IG2 IG3

إنشاء وصيانة برنامج اختبار الاختراق

مجموعة الضابط: 18. اختبار الاختراق

نوع الأصل: غير محدد

وظيفة الأمان: تحديد

الوصف

إنشاء وصيانة برنامج اختبار الاختراق المناسب لحجم المؤسسة وتعقيدها ونضجها. يجب أن تتضمن خصائص برنامج اختبار الاختراق كحد أدنى النطاق مثل تقنيات الشبكة وتطبيقات الويب وأمان API والعميل والخادم اللاسلكي، والتكرار والقيود مثل الساعات والشبكات الحرجة خارج النطاق، وعملية الإبلاغ والمعالجة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

منصة اختبار أمني مستمر مع برامج مكافآت الثغرات واختبار الاختراق المُدار والإفصاح عن الثغرات

HackerOne · اشتراك قائم على البرنامج

Synack Forrester Wave Leader, Penetration Testing Services 2024

منصة اختبار أمني جماعي مع باحثين معتمدين واختبار اختراق معزز بالذكاء الاصطناعي وتقييم مستمر

Synack · اشتراك قائم على الأصول

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

منصة اختبار الاختراق كخدمة مع مختبري اختراق معتمدين واختبار برمجي وإدارة النتائج

Cobalt · اشتراك قائم على الرصيد

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

منصة إدارة سطح الهجوم المستمر والأمن الهجومي تجمع بين الفحص الآلي واختبار الاختراق بقيادة الخبراء

Bishop Fox · اشتراك مؤسسي

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

ثغرات غير معروفة تستمر بسبب عدم وجود اختبار اختراق

السرية

تبقى ثغرات حرجة قابلة للاستغلال في شبكة وتطبيقات وخدمات المؤسسة غير مكتشفة لأنه لا يوجد برنامج اختبار اختراق لتحديدها استباقياً قبل المهاجمين.

شعور زائف بالأمان من الفحص الآلي وحده

السلامة

تعتمد المؤسسة فقط على فحص الثغرات الآلي، الذي يفتقد سلاسل الهجوم المعقدة ونقاط ضعف التكوين التي سيكشفها فقط برنامج اختبار اختراق منظم.

فجوة امتثال من غياب قدرة اختبار الاختراق

السلامة

تفشل المؤسسة في تلبية المتطلبات التنظيمية أو التعاقدية لاختبار الاختراق لأنه لم يتم إنشاء برنامج بنطاق وتكرار وعمليات معالجة محددة.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود برنامج اختبار اختراق راسخ

بدون برنامج اختبار اختراق يحدد النطاق والتكرار والمنهجية وعمليات المعالجة، لا تمتلك المؤسسة آلية استباقية لاكتشاف الثغرات القابلة للاستغلال قبل المهاجمين.

عدم وجود مسار معالجة محدد لنتائج اختبار الاختراق

يعني غياب البرنامج أنه حتى اختبارات الاختراق المخصصة تُنتج نتائج بدون عملية محددة لتوجيه وتحديد أولويات وتتبع معالجة الثغرات المكتشفة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة اختبار الاختراق

Control 18

الإجراءات الوقائية ذات الصلة في الضابط 18

18.2 إجراء اختبارات اختراق خارجية دورية

18.3 معالجة نتائج اختبار الاختراق

18.4 التحقق من صحة التدابير الأمنية

18.5 إجراء اختبارات اختراق داخلية دورية