الأمان هو قلب وروح جميع الأعمال الرقمية. باستخدام التكنولوجيا الحديثة المتطورة ، من الممكن دائمًا للمتسلل استغلال أي نوع من الثغرات الأمنية في نظامك لإحداث أضرار لا حصر لها. هذا يمثل مشكلة كبيرة بالنسبة للشركات القائمة على blockchain والتي عادة ما تتعامل مع مبالغ ضخمة من المال. لحماية مصالح المستثمرين ، تقع على عاتقهم مسؤولية التأكد من أنهم يتخذون جميع الخطوات الممكنة لاختبار الكود الخاص بهم والتحقيق فيه بدقة. هذا هو المكان الذي يأتي فيه اختبار الاختراق.

أثبت اختبار الاختراق أنه أفضل طريقة لاكتشاف أي انتهاكات أمنية محتملة. في هذا الدليل ، سننظر في معنى اختبار الاختراق وكيف يمكن أن يساعد شركتك.

ما هو اختبار الاختراق?

اختبار الاختراق هو في الأساس محاكاة للهجوم السيبراني ضد النظام لفحصه بحثًا عن نقاط الضعف. عندما يتعلق الأمر بأمان تطبيقات الويب ، يتم استخدام اختبار الاختراق بشكل شائع لتقوية جدران الحماية. يمكن استخدام الرؤى من اختبارات الاختراق هذه لضبط المنتج وسد الثغرات الأمنية.

الآن ، لماذا هو مطلوب؟ حسنا شكرا ل هذه المقالة, صادفنا بعض الإحصائيات المثيرة للاهتمام.

  • لا تعتقد أكثر من 69٪ من المؤسسات التي تتخذ من الولايات المتحدة مقراً لها أن الحماية من الفيروسات أو جدران الحماية الخاصة بها يمكن أن تحميها بشكل فعال من الهجمات
  • وبلغ متوسط ​​تكلفة هذه الخروقات للشركة الأمريكية ما يقرب من 7.5 مليون دولار ، ونحو 5 ملايين دولار في الشرق الأوسط.
  • في عام 2017 ، تم تسجيل هجوم إلكتروني كل 40 ثانية نتج عنه خسائر إجمالية قدرها 5 مليارات دولار ، بزيادة مذهلة عن 325 مليون دولار في عام 2015
  • من المتوقع أنه بحلول عام 2019 ، سيحدث هجوم إلكتروني كل 14 ثانية في عام 2019 بإجمالي خسائر تصل إلى 21.5 مليار دولار..
  • عانت الصناعات الطبية والمالية أكثر من عانت من خسائر بلغت 380 دولارًا و 245 دولارًا للفرد على التوالي.

فيما يلي نوع الهجمات الإلكترونية التي تعرضت لها الشركات اعتبارًا من أغسطس 2017:

كل ما تحتاج لمعرفته حول اختبار الاختراق

المراحل الخمس لاختبارات الاختراق

المراحل الخمس لاختبارات الاختراق بحسب إنكابسولا, يشبه هذا:

كل ما تحتاج لمعرفته حول اختبار الاختراق

حسنًا ، فلننظر الآن في كل خطوة من هذه الخطوات.

المرحلة الأولى: التخطيط والاستطلاع

الاستطلاع هو عملية جمع بيانات أولية أو معلومات استخبارية عن هدفك.

من المنطقي أن تكون هذه هي المرحلة الأولى من الاختبار لأنها تساعد المرء على معرفة المزيد عن هدفه وبالتالي تحديد أفضل مسار للعمل. هناك نوعان من الاستطلاع:

  • استطلاع نشط: في هذه الحالة ، يتفاعل المختبِر مباشرةً مع هدفه ويطرح عليهم أسئلة للمساعدة في بناء أسلوب الهجوم
  • استطلاع سلبي: يتفاعلون مع وسيط للحصول على معلومات الاستطلاع الخاصة بهم.

في هذه المرحلة ، يحدد المُختبِر نطاق وأهداف اختباره ، حيث يذكر الأنظمة التي سيتعامل معها وطرق الاختبار التي سيستخدمها.

المرحلة الثانية: المسح

تتكون مرحلة المسح من استخدام الأدوات التقنية لجمع المعلومات الاستخبارية عن الهدف. فكر في استخدام ماسح الثغرات الأمنية على الشبكة المستهدفة. ستساعد هذه المرحلة المختبر على فهم كيفية استجابة الهدف لمحاولات الهجوم المختلفة. هناك نوعان من الاختبارات يتم إجراؤها في هذه المرحلة:

  • التحليل الساكن: يتضمن ذلك فحص كود التطبيق للتنبؤ بكيفية تصرفه أثناء وقت التشغيل. يمكن إجراء هذا التحليل في مسار واحد.
  • التحليل الديناميكي: في هذا التحليل ، تقوم بفحص كود التطبيق أثناء تشغيله. يعتبر هذا التحليل أكثر عملية ، حيث يوفر نظرة ثاقبة في الوقت الفعلي حول كيفية أداء التطبيق.

المرحلة رقم 3: الوصول

في هذه المرحلة ، يمكنك الوصول عن طريق التحكم في جهاز واحد أو أكثر من أجهزة الشبكة لأي من:

  • استخراج البيانات من الهدف
  • استخدم الجهاز لشن هجمات على أهداف أخرى

تستخدم هذه المرحلة طرقًا مختلفة للكشف عن نقاط الضعف لدى الهدف مثل البرمجة النصية عبر المواقع والأبواب الخلفية. يمكن للمختبرين استغلال نقاط الضعف من خلال تصعيد الامتيازات وسرقة البيانات واعتراض حركة المرور وما إلى ذلك.

المرحلة الرابعة: الحفاظ على الوصول

هذا هو الجزء الخفي من الاختبار. في هذا ، يحاول المختبر الحفاظ على الوصول إلى الشبكة من خلال اتخاذ الخطوات اللازمة ليكون قادرًا على القيام بذلك.

إذن ما هو الغرض من هذه المرحلة?

حسنًا ، يتحقق المختبر بشكل أساسي مما إذا كان يمكن استغلال الثغرة الأمنية التي تم رصدها للبقاء داخل نظام Dapp / النظام البيئي للمشروع لفترة طويلة. بعبارة أخرى ، إذا استغل المخترق الثغرة الأمنية ، فإذن إلى متى يمكنهم البقاء في النظام دون اكتشافهم.

المرحلة الخامسة: التحليل

حسنًا ، نحن الآن في المرحلة النهائية.

في هذه المرحلة ، كل ما يحتاجه المختبِر هو تغطية مساراته لإزالة كل فرص الاكتشاف. بشكل أساسي ، يجب أن تعود أي تغييرات قام بها المختبر إلى حالتها الأصلية أو حالة عدم التعرف من قبل مسؤولي الشبكة المضيفة.

يتم بعد ذلك تجميع جميع نتائج الاختبارات في تقرير يوضح بالتفصيل ما يلي:

  • نقاط الضعف التي تم استغلالها
  • جميع البيانات الحساسة التي تم الوصول إليها
  • مقدار الوقت الذي تمكن فيه المختبر من البقاء في النظام دون اكتشافه.

ثم يتم دراسة التقرير للتحقق من جميع نقاط الضعف.

طرق اختبار الاختراق

حسنًا ، نحن الآن على علم بالمراحل المختلفة لاختبار الاختراق ، دعنا نلقي نظرة على طرق الاختبار المختلفة.

  • اختبار خارجي: استهداف أصول الشركة الظاهرة على الإنترنت. مثال على ذلك هو موقع الشركة ، وتطبيق الويب نفسه ، والبريد الإلكتروني ، وخوادم اسم المجال.
  • الاختبار الداخلي: يحصل المختبِر على حق الوصول إلى التطبيق الموجود خلف جدار الحماية الخاص به ويحاكي هجومًا يقوم به مهاجم ضار. قد يكون هذا المهاجم موظفًا ضارًا أو قد يكون أيضًا هجوم تصيد احتيالي
  • اختبار المكفوفين: في هذا الاختبار ، يُعطى المُختبِر فقط اسم المؤسسة المستهدفة. سيساعد القيام بذلك أفراد الأمن على إلقاء نظرة في الوقت الفعلي على كيفية حدوث هجوم فعلي.
  • اختبار التعمية المزدوجة: في هذه الحالة ، لن يكون لدى التطبيق أي معرفة مسبقة بموعد هجوم المختبِر. هذا يحاكي ظروف العالم الواقعي حيث لا يخبر المهاجم الشركة بهجومه مسبقًا
  • الاختبار المستهدف: في هذا السيناريو ، يعمل كل من المختبِر والشركة معًا لإبقاء كل منهما على اطلاع على تحركاتهم. كيف هذا مفيد؟ حسنًا ، إنه يزود الشركة بتعليقات في الوقت الفعلي من وجهة نظر المخترق المحتمل.

أنواع مختلفة من اختبار الاختراق

يحتاج مختبرو الاختراق إلى إجراء عدة اختبارات وفحوصات. لنبدأ بعض الاختبارات الشائعة التي يقوم بها مختبرو القلم عندما يتعلق الأمر بالشركات القائمة على blockchain.

# 1 اختبار خوارزمية الإجماع

واحدة من أهم الأشياء التي يجب اختبارها هي خوارزمية الإجماع لأنها ربما تكون الجزء الأكثر أهمية في blockchain. يجب التحقق من خوارزمية الإجماع لمعرفة ما إذا كانت عرضة لهجوم 51٪ أم لا.

في شبكة مثل Bitcoin التي تستخدم Proof of Work ، يكون إطلاق هجوم بنسبة 51٪ مكلفًا للغاية. ومع ذلك ، ليس هذا هو الحال مع العديد من العملات المعدنية الجديدة. دعونا نلقي نظرة على التكلفة النظرية لهجوم 51٪ على العديد من الشبكات التي تنفذ إثبات العمل.

كل ما تحتاج لمعرفته حول اختبار الاختراق

حقوق الصورة: ICO Crowd

تذكر شيئًا واحدًا ، تكلفة الهجوم هنا لا تشمل مكافآت الكتلة التي سيحصل عليها عامل التعدين للتعدين. في بعض الحالات ، يمكن أن يكون هذا مهمًا جدًا ، ويقلل من تكلفة الهجوم بنسبة تصل إلى 80٪.

# 2 مفاتيح ومحافظ

أحد أهم مكونات هذه المشاريع هو أمان محافظ المستخدم عبر استخدام المفاتيح وكلمات المرور الخاصة. هناك نوعان من الاختبارات التي يحتاج المختبِر إلى تنفيذها لجعل المحافظ أكثر أمانًا:

  • التحقق من قوة كلمة المرور: قوة كلمة المرور أمر بالغ الأهمية حيث يطلبها المهاجم بالإضافة إلى المفتاح الخاص للوصول إلى محفظة المستخدم. يمكن القيام بقوة غاشمة مباشرة وهجوم القاموس لمحاولة كسر كلمة المرور. إذا تم اختراق كلمة المرور بسهولة فهذا يعني أنها ضعيفة.
  • تخزين المفاتيح: يعد تخزين المفاتيح الخاص في غاية الأهمية وهو أحد صميم وروح التشفير في العصر الحديث. من الواضح أن هناك طرقًا متعددة للتخزين. يفضل الناس المحافظ الساخنة والمتعددة التوقيع ، ومع ذلك ، يفضل استخدام المحافظ الباردة مثل محافظ الأجهزة. بعد قولي هذا ، فهم لا يخلون من المتسللين أنفسهم. تتأكد اختبارات الاختراق من أن تخزين المفتاح يتم بطريقة آمنة قدر الإمكان.

# 3 اختبار المزامنة

نظرًا لأن شبكة blockchain تتكون من عُقد من نظير إلى نظير ، فمن المهم للغاية أن تكون قادرة على المزامنة فيما بينها. هذا هو السبب في أنه من المهم للغاية اختبار المزامنة بين العقد للتأكد من أن العملية سريعة وفعالة.

# 4 اختبار التكرار

يكشف هذا الاختبار عن أي وجميع مشكلات التكرار حول مشاركة البيانات عبر العقد. تكشف مثل هذه الاختبارات عن تأثير فشل العقد المتعددة في نفس الوقت.

# 5 هجوم سرقة الوقت

عندما تنضم عقدة إلى شبكة ، فإنها تحتاج إلى تتبع الوقت ويجب أن تكون متزامنة مع العقد النظيرة الأخرى. الطريقة التي يتم بها ذلك هي الحفاظ على نظام ساعة داخلي يكون هو نفسه متوسط ​​وقت الساعة المحسوب لجميع أقرانه. إذا اختلف متوسط ​​الوقت هذا بمقدار كبير عن وقت النظام ، فإن الساعة الداخلية تعيد ضبط وتعود إلى وقت النظام.

لذلك ، إذا دخلت عقدة ضارة إلى الشبكة بطابع زمني غير دقيق ، فسيكون لديها القدرة على تغيير عداد وقت الشبكة. هذا يمكن أن يؤدي إلى قضايا مثل الإنفاق المزدوج وإهدار موارد التعدين.

# 6 اختبار Blockchain API

تعد API مهمة للغاية لأنها تساعد المستخدمين على التفاعل مع blockchain. يتم إجراء اختبارات القلم للتأكد من خلو نقاط نهاية واجهة برمجة التطبيقات من جميع نقاط الضعف.

# 7 هجوم DDoS

يُعد هجوم DDos أو هجوم الحرمان الموزع من أكثر الهجمات فتكًا على الإطلاق. يتضمن إرسال عدد كبير من الطلبات المماثلة لإغلاق الشبكة ومنع الشبكة من إجراء أي شكل من العمليات. يجب إجراء الاختبارات للتأكد من خلو التطبيقات من هجمات DDos المحتملة.

دراسة حالة اختبار الاختراق

تم تقديم دراسة حالة مثيرة للاهتمام بواسطة مدونة isecurion.توضح دراسة الحالة هذه فوائد اختبار الاختراق. لذا ، دعونا نلقي نظرة.

كان الموضوع المعني هو تبادل العملات المشفرة في الهند. كانت التحديات أمام المختبرين كما يلي:

  • كان الهدف التجاري الرئيسي للعميل هو تزويد عملائه بمنصة تداول آمنة ومأمونة.
  • أراد العميل التأكد من أن موقع الويب وتطبيق الهاتف المحمول آمنان ويحتويان على ضوابط أمنية مناسبة.
  • قدم العميل عملات مشفرة مثل Bitcoin و Ethereum و Litecoin & ريبل للتداول على منصتهم.
  • كان يتوقع العميل تجاوز الدليل الأساسي لمفهوم الثغرات الأمنية التي تم تحديدها ويريدون معرفة ما إذا كان بإمكان أي شخص الوصول إلى محافظ تحتوي على عملة مشفرة من أجل السرقة منها.

نهج ISECURION

  • مزيج من الصندوق الأسود & تم استخدام منهجية اختبار الصندوق الرمادي لتقليد جميع سيناريوهات الهجوم المحتملة.
  • حددت جميع نقاط الدخول إلى الويب & منصة متنقلة.
  • نفذت سيناريوهات مختلفة للهجمات على البورصة.

نتائج

  • في المرحلة الأولى من الاختبار ، اكتشفوا أنه أثناء عملية “اعرف عميلك” التي يمكن للمستخدم من خلالها تحميل المستندات ، مثل أن تفاصيل الضمان الاجتماعي للمستخدم كانت عرضة لتحميل الملفات الضارة وتمكنا من تنفيذ كود shell على الخادم.
  • أثناء اختبار حقن SQL ، وجدوا أن رأس USER-AGENT كان عرضة للحقن الأعمى لـ sql مما أعطى وصولاً كاملاً إلى قاعدة البيانات.
  • أثناء اختبار تطبيق Android Mobile ، تمكنوا من تجاوز آلية تسجيل الدخول والوصول إلى محافظ المستخدمين الآخرين وتمكنوا من تحويل العملة المشفرة إلى محفظتنا.
  • تم تخزين تفاصيل المستخدم الكاملة مثل Bank A / C no ورمز IFSC والتفاصيل الكاملة للمستخدمين في الهاتف المحمول بنص واضح.
  • كان تطبيق الهاتف المحمول عرضة لتجاوز المصادقة الثنائية.
  • تم تخزين العملة المشفرة للمستخدمين في محفظة ساخنة على الخادم ، وهذا يعني أن مفاتيحهم الخاصة مخزنة على الخادم بحيث يمكن لأي شخص يحصل على المفاتيح الخاصة أن يسرق عملاته المعدنية.

فوائد

  • قلل ISECURION من مخاطر الأمان من خلال تقييم نقاط الضعف في تطبيق العميل والحلول الموصى بها بأساليب مجربة لتعزيز الأمان.
  • ساعد عمق التغطية التي قام بها الفريق والتسليمات المقدمة العميل ليس فقط في تحديد نقاط الضعف الفنية والعملية ذات الصلة ولكن أيضًا ساعدهم في معرفة كيفية إصلاحها.
  • امتثلت لجميع اللوائح ، واكتسبت القدرة على التركيز فقط على الأحداث عالية الخطورة واتخاذ إجراءات فورية.

تقييم الضعف مقابل اختبار الاختراق

قبل أن نذهب إلى أبعد من ذلك ، من المهم معرفة الاختلافات بين تقييم الضعف واختبار الاختراق. دعونا نجري دراسة مقارنة.

كل ما تحتاج لمعرفته حول اختبار الاختراق

تكلفة اختبار الاختراق

بالنسبة الى هاكين, يمكن أن يتراوح متوسط ​​تكلفة اختبار الاختراق من 4000 دولار إلى 100000 دولار. سبب السعر هو:

  • أنت تقوم بتعيين متخصص أو فريق من المتخصصين لإجراء اختبارات على مشروعك
  • تتلقى أيضًا توصية بخصوص نقاط الضعف المكتشفة.
  • يجب أيضًا إجراء اختبارات الاختراق بانتظام لضمان إجراء جميع عمليات التشغيل المحتملة وعدم ظهور أي ثغرات أمنية. هذه الاختبارات المتكررة تعزز السعر

بدلاً من المتخصصين ، يمكنك أيضًا إجراء اختبارات الاختراق عبر البرامج التي يمكن أن تكلف من 1000 دولار إلى 2000 دولار. في حين أن هذا يعد بالتأكيد خيارًا أرخص ، إلا أن عمليات الفحص ليست شاملة بالإضافة إلى أن أحد المتخصصين فقط يمكنه تقديم النصح لك حول كيفية سد الثغرات في النظام.

حتى إذا قمت بتعيين متخصصين ، فهناك بعض العوامل التي يمكن أن تحدد أسعار اختباراتك:

  • درجة التعقيد في نظامك. كلما زاد تعقيد نظامك ، زادت تكلفة اختبار الاختراق.
  • حجم شبكتك. سيتطلب الأمر المزيد من العمل على المختبرين إذا كان حجم الشبكة كبيرًا
  • إذا كانت هناك حاجة إلى أي أدوات إضافية للاختبار ، فيمكن أن يؤدي ذلك إلى ارتفاع سعر الاختبار. في الواقع ، دعنا نتوسع في هذه الأدوات حتى تتمكن من فهم التسعير بشكل أفضل.

فيما يلي أنواع الأدوات التي يمكنك استخدامها:

  • أدوات ثابتة لاستغلال نقاط الضعف المعروفة في التعليمات البرمجية
  • أدوات ديناميكية لمحاكاة اختبارات الأعطال على النظام لاكتشاف نقاط الضعف أثناء وقت التشغيل.
  • أدوات تحليل تفاعلية لتشغيل وكيل على خادم أو مكتبة تعليمات برمجية مضمنة لتسهيل اكتشاف الثغرات الأمنية.

يمكن لهذه الأدوات إنشاء كمية هائلة من البيانات للمختبِر لمعالجتها ولذا يجب تخصيصها لتلبية احتياجات الشركة.

مزايا اختبار الاختراق

اختبار الاختراق

كما ترى ، هناك الكثير من المزايا لاختبار الاختراق. لنستعرض بعضًا منها:

  • يساعدنا في تحديد نوع موجهات الهجوم التي يمكن أن تؤثر على التطبيق
  • يساعدنا في اكتشاف نقاط الضعف
  • يحدد نقاط الضعف الكبيرة التي يمكن اكتشافها بسبب مزيج من عدة نقاط ضعف منخفضة الخطورة
  • يحدد التأثير الحقيقي للهجمات الناجحة على الأعمال والعمليات العامة.
  • كما يكشف عن مدى جودة أمان النظام حقًا
  • على العكس من ذلك ، إذا تم اختراق النظام بسهولة ، فإنه يوضح للشركة أنها بحاجة إلى الاستثمار في قياسات أمنية أفضل
  • نظرًا للتقرير الذي تم الحصول عليه من اختبار ما بعد الاختراق ، يمكن للشركة إجراء جميع التعديلات اللازمة لتحسين عملياتها وأعمالها.

BountyOne: خبراء اختبار الاختراق

يجب دائمًا إجراء اختبار القلم بواسطة أخصائي معتمد لديه سجل حافل. كما يمكنك أن تتخيل ، يصعب العثور عليها ، وهي مطلوبة دائمًا وباهظة الثمن.

ومع ذلك ، ماذا لو كان لدينا منصة ، جمعت كل هؤلاء المختبرين معًا ، وحفزتهم اقتصاديًا للقيام بأفضل عمل يمكنهم القيام به؟ هذا هو بالضبط ما يدور حوله BountyOne.

افكر في باونتي ون بصفتهم “أوبر” لمختبري الاختراق. يمكن لأي مختبِر اختيار العمل على أي عقد نشط حاليًا على المنصة. يتم فحص كل واحد من هؤلاء المختبرين على نطاق واسع من قبلنا. يخضعون لعملية تطبيق مفصلة تتأكد من أن أفضل المختبرين فقط هم من يحصلون على منصتنا.

يمكنك التحقق من هذا مخطط معلومات بياني لمعرفة كيفية عمل العملية برمتها. لتلخيص كل ذلك:

  • يمكن للمختبرين أن يقرروا العمل على المشروع الذي يريدون.
  • تم فحص جميع الأعمال التي قام بها المختبرين ثلاث مرات من قبل أعضاء آخرين في النظام البيئي
  • إذا لم يقم المختبرين بعمل جيد ، فسيتم تخفيض حصصهم ويفقدون كل أموالهم

لذا ، لماذا تختار باونتي ون على منصات أخرى للتدقيق / اختبار القلم؟ حسنًا ، دعنا نلقي نظرة:

  • إنه أرخص لأنه ليس لدينا مختبِر بدوام كامل يجب علينا دفع مئات الآلاف من الدولارات للاحتفاظ به. لديهم وظائف أخرى لتطوير الصلابة ويقومون بذلك على الجانب مثل سائق Uber.
  • ندفع لهم على أساس الأداء وليس لمجرد قولهم أنهم قرأوا الكود. هذا هو سبب تحفيز المختبرين اقتصاديًا للقيام بأفضل عمل ممكن.
  • يخاطر المختبرين بخسارة جميع أموالهم المربوطة إذا لم يؤدوا عملًا جيدًا ولم يرسلوا أعمالهم في الوقت المناسب. هذا يضمن عدم وجود تأخيرات غير ضرورية.
  • أيضًا ، يمكن للمجتمع (بما في ذلك المختبرين الآخرين) جني مبلغ كبير من المال من خلال دحض الأعمال التي قام بها الآخرون.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me