إجراء اختبارات اختراق داخلية دورية
الوصف
إجراء اختبارات اختراق داخلية دورية بناءً على متطلبات البرنامج لا تقل عن مرة سنويًا. يمكن أن يكون الاختبار عبارة عن مراجعة نقاط الضعف من زاوية المهاجم الداخلي.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة اختبار أمني مستمر مع برامج مكافآت الثغرات واختبار الاختراق المُدار والإفصاح عن الثغرات
HackerOne · اشتراك قائم على البرنامج
منصة اختبار أمني جماعي مع باحثين معتمدين واختبار اختراق معزز بالذكاء الاصطناعي وتقييم مستمر
Synack · اشتراك قائم على الأصول
منصة اختبار الاختراق كخدمة مع مختبري اختراق معتمدين واختبار برمجي وإدارة النتائج
Cobalt · اشتراك قائم على الرصيد
منصة إدارة سطح الهجوم المستمر والأمن الهجومي تجمع بين الفحص الآلي واختبار الاختراق بقيادة الخبراء
Bishop Fox · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
مسارات تنقل أفقي غير مكتشفة حتى اختراق حقيقي
السريةيكتشف مهاجم يحصل على وصول داخلي أولي ويستغل مسارات تنقل أفقي بين قطاعات الشبكة كان سيحددها اختبار اختراق داخلي.
تصعيد صلاحيات داخلي إلى مسؤول النطاق
السريةيصعّد مهاجم من حساب مستخدم قياسي إلى مسؤول نطاق باستخدام أخطاء تكوين Active Directory التي كان سيكشفها ويُبلّغ عنها اختبار اختراق داخلي للمعالجة.
تهديد داخلي يستغل نقاط ضعف داخلية
السريةيستغل مطلع خبيث تجزئة داخلية ضعيفة ومشاركات ملفات متساهلة بشكل مفرط وخدمات مكونة بشكل خاطئ لم تُختبر أبداً من منظور مهاجم داخلي.
الثغرات (عند غياب الإجراء الوقائي)
الشبكة الداخلية لم تُختبر من منظور المهاجم
بدون اختبار اختراق داخلي، تبقى الثغرات القابلة للاستغلال بعد الوصول الأولي مثل أخطاء تكوين Active Directory والتجزئة الضعيفة ومسارات التنقل الأفقي غير مكتشفة.
سيناريو افتراض الاختراق لم يُتحقق منه أبداً
يعني غياب اختبار الاختراق الداخلي أن المؤسسة لم تقيّم أبداً وضعيتها الدفاعية تحت افتراض أن مهاجماً قد تجاوز بالفعل ضوابط المحيط ولديه وصول داخلي.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |