ما هو اختبار الأمان؟ مثال

من قبل: توماس هاميلتون توماس هاميلتون
Hours تحديث

ما هو اختبار الأمان؟

اختبار الأمان اختبار الأمان هو نوع من اختبارات البرمجيات التي تكشف عن نقاط الضعف والتهديدات والمخاطر في تطبيق برمجي وتمنع الهجمات الضارة من المتسللين. الغرض من اختبارات الأمان هو تحديد جميع الثغرات والنقاط الضعيفة المحتملة في نظام البرمجيات والتي قد تؤدي إلى فقدان المعلومات أو الإيرادات أو السمعة على أيدي الموظفين أو الغرباء عن المنظمة.

اختبار الأمان

ما أهمية اختبار الأمان؟

الهدف الرئيسي من اختبار الأمان هو تحديد التهديدات الموجودة في النظام وقياس نقاط الضعف المحتملة فيه، بحيث يمكن مواجهة التهديدات وعدم توقف النظام عن العمل أو عدم إمكانية استغلاله. كما أنه يساعد في اكتشاف جميع المخاطر الأمنية المحتملة في النظام ويساعد المطورين على إصلاح المشكلات من خلال البرمجة.

أنواع اختبارات الأمان في اختبار البرمجيات

هناك سبعة أنواع رئيسية من اختبارات الأمان وفقًا لدليل منهجية اختبار الأمان مفتوح المصدر. يتم شرحها على النحو التالي:

أنواع اختبارات الأمان في اختبار البرمجيات

  • مسح الثغرات الأمنية: يتم ذلك من خلال برنامج آلي لفحص النظام بحثًا عن توقيعات الثغرات الأمنية المعروفة.
  • فحص الأمان: يتضمن ذلك تحديد نقاط الضعف في الشبكة والنظام، ثم تقديم حلول للحد من هذه المخاطر. ويمكن إجراء هذا الفحص لكل من الفحص اليدوي والآلي.
  • اختبار الاختراق: هذا النوع من الاختبارات يحاكي هجومًا من متسلل خبيث. يتضمن هذا الاختبار تحليل نظام معين للتحقق من وجود نقاط ضعف محتملة لمحاولة اختراق خارجية.
  • تقييم المخاطر: يتضمن هذا الاختبار تحليل المخاطر الأمنية التي لوحظت في المنظمة. يتم تصنيف المخاطر على أنها منخفضة ومتوسطة وعالية. يوصي هذا الاختبار بضوابط وإجراءات لتقليل المخاطر.
  • تدقيق الأمان: هذا هو التفتيش الداخلي للتطبيقات و Operaأنظمة تينغ لخلل أمني. يمكن أيضًا إجراء التدقيق عبر فحص التعليمات البرمجية سطرًا تلو الآخر
  • القرصنة الأخلاقية: إنها اختراق أنظمة برمجيات المنظمة. على عكس المتسللين الخبيثين، الذين يسرقون لتحقيق مكاسبهم الخاصة، فإن الهدف هو كشف العيوب الأمنية في النظام.
  • تقييم الموقف: يجمع هذا بين المسح الأمني، القرصنة الأخلاقية وتقييمات المخاطر لإظهار الوضع الأمني ​​العام للمؤسسة.

كيفية إجراء اختبار الأمان

من المتفق عليه دائمًا أن التكلفة ستكون أكبر إذا قمنا بالتأجيل اختبار الأمن بعد مرحلة تنفيذ البرنامج أو بعد النشر. لذلك، من الضروري إشراك اختبار الأمان في دورة حياة SDLC في المراحل السابقة.

دعونا نلقي نظرة على العمليات الأمنية المقابلة التي سيتم اعتمادها لكل مرحلة في SDLC

اختبار الأمان

مراحل SDLC العمليات الأمنية
متطلبات الدراسة التحليل الأمني ​​للمتطلبات والتحقق من حالات إساءة الاستخدام/سوء الاستخدام
تصميم تحليل المخاطر الأمنية للتصميم. تطور ال خطة اختبار بما في ذلك الاختبارات الأمنية
الترميز واختبار الوحدة الاختبار والأمن الثابت والديناميكي أبيض Box الاختبار
اختبار التكامل اسود Box الاختبار
اختبار النظام اسود Box الاختبار ومسح نقاط الضعف
تطبيق اختبار الاختراق، فحص الثغرات الأمنية
الدعم الفني تحليل تأثير البقع

يجب أن تتضمن خطة الاختبار

  • حالات أو سيناريوهات الاختبار المتعلقة بالأمان
  • بيانات الاختبار المتعلقة باختبار الأمان
  • أدوات الاختبار المطلوبة لاختبار الأمان
  • تحليل مخرجات الاختبارات المختلفة من الأدوات الأمنية المختلفة

أمثلة على سيناريوهات الاختبار لاختبار الأمان

نماذج من سيناريوهات الاختبار لتعطيك لمحة عن حالات اختبار الأمان –

  • يجب أن تكون كلمة المرور بتنسيق مشفر
  • يجب ألا يسمح التطبيق أو النظام بالمستخدمين غير الصالحين
  • تحقق من ملفات تعريف الارتباط ووقت الجلسة للتطبيق
  • بالنسبة للمواقع المالية، يجب ألا يعمل زر الرجوع في المتصفح.

المنهجيات/المنهج/تقنيات اختبار الأمان

يتم اتباع منهجيات مختلفة في اختبار الأمان، وهي كما يلي:

  • نمر Box: تتم هذه القرصنة عادةً على جهاز كمبيوتر محمول يحتوي على مجموعة من أنظمة التشغيل وأدوات القرصنة. يساعد هذا الاختبار مختبري الاختراق ومختبري الأمان على إجراء تقييم لنقاط الضعف والهجمات.
  • اسود Box: المُختبر مخول بإجراء الاختبار على كل شيء يتعلق ببنية الشبكة والتكنولوجيا.
  • رمادي Box:يتم تقديم معلومات جزئية للمختبر حول النظام، وهو عبارة عن هجين من نماذج الصندوق الأبيض والأسود.

أدوار اختبار الأمان

  • المتسللون - الوصول إلى نظام الكمبيوتر أو الشبكة دون إذن
  • المفرقعات – اقتحام الأنظمة لسرقة البيانات أو تدميرها
  • الهاكر الأخلاقي – يقوم بمعظم أنشطة الاختراق ولكن بإذن من المالك
  • Script Kiddies أو Packet Monkeys - قراصنة عديمي الخبرة يتمتعون بمهارة لغة البرمجة

أدوات اختبار الأمان

1) Teramind

Teramind يقدم مجموعة شاملة للوقاية من التهديدات الداخلية ومراقبة الموظفين. فهو يعزز الأمان من خلال تحليلات السلوك ومنع فقدان البيانات، مما يضمن الامتثال وتحسين العمليات التجارية. تناسب منصتها القابلة للتخصيص مختلف الاحتياجات التنظيمية، وتوفر رؤى قابلة للتنفيذ تركز على تعزيز الإنتاجية وحماية سلامة البيانات.

Teramind

المميزات:

  • منع التهديدات الداخلية: يكتشف ويمنع إجراءات المستخدم التي قد تشير إلى تهديدات داخلية للبيانات.
  • تحسين العمليات التجارية: يستخدم تحليلات السلوك المعتمدة على البيانات لإعادة تعريف العمليات التشغيلية.
  • إنتاجية القوى العاملة: يراقب سلوكيات الإنتاجية والأمن والامتثال للقوى العاملة.
  • إدارة الامتثال: يساعد في إدارة الامتثال من خلال حل واحد قابل للتطوير ومناسب للشركات الصغيرة والمؤسسات والهيئات الحكومية.
  • الطب الشرعي للحوادث: يوفر أدلة لإثراء الاستجابة للحوادث والتحقيقات واستخبارات التهديدات.
  • منع فقدان البيانات: يراقب ويحمي من احتمال فقدان البيانات الحساسة.
  • مراقبة الموظفين: يوفر إمكانيات لمراقبة أداء الموظفين وأنشطتهم.
  • التحليلات السلوكية: يحلل بيانات سلوك تطبيق العميل الدقيقة للحصول على رؤى.
  • إعدادات المراقبة القابلة للتخصيص: يسمح بتخصيص إعدادات المراقبة لتناسب حالات استخدام محددة أو لتنفيذ قواعد محددة مسبقًا.
  • رؤى لوحة المعلومات: يوفر رؤية ورؤى قابلة للتنفيذ لأنشطة القوى العاملة من خلال لوحة معلومات شاملة.

قم بزيارتنا Teramind >>

2) Owasp

مشروع أمان تطبيق الويب المفتوح (OWASP) هي منظمة عالمية غير ربحية تركز على تحسين أمان البرامج. يحتوي المشروع على أدوات متعددة لاختبار بيئات البرامج والبروتوكولات المختلفة. تشمل الأدوات الرئيسية للمشروع

  1. وكيل هجوم زيد (ZAP – أداة متكاملة لاختبار الاختراق)
  2. التحقق من التبعية OWASP (يقوم بالبحث عن تبعيات المشروع والتحقق من نقاط الضعف المعروفة)
  3. مشروع بيئة اختبار الويب OWASP (مجموعة من الأدوات الأمنية والوثائق)

3) وايرشارك

Wireshark هي أداة تحليل شبكات كانت تُعرف سابقًا باسم Ethereal. وهي تلتقط الحزم في الوقت الفعلي وتعرضها بتنسيق يمكن قراءته من قبل البشر. وهي في الأساس عبارة عن محلل حزم شبكات - يوفر التفاصيل الدقيقة حول بروتوكولات الشبكة وفك التشفير ومعلومات الحزم وما إلى ذلك. وهي مفتوحة المصدر ويمكن استخدامها على Linux، Windows، OS X ، SolarisوNetBSD وFreeBSD والعديد من الأنظمة الأخرى. يمكن عرض المعلومات التي يتم استردادها عبر هذه الأداة من خلال واجهة المستخدم الرسومية أو وضع TTY Utility.

4) W3af

w3af هو إطار عمل للهجوم والتدقيق على تطبيقات الويب. لديها ثلاثة أنواع من الإضافات؛ الاكتشاف والتدقيق والهجوم التي تتواصل مع بعضها البعض بحثًا عن أي ثغرات أمنية في الموقع، على سبيل المثال يبحث البرنامج الإضافي للاكتشاف في w3af عن عناوين URL مختلفة لاختبار نقاط الضعف وإعادة توجيهها إلى البرنامج الإضافي للتدقيق الذي يستخدم بعد ذلك عناوين URL هذه للبحث عن الثغرات الأمنية.

أساطير وحقائق اختبار الأمان

دعونا نتحدث عن موضوع مثير للاهتمام حول خرافات وحقائق اختبار الأمان:

أسطورة # 1 لا نحتاج إلى سياسة أمنية لأن لدينا شركة صغيرة

الحقيقة: يحتاج الجميع وكل شركة إلى سياسة أمنية

أسطورة # 2 لا يوجد عائد على الاستثمار في اختبارات الأمان

حقيقة: يمكن أن يشير اختبار الأمان إلى مجالات التحسين التي يمكنها تحسين الكفاءة وتقليل وقت التوقف عن العمل، مما يتيح أقصى قدر من الإنتاجية.

أسطورة # 3: الطريقة الوحيدة لتأمين هو فصله.

الحقيقة: الطريقة الوحيدة والأفضل لتأمين المؤسسة هي العثور على "الأمن المثالي". يمكن تحقيق الأمان المثالي من خلال إجراء تقييم للوضعية ومقارنتها بالمبررات التجارية والقانونية والصناعية.

أسطورة # 4: الإنترنت ليست آمنة. سأشتري برامج أو أجهزة لحماية النظام وإنقاذ العمل.

حقيقة: إحدى أكبر المشكلات هي شراء البرامج والأجهزة لأغراض الأمان. وبدلاً من ذلك، يجب على المنظمة فهم الأمن أولاً ثم تطبيقه.

وفي الختام

يعد اختبار الأمان هو الاختبار الأكثر أهمية للتطبيق ويتحقق مما إذا كانت البيانات السرية ستظل سرية. في هذا النوع من الاختبارات، يلعب المُختبر دور المهاجم ويدور حول النظام للعثور على الأخطاء المتعلقة بالأمان. يعد اختبار الأمان مهمًا جدًا في هندسة البرمجيات لحماية البيانات بكل الوسائل.

قد ترغب: