IG2 IG3

إجراء اختبارات اختراق خارجية دورية

مجموعة الضابط: 18. اختبار الاختراق

نوع الأصل: الشبكة

وظيفة الأمان: تحديد

الوصف

إجراء اختبارات اختراق خارجية دورية بناءً على متطلبات البرنامج لا تقل عن مرة سنويًا. يمكن تحديد الاختبار الخارجي كاختبار من خارج محيط دفاع الشبكة. يمكن أن يشمل الاختبار كحد أدنى مسح الثغرات الخارجية واختبار خدمات محددة ومعروفة على منافذ معروفة واختبار الهندسة الاجتماعية.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

منصة اختبار أمني مستمر مع برامج مكافآت الثغرات واختبار الاختراق المُدار والإفصاح عن الثغرات

HackerOne · اشتراك قائم على البرنامج

Synack Forrester Wave Leader, Penetration Testing Services 2024

منصة اختبار أمني جماعي مع باحثين معتمدين واختبار اختراق معزز بالذكاء الاصطناعي وتقييم مستمر

Synack · اشتراك قائم على الأصول

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

منصة اختبار الاختراق كخدمة مع مختبري اختراق معتمدين واختبار برمجي وإدارة النتائج

Cobalt · اشتراك قائم على الرصيد

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

منصة إدارة سطح الهجوم المستمر والأمن الهجومي تجمع بين الفحص الآلي واختبار الاختراق بقيادة الخبراء

Bishop Fox · اشتراك مؤسسي

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال ثغرة مواجهة للإنترنت من قبل مهاجم خارجي

السرية

يستغل مهاجم خدمة خارجية مكونة بشكل خاطئ كان سيتم تحديدها من خلال اختبار اختراق خارجي، مما يحصل على وصول أولي لشبكة المؤسسة.

معلومات حساسة مكشوفة عبر استطلاع OSINT

السرية

يتم استغلال معلومات متاحة علنياً مثل بيانات اعتماد مكشوفة ومستندات داخلية أو تفاصيل البنية التحتية من قبل مهاجم لأنه لم يحدد أي اختبار اختراق خارجي بمرحلة استطلاع هذا التعرض.

تجاوز دفاعات المحيط عبر مسار هجوم غير مكتشف

السلامة

يكتشف مهاجم نقطة دخول خارجية مغفلة مثل نقطة نهاية VPN قديمة أو نطاق فرعي منسي لا تغطيها ضوابط الأمان المحيطية، لأنه لم يُرسم أي اختبار اختراق خارجي سطح الهجوم الكامل.

الثغرات (عند غياب الإجراء الوقائي)

سطح الهجوم الخارجي غير مختبر

بدون اختبار اختراق خارجي دوري، لا يتم تقييم الأنظمة والخدمات والتكوينات المواجهة للإنترنت من منظور المهاجم، تاركة نقاط ضعف قابلة للاستغلال في المحيط دون اكتشاف.

عدم وجود استطلاع خارجي لتحديد تعرض المعلومات

يعني غياب الاختبار الخارجي مع الاستطلاع أن معلومات المؤسسة المكشوفة علنياً مثل بيانات الاعتماد المسربة والخدمات المكونة بشكل خاطئ وبيانات OSINT لا يتم تحديدها أو معالجتها.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة اختبار الاختراق

Control 18

الإجراءات الوقائية ذات الصلة في الضابط 18

18.1 إنشاء وصيانة برنامج اختبار الاختراق

18.3 معالجة نتائج اختبار الاختراق

18.4 التحقق من صحة التدابير الأمنية

18.5 إجراء اختبارات اختراق داخلية دورية