة الخارجية، black أو grey box.
- مهتم بالمخاطر الداخلية أو الاحتواء؟ اختر اختبار الشبكة الداخلية لتقييم الحركة الجانبية.
- مدفوع بالامتثال؟ تحقق مما يتطلبه إطارك أو عقد عميلك؛ فبعضها يحدد النطاق أو الاستقلالية.
- ميزانية محدودة؟ يركّز grey box الجهد حيث يهم، متجنبًا الوقت الضائع في الاستطلاع الخالص.
أيًا كان اختيارك، أصرّ على منهجية معترف بها. يتبع الاختبار الاحترافي معايير مثل Penetration Testing Execution Standard (PTES) وOWASP ، ويتجاوز الفحص الآلي لربط الثغرات ومحاولة مسارات هجوم حقيقية، ويقدّم استغلالات إثبات المفهوم مع خارطة طريق معالجة مرتبة حسب الأولوية.
أبرز النقاط
- الأنواع الرئيسية لاختبار الاختراق حسب مستوى المعرفة هي black وwhite وgrey box؛ وgrey box هو الخيار الافتراضي العملي لمعظم الاحتياجات.
- النطاق (خارجي، داخلي، تطبيق ويب، API، لاسلكي، هندسة اجتماعية) اختيار منفصل عن مستوى المعرفة.
- طابِق الاختبار مع ما تحميه، ومتطلبات الامتثال لديك، وميزانيتك.
- الاختبار الجيد يتبع PTES/OWASP ويقدم نتائج مرتبة حسب الأولوية وقابلة للاستغلال، لا مجرد تقرير من أداة فحص.
احصل على الاختبار المناسب لاحتياجاتك
اختيار النطاق ومستوى المعرفة أسهل بمشورة الخبراء. تتبع خدمة اختبار الاختراق منهجيتي PTES وOWASP عبر تطبيقات الويب وواجهات API ومحيط الشبكة، مع استغلالات إثبات المفهوم وخارطة طريق معالجة مرتبة حسب الأولوية. إذا كنت تطلب اختبارك الأول، فإن دليل ما الذي تتوقعه من اختبار الاختراق في المملكة المتحدة يمر بك عبر العملية والجدول الزمني والتكاليف.
الأسئلة الشائعة (FAQ)
ما الفرق بين اختبار الاختراق بالصندوق الأسود والأبيض والرمادي؟ إنه مقدار ما يعرفه المختبِر مسبقًا. black box يعني معلومات مسبقة قليلة أو معدومة (مثل مهاجم خارجي)، وwhite box يعني وصولًا كاملًا إلى الكود والإعدادات (أقصى قدر من الشمول)، وgrey box يعني معلومات جزئية مثل تسجيل دخول مستخدم (حل وسط عملي).
أي نوع من اختبار الاختراق أحتاج؟ لمعظم التطبيقات، يقدم اختبار grey box لتطبيق الويب وAPI أفضل توازن بين الواقعية والتغطية والتكلفة. للتعرّض الخارجي، اختبار للشبكة الخارجية؛ وللمخاطر الداخلية، اختبار داخلي. تعتمد الإجابة الصحيحة على ما تحميه ومتطلبات الامتثال لديك.
هل اختبار grey box أفضل من black box؟ ليس على نحو مطلق، لكنه الخيار الافتراضي الأكثر شيوعًا لأنه يستخدم وقت الاختبار بكفاءة مع ممارسة مسارات هجوم واقعية مثل تصعيد الامتيازات. black box أكثر واقعية للتعرّض الخارجي الخالص؛ وwhite box أكثر شمولًا إجمالًا.
ما الفرق بين اختبار الاختراق الخارجي والداخلي؟ يستهدف الاختبار الخارجي محيطك المواجه للإنترنت كما يفعل مهاجم من الخارج. أما الاختبار الداخلي فيحاكي مهاجمًا موجودًا بالفعل داخل الشبكة، مع التركيز على الحركة الجانبية ومدى انتشار موطئ القدم.
هل يتبع اختبار الاختراق منهجية معيارية؟ ينبغي ذلك. يتبع الاختبار الاحترافي معايير معترفًا بها مثل Penetration Testing Execution Standard (PTES) وOWASP، مما يضمن تغطية متسقة وقابلة للتكرار بدلًا من الفحص العشوائي، وينتج نتائج مرتبة حسب الأولوية وقابلة للاستغلال.
التعليقات