عند تحويل كلمة التسرب (الاختراق) الموجودة في مصطلح اختبار الاختراق فان كلمة " penetrasyon" يأتي بمعنى "الاختراق" أو "الدخول في السر". ان هدف الاختبار تثبيت ومكافحة النتائج التي ستظهر في حالات القيام بالمعاملة من خلال اختراق تدابير الحماية الخاصة بأي شخص بدون موافقته في البنى التحتية المادية والرقمية.
ان اختبارات الاختراق التي تأتي على رأس اعمال الحماية الالكترونية الهجومية ويعمل على الاختراق كمهاجم حقيق في جميه البنى التحتية الموجودة في النظام بأكمله. ان نقاط الضعف الذي تم تثبيتها عكس تحليلات نقاط الضعف يعمل على تحقيق جميع اخلالات الحماية الذي من الممكن القيام به دداخل النظام عن طريق استغلالها مثل المخترقين (الهكر). انه ومن خلال اختبارات الاختراق التي وصلت الى حالة اجبارية للمؤسسات الموجودة تحت الادارة من قبل السلطات المتعددة فانه يتم التهديف لاتخاذ تدابير الحماية من خلال الاختراق الى الانظمة قبل المهاجمين.
انه وفي اختبارا الاختراق التي تزيد فيها عدد المختصين حسب حجم المشروع فان اعضاء الفريق الذين تم اختيارهم للتخصص يمتلكون الاختصاص في اكثر من موضوع واحد والذين يمتلكون شهادة تمتلك صلاحية عالمية مثل CEH, OSCP, OSWP. يتم القيام باستخدام التقنيات المستحدثة جدا في اختبارات الاختراق المتحققة من قبل اخصائيي UITSEC. يمكنكم ان تقوموا بتثبيت كيفية النتائج التي ستتولد من المؤسسة والبينية التحتية تحت الهجوم الالكتروني المستحدث المحتمل والذي سيتم تطبيقه في انظمة التقنيات الشائعة المستحدثة جدا والذي تم تثبيتها عن طريق مركز الحماية وشبكة الاستخبارات المتطورة.
يتم تحقيق اعمال قفزات الحماية المستحدثة جدا أيضاً اثناء اختبارات الاختراق الذي من الممكن ان يتم قياسها وقابلية تثبيت ومكافحة انظمة الحماية. ان نوع الاختبار وتقارباتها اثناء اختبارات الاختراق كالشكل المبين في ادناه:
يتم تقديم اختبارات البنية التحتية الذي يتم تنفيذها ضمن اطار اختبارات الاختراق بالاشتراك مع تسجيلها على شرط عدم بقائها محددة بما هو مذكور في ادناه.
● اختبارات البنية التحتية للاتصال والاجهزة الفعالة
● اختبارات صيانة DNS
● اختبارات المستخدم ومساحات التأثير ذو الحاسوب الآلي
● اختبارات خدمة البريد الالكتروني
● اختبارات انظمة قاعدة البيانات
● اختبارات تطبيقات الموقع الالكتروني
● اختبارات تطبيقات المحمول
● اختبارات انظمة الشبكة اللاسلكية (الوايفاي)
● اختبارات Voice over IP (VoIP)
● اختبارات انظمة الخوادم
● اختبارات انظمة الفحص الصناعي (SCADA)
● انظمة الهندسة الاجتماعية
● اختبارات انظمة المحاكاة الافتراضية
● اختبارات ايقاف التشغيل الموزع (DDoS)
●اختبارات انظمة IoT
● تحليل رمز المصدر
● اختبار البنية التحتية الذي تم تخصيصه مثل SAP
طريقة / منهجية العمل
يتم تنفيذ الاعمال عن طريق الاشتغالات التي تحتل مكانا فيأدناه ضمن شمولية خدمات اختبار الاختراق.
سيتم تطبيق وتكييف المنهجية التي تمت الموافقة على نفاذيتها او صلاحيتها بشكل عالمي في اختبارات الاختراق.
● OWASP
● NIST SP-800
● OSSTMM
يتم جمع المعلومات الذ يخص نمط العمل والموظف والبنية التحتية التي تمتلكه المؤسسة في مرحلة جمع المعلومات. ان الهدف الاساسي لهذه الخطوة هو تثبيت اهداف اهداف الهجوم الذي من الممكن ان يتم تحقيقه في جميع المباني. يقوم مختصي UITSEC بتقييم المخاطر المحتملة من خلال التواجد في رؤية اولية قبل تقييم العوامل. سيتم التدقيق في تبعيات الهجوم لتحقيق النجاح (مثال من الممكن ان يتأثر معدل النجاح, نظام IPS يتواجد في مكان واحد), مثلما يتم تحديد الهجمات التي يمكن القيام بها على البنية التحتية وسيتم في هذه الصفحة تحقيق خطوات تطوير سيناريوهات الهجوم وتطوير جميع البصائر.
يتم استخدام طريقة تحليل نقاط الضعف من اجل امكانية تعريف وتقييم مخاطر الحماية الذي سيتشكل عن طريق نقاط الضعف الموجودة. سيتم القيام بانجاز الاعمال من اجل استثمار النظام والحماية بالاشتراك مع تثبيت نقاط الضعف. ان هذا القسم لاشعارات نقاط الضعف لا يقوم بتعريف الطريقة فقط ولم يتن نشر الاستغلال.
يتم تحقيق الهجوم من خلال قيام مختصينا باجراء التطورات الضرورية. في حالة تطوير رمز الاستغلال سيتم توثيقها بجميع التفاصيل والخطوات وتحقيق جميع التقنيات الذي تم الذي تم شرجها عن طريق اليد. اما في المرحلة بعد الاستغلال يتم القيام بالتقاط الجهود من اجل امكانية استخدام قيمة النظام الذي تم استغلاله في الفترات التالية.
يتم عمل التقرير حسب مستوى كل طريق من طرق الاختراق الذي تم تثبيته بعد اعمال اختبار الاختراق الذي تم تنفيذه. يتم قياس جميع نقاط الضعف عن طريق معلومات النتيجة لنظام Common Vulnerability Scoring System (CVSS V3)
ان التقارب الاساس الذي يتم تمييزه من اختبارات نقاط الضعف لاختبارات الاختراق يقوم بتشكيل القسم الاهم من اعمال طرق هجوم المخترق (الهكر). يتم عمل تقرير لكل طريقة للهجوم بالاشتراك مع عروض الشاشة. ان الحلول والاقتراحات المستحدثة جدا والذي يمكن تطبيقها بأفضل شكل من اجل ازالة الاعراض الذي تم تثبيتها هو تقديمها بالاشتراك مع الاعراض.
يجب التأكد من انه قد تم تأمين حماية المؤسسة من خلال اجراء اختبارات التأكيد الذي يخص غلق او عدم غلق الاعراض الذي تم تثبيتها في المدة الزمنية الذي يجعلها متطابقة مع المؤسسة باتجاه التقرير الذي تم تقديمه.
ان تجربة واختصاص الحماية الالكترونية في المواصفات القياسية العالمية لـــ UITSEC يقوم بتوفير امكانية تثبيت بناكم التحتية بشكل واضح ورؤية فيما اذا كان يقوم بتلبية او عدم تلبية الاحتياجات من ناحية حماية المؤسسة.