قد يتساءل البعض عن هذا العنوان قائلاً: وهل هناك اختراق أو تسلل أخلاقي، حيث سمع عن اختراق شبكة المعلومات في البرازيل الذي أودى بقتل أربعة أشخاص، واختراق في الصين أودى بشركة أمريكية للإفلاس، وكذا اختراق كاد أن يؤدي بخسارة حرب كاملة، فما علمنا عن الاختراقات الكمبيوترية إلا سوء وخسارة.
لكن هذه الأيام اتجهت الكثير من الشركات العالمية إلى توظيف أناس من لهم خبرتهم في مجال الاختراق الكمبيوتري وتعاقدت معهم لأداء مهمة الاختراق الأخلاقي.
وهذا الاختراق: هو عبارة عن توظيف أناس من قبل الدائرة أو المنظمة التي تريد أن تقيم مستوى الأمن المعلوماتي لديها وتتركهم يحاولون أن يخترقوا أنظمة الحاسب لكي تتعرف وتقيم ثم تتخذ الإجراءات اللازمة لأمن معلوماتها وأنظمتها من حيث سد الثغرات وإصدار السياسات الأمنية وتركيب النظم والأجهزة الخاصة للحماية.
وهناك عدة أنواع لهذه الصفقات أو العمليات ولها مسمياتها التقنية:
أولاً: الصندوق الأسود "Black Box": حيث إن المخترق أو الخبير الأمني يحاول الاختراق والتعرف على الثغرات الأمنية دون أي معلومات مسبقة عن المنشأة ويعد هذاالنوع الأكثر تعقيداً ويستغرق وقتاً أطول من غيره.
ثانياً: الصندوق الأبيض "White Box": حيث إن المخترق تكون لديه كل المعلومات عن الأنظمة وتصميمات الشبكة لدى الشركة التي يتم اختبارها، وهذا غالباً يستخدم في عمليات التدقيق للأنظمة.
ثالثاً: الصندوق الرمادي "Gray Box": وهو محاولة اختراق من داخل المنظمة وهو يعتبر أسهل وأقل تكلفة من سابقتها.
وأياً كان نوع الاختراق فهناك ثلاث خطوات يجب القيام بها والاتفاق عليها بين الشركة المستفيدة والخبير الأمني:
* الخطوة الأولى:
الإعداد والتهيئة وفي هذه الخطوة يتم التوقيع من قبل الطرفين، الخبير الأمني: بأن لا يبوح بأي أسرار أو ثغرات أو معلومات حصل عليها أو تعرف عليها في عمله الاختراقي. وأيضاً تعهد من قبل الشركة: بأن لا تدعي أو تحاكم هذا الخبير في فترة الهمل لديها إذا تعرف أو اكتشف ثغرات أمنية باتهامه أنه مخرب أو غير ذلك. وفي هذه الخطوة أيضاً وضع خطة من ناحية الأماكن المراد اختراقها والوقت الزمني للخطة وفريق العمل.
* الخطوة الثانية:
عملية التجميع والاختراق وفي هذه الخطوة يتم القيام بمحاولة اكتشاف الثغرات بالمسح الأمني ومحاولة الاختراق ويفضل عند الاختراق أن يكون خارج أوقات العمل لتفادي أي أضرار قد تنجم عن هذا الشيء، أما المسح الأمني لاكتشاف الثغرات فلا بأس أن يكون في أوقات العمل بل يفضل ذلك.
* الخطوة الثالثة:
هي الانتهاء من إعداد دراسة واضحة عما تم اكتشافه من ثغرات وأخطار أمنية وما هي الأدوات أو الطرق التي تم بها الاكتشاف ووضع أولويات في سد هذه الثغرات من ناحية الخطورة وماهي الحلول الأمنية المقترحة لهذه المخاطر.
وفي الختام تعتمد هذه العملية اعتماداً كلياً على الثقة والأمانة المهنية والأخلاقية، لكن اكتشاف هذه الثغرات عن طريق شخص معروف للشركة افضل من أن يكتشفها أو أن يستغلها متسلل خطر وكما قيل: "بيدي لا بيد عمرو".
لكن هذه الأيام اتجهت الكثير من الشركات العالمية إلى توظيف أناس من لهم خبرتهم في مجال الاختراق الكمبيوتري وتعاقدت معهم لأداء مهمة الاختراق الأخلاقي.
وهذا الاختراق: هو عبارة عن توظيف أناس من قبل الدائرة أو المنظمة التي تريد أن تقيم مستوى الأمن المعلوماتي لديها وتتركهم يحاولون أن يخترقوا أنظمة الحاسب لكي تتعرف وتقيم ثم تتخذ الإجراءات اللازمة لأمن معلوماتها وأنظمتها من حيث سد الثغرات وإصدار السياسات الأمنية وتركيب النظم والأجهزة الخاصة للحماية.
وهناك عدة أنواع لهذه الصفقات أو العمليات ولها مسمياتها التقنية:
أولاً: الصندوق الأسود "Black Box": حيث إن المخترق أو الخبير الأمني يحاول الاختراق والتعرف على الثغرات الأمنية دون أي معلومات مسبقة عن المنشأة ويعد هذاالنوع الأكثر تعقيداً ويستغرق وقتاً أطول من غيره.
ثانياً: الصندوق الأبيض "White Box": حيث إن المخترق تكون لديه كل المعلومات عن الأنظمة وتصميمات الشبكة لدى الشركة التي يتم اختبارها، وهذا غالباً يستخدم في عمليات التدقيق للأنظمة.
ثالثاً: الصندوق الرمادي "Gray Box": وهو محاولة اختراق من داخل المنظمة وهو يعتبر أسهل وأقل تكلفة من سابقتها.
وأياً كان نوع الاختراق فهناك ثلاث خطوات يجب القيام بها والاتفاق عليها بين الشركة المستفيدة والخبير الأمني:
* الخطوة الأولى:
الإعداد والتهيئة وفي هذه الخطوة يتم التوقيع من قبل الطرفين، الخبير الأمني: بأن لا يبوح بأي أسرار أو ثغرات أو معلومات حصل عليها أو تعرف عليها في عمله الاختراقي. وأيضاً تعهد من قبل الشركة: بأن لا تدعي أو تحاكم هذا الخبير في فترة الهمل لديها إذا تعرف أو اكتشف ثغرات أمنية باتهامه أنه مخرب أو غير ذلك. وفي هذه الخطوة أيضاً وضع خطة من ناحية الأماكن المراد اختراقها والوقت الزمني للخطة وفريق العمل.
* الخطوة الثانية:
عملية التجميع والاختراق وفي هذه الخطوة يتم القيام بمحاولة اكتشاف الثغرات بالمسح الأمني ومحاولة الاختراق ويفضل عند الاختراق أن يكون خارج أوقات العمل لتفادي أي أضرار قد تنجم عن هذا الشيء، أما المسح الأمني لاكتشاف الثغرات فلا بأس أن يكون في أوقات العمل بل يفضل ذلك.
* الخطوة الثالثة:
هي الانتهاء من إعداد دراسة واضحة عما تم اكتشافه من ثغرات وأخطار أمنية وما هي الأدوات أو الطرق التي تم بها الاكتشاف ووضع أولويات في سد هذه الثغرات من ناحية الخطورة وماهي الحلول الأمنية المقترحة لهذه المخاطر.
وفي الختام تعتمد هذه العملية اعتماداً كلياً على الثقة والأمانة المهنية والأخلاقية، لكن اكتشاف هذه الثغرات عن طريق شخص معروف للشركة افضل من أن يكتشفها أو أن يستغلها متسلل خطر وكما قيل: "بيدي لا بيد عمرو".
أتمنى لكم متابعة مقرمشة ولذيذة مع درس الهكر الأخلاقي:
No comments:
Post a Comment