كلنا فخورين بنجاج قمة ال٢٠ وف هذه التغريدة بركز فقط ع التجهيزات المتعلقة ب #الامن_السيبراني ، فحسب تصريح مدير مركز المعلومات الوطني فقد تم اجراء
Penetration test -
vulnerability assessment.
لا اعلم عن الية الاختبارات التي اجروها ولكن بشرح هذه الاختبارات بشكل عام وطريقة عملها.
Penetration test -
vulnerability assessment.
لا اعلم عن الية الاختبارات التي اجروها ولكن بشرح هذه الاختبارات بشكل عام وطريقة عملها.
Penetration test او اختبار الاختراق:
ببساطة تتعاقد الشركة مع هاكر اخلاقي ليقوم بعمل فحص لأنظمة الشركة للكشف عن اي ثغرات او نقاط ضعف بعد ذلك يرفع تقرير للشركة ويقترح الحلول. طبعا المقابل المادي ممتاز . واحد من الزملاء ف استراليا كان ياخذ من ١٠٠٠ الى ٢٠٠٠ دولار ف الساعة.
ببساطة تتعاقد الشركة مع هاكر اخلاقي ليقوم بعمل فحص لأنظمة الشركة للكشف عن اي ثغرات او نقاط ضعف بعد ذلك يرفع تقرير للشركة ويقترح الحلول. طبعا المقابل المادي ممتاز . واحد من الزملاء ف استراليا كان ياخذ من ١٠٠٠ الى ٢٠٠٠ دولار ف الساعة.
ف ٣ انواع من الاختبار مشابهه لهندسة البرمجيات :
Black box test اختبار الصندوق الاسود
/ gray box test / اختبار الصندوق الرمادي
white box test. اختبار الصندوق الابيض
Black box test اختبار الصندوق الاسود
/ gray box test / اختبار الصندوق الرمادي
white box test. اختبار الصندوق الابيض
١- الصندوق الاسود: مشابهه للعالم الخارجي بمعنى ان المختبر ماعنده اي معرفه بانظمة الشركة ويتم مهاجمتها كانه هاكر خارجي. وبالتالي يتم تحديد نقاط الضعف ف انظمة وسيرفرات الشركة او المنظمة.
٢- اختبار الصندوق الابيض: عكس الصندوق الاسود تمامًا فالمختبر يكون ع دراية بجميع انظمة وتطبيقات واجهزة الشركة القديمة والجديدة وهنا يتأكد المختبر من جميع الامور الامنية لكل نظام او تطبيق وتحديد نقاط الضعف ان وجدت.
٣- اختبار الصندوق الرمادي: مزيج مابين الابيض والاسود بمعني المختبر لديه(بعض) المعلومات عن انظمة وتطبيقات واجهزة الشركة. وبناءً ع هذه المعلومات (المحدودة ) يقوم المختبر باختبار نظام معين فقط للتأكد من الجوانب الامنية لهذا النظام باصدار تقرير مفصل للشركة.
وهنا مثال ع تقرير اختبار الاختراق:
offensive-security.com
offensive-security.com
اشهر الادوات / Tools المستخدمة ف اختبار الاختراق:
Metasploit
Wireshark
Nessus
Nmap
BurpSuite
WPScan
Metasploit
Wireshark
Nessus
Nmap
BurpSuite
WPScan
ثانيا: تقييم الثغرات او Vulnerability Assessment
باختصار المقصود بها : تحديد و تحليل وتصنيف الثغرات ع الانظمة والاجهزة ومن ثم تصنيف حسب درجة الخطورة ( low, medium or high)
باختصار المقصود بها : تحديد و تحليل وتصنيف الثغرات ع الانظمة والاجهزة ومن ثم تصنيف حسب درجة الخطورة ( low, medium or high)
مثال لتقرير تقييم الثغرات :
أوجه التشابه والاختلاف بين اختبار الاختراق وتقييم الثغرات:
جاري تحميل الاقتراحات...