يعد اختبار الاختراق عملية مهمة لتحديد المخاطر و الكشف عن الثغرات لحماية المؤسسة من عمليات الاختراق ولكن قبل القيام بهذه العملية يجب اتباع العديد من الخطوات الاساسية لضمان نجاح العملية و تفادي حدوث أي مشاكل.
في هذا المقال سوف نشرح هذه الخطوات و المراحل التي يجب أن تتم قبل عملية اختبار الاختراق
الهدف ونطاق العمل:
الهدف (Goal):
تحديد الهدف من عملية اختبار الاختراق (السبب الرئيسي الذي دفع العميل الى توظيفك للقيام بهذه العملية) معرفة الهدف سوف يساعدك للقيام بهذه المهمة ولهذا السبب يفضل سؤال العميل بشكل مباشر لماذا تريد القيام بعملية اختبار الاختراق؟
لا تتوقع حصولك على الإجابة الصحيحة بشكل دائم فمن الممكن أن تكون إجابة العميل على الشكل التالي:
نريد القيام بعملية اختبار الاختراق لأننا بالفعل قد تعرضنا للاختراق، هنا سيختلف عملك وسيكون تركيزك باتجاه التحقيق الجنائي الرقمي
اما اذا كان جوابه:
نريد القيام بعملية اختبار الاختراق لاختبار مستوى الحماية، فهنا يجب أن يكون تركيزك على كشف الثغرات و توضيح نقاط الضعف.
نطاق العمل (Scope):
وهو الحدود أو المجال المسموح لك القيام بعملية اختبار الاختراق ضمنه و أي تجاوز له قد يعرضك لمسألة قانونية وهو ينقسم الى قسمين:
1- الحدود المنطقية
يجب تحديد الحدود المنطقية مع العميل بشكل دقيق من خلال تحديد الأقسام التي يجب القيام بعملية اختبار الاختراق عليها، مثال: قسم التسويق
اذا لم يتم تحديد الحدود بشكل دقيق فقد يؤدي ذلك إلى مشاكل مع العميل فقد تظن أنك تعمل داخل المجال المحدد والمسموح به ومع ذلك قد يعتقد العميل أنك قد تجاوزت الحدود أو المجال المتفق عليه ولهذا السبب من المهم التعامل بدقة مع هذه المرحلة و تحديد حدود واضحة تحميك أثناء العمل لعدم الوقوع في أي مشاكل قانونية أو اختلاف في وجهات النظر.
2- الحدود الفيزيائية:
تعتبر الحدود الفيزيائية عبارة عن أشياء ملموسة مثل عناوين IP ومن الممكن أن تكون مجالات من العناوين أو أسماء الدومينات (في عملية اختبار اختراق مواقع الويب)
يفضل ان تسأل العميل بشكل واضح هل الدومينات الفرعية sub domain مشمولة ضمن العملية أم لا فمن الممكن أن يحدد بعضها فقط ضمن هذه العملية.
جدول المواعيد:
هو عبارة عن جدول يوضع فيه مراحل عملية اختبار الاختراق ويحتوي على مواعيد بداية المرحلة ونهايتها و الهدف منها والعديد من التفاضيل الأخرى
هذا الجدول يجب تقديمه للعميل ليكون ملم بكل تفاصيل عملية اختبار الاختراق وتكمن أهميته عند حدوث أي مشكلة فيمكن لفريق الحماية الخاص بالعميل معرفة مكان المشكلة و مقدار الخطورة المتعلقة بها.
اذا كان مستوى خطورة المرحلة عالي جداً فيمكن أن يكون فريق الحماية على استعداد لتنفيذ خطة الطوارئ وفي حال حدوث أي تغير على هذا الجدول فيجب اطلاع العميل على هذه التغيرات بشكل مباشر التغير
الالتزامات و المسؤوليات
عملية اختبار الاختراق تحتوي على العديد من المخاطرلك وللعميل ولهذا السبب هناك العديد من التزامات والمسؤليات التي يجب أن تتحملها
الالتزامات (Liabilities ):
- عدم الخروج عن المجال المحدد
- حوادث حذف البيانات
- حوادث توقف الخدمة
- أي فعل أو نشاط تقوم به وله تأثير سلبي على عمل المؤسسة
بالنسبة للالتزامات يجب أن يتم الاتفاق عليها مع العميل بالتعاون مع محامي أو شخص قانوني لتقليل مسؤوليتك عن الحوادث التي قد تقوم بها، هذا الاتفاق يحتاج إلى محامي ليجنبك أي مشاكل قانونية
المسؤوليات (responsibilities):
- اطلاع العميل على كل التفاصيل خلال العملية
- حفظ التقرير الخاص بأختبار الأختراق بشكل أمن
- عدم الإفصاح عن أي معلومة
أما بالنسبة للمسؤوليات فهي لا تحتاج لمحامي ولكن تتطلب منك الانتباه للمعلومات التي تستخرجها أو تحصل عليها أثناء عملية اختبار الاختراق، فقد تحتاج إلى تشفير التقرير و تدمير المعلومات بعد الانتهاء من عملية اختبار الاختراق وعدم تسريب معلومات العميل
خطة الطوارئ:
قد تحدث أخطاء اثناء عملية اختبار الاختراق وهنا يأتي دور خطة الطوارئ فهي خطة تضعها أنت و فريق الحماية الخاص بالعميل و تحوي على تفاصيل ومعلومات الاتصال بالشخص المسؤول عن الشبكة أو النظام و الخطوات التي يجب القيام بها لمعالجة المشاكل المحتملة
متى تطبق خطة الطوارئ؟
عند حدوث مشكلة في السيرفر الخاص بالعميل أو عند حدوث حذف أو تعديل على قاعدة البيانات
متى تفشل خطة الطوارئ؟
عندما لا تعرف مع من تتواصل عند حدوث مشكلة واذا لم تكن الجهة المسؤولة عن الخطة متوفرة بشكل دائم
القنيات المسموح استخدامها:
قبل وضع خطة الطوارئ يجب أن تحدد مع العميل ما هي الأساليب المسموح استخدامها وما هو الممنوع ويفضل تحديد ذلك لكي لا تصدم العميل بطرية قد لا يكون يريدك أن تستعملها و قد تسبب له ولك مشاكل قانونية
على سبيل المثال قد يرفض العميل استخدامك لهجمات التنصت و هجمات منع الخدمة والهندسة الاجتماعية
انصحك بمحاولة إقناعه بالسماح لك بتنفيذ هجمات الهندسة الاجتماعية لأن الموظفين (العنصر البشري) هم النقطة الأضعف بأي منظومة وعملية استغلالهم أسهل من استغلال الثغرات
في النهاية:
عملية اختبار الاختراق هي عملية خطيرة ولذلك يجب أن تأخذ الاحتياطات والخطوات السابقة لتجنب حدوث أي مشاكل قانونية أو أي أخطاء له تأثير سلبي على عمل المؤسسة
حاولنا التركيز على المحاسبة القانونية والتي تم تكرارها لأكثر من مرة لأنك عند القيام بعملية اختبار اختراق فأنت على بعد خطوة من المحكمة لدفع تعويضات مالية للشركة إذا لم تلتزم بالقواعد الخاصة بهذه العملية
