فحص الثغرات الأمنية، والمعروف أيضًا باسم "تقييم الثغرات الأمنية"، هو عملية تقييم الشبكات أو أصول تكنولوجيا المعلومات بحثًا عن نقاط الضعف أو العيوب أو الثغرات الأمنية التي يمكن لعناصر التهديد الخارجي أو الداخلي استغلالها. يُعَد فحص الثغرات الأمنية المرحلة الأولى من دورة حياة إدارة الثغرات الأمنية الأوسع نطاقًا.
في معظم المؤسسات اليوم، تكون عمليات فحص الثغرات الأمنية مؤتمتة بالكامل. تعثر أدوات فحص الثغرات الأمنية المتخصصة على العيوب وتضع علامة عليها ليراجعها فريق الأمن.
يُعَد استغلال الثغرات الأمنية أحد أكثر طرق الهجوم الإلكتروني شيوعًا، وفقًا لـ X-Force® Threat Intelligence Index من IBM. يساعد فحص الثغرات الأمنية المؤسسات على اكتشاف الثغرات الأمنية وإغلاقها قبل أن يتمكن المجرمون الإلكترونيون من استخدامها كسلاح. لهذا السبب، تَعتبر Center for Internet Security (CIS) الإدارة المستمرة للثغرات الأمنية، بما في ذلك الفحص الآلي للثغرات الأمنية، ممارسة أساسية في مجال الأمن الإلكتروني.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
الثغرة الأمنية هي أي نقطة ضعف في بنية أو وظيفة أو تنفيذ أحد أصول أو شبكات تكنولوجيا المعلومات. يمكن للمتسللين أو عنصر التهديد استغلال هذا الضعف للحصول على وصول غير مصرح به والتسبب في ضرر للشبكة أو المستخدمين أو الشركة. تشمل الثغرات الأمنية الشائعة ما يلي:
يتم اكتشاف الآلاف من الثغرات الأمنية الجديدة كل شهر. تحتفظ وكالتان حكوميتان في الولايات المتحدة بفهرس قابل للبحث عن الثغرات الأمنية المعروفة، المعهد الوطني الأمريكي للمعايير والتقنية (NIST) ووكالة الأمن الإلكتروني وأمن البنية التحتية (CISA).
للأسف، رغم توثيق الثغرات الأمنية بشكل شامل بعد اكتشافها، فإن المتسللين وعناصر التهديد غالبًا ما يكتشفونها أولًا، ما يمكِّنهم من مفاجأة المؤسسات.
لاعتماد نهج أمني أكثر استباقية في مواجهة هذه التهديدات الإلكترونية، تنفِذ فرق تكنولوجيا المعلومات برامج إدارة الثغرات الأمنية. تتَّبع هذه البرامج عملية مستمرة لتحديد المخاطر الأمنية وحلها قبل أن يتمكن المتسللون من استغلالها. تُعَد عمليات فحص الثغرات الأمنية عادةً الخطوة الأولى في عملية إدارة الثغرات الأمنية، إذ تكشف عن نقاط الضعف الأمنية التي يتعين على فرق تكنولوجيا المعلومات والأمن معالجتها.
يستخدم العديد من فرق الأمن أيضًا عمليات فحص الثغرات الأمنية من أجل:
التحقق من فاعلية إجراءات وضوابط الأمان: بعد تطبيق الضوابط الجديدة، تُجري الفرق عادةً فحصًا إضافيًا للتأكد من فاعليتها. يؤكِّد هذا الفحص ما إذا كانت الثغرات الأمنية المحددة قد تم إصلاحها. ويؤكِّد أيضًا أن جهود الإصلاح لم تؤدي إلى حدوث أي مشكلات جديدة.
الحفاظ على الامتثال التنظيمي، تتطلب بعض اللوائح صراحةً إجراء عمليات فحص الثغرات الأمنية. على سبيل المثال، يُلزم معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS) المؤسسات التي تتعامل مع بيانات حاملي البطاقات بإجراء فحوصات ربع سنوية.
بين التطبيقات السحابية والتطبيقات المحلية والأجهزة المحمولة وأجهزة إنترنت الأشياء وأجهزة الكمبيوتر المحمول ونقاط النهاية التقليدية الأخرى، تحتوي الشبكات المؤسسية الحديثة على عدد كبير جدًا من الأصول يجعل فحص الثغرات الأمنية يدويًا أمرًا غير عملي. وبدلًا من ذلك، تستخدم فرق الأمن أدوات فحص الثغرات الأمنية لإجراء فحوصات مؤتمتة على أساس دوري.
لتحديد الثغرات الأمنية المحتملة، تعمل أدوات الفحص أولًا على جمع المعلومات حول أصول تكنولوجيا المعلومات. تستخدم بعض أدوات الفحص وكلاءً مثبَّتين على نقاط النهاية لجمع بيانات عن الأجهزة والبرامج المثبتة عليها. تعمل أدوات فحص أخرى على فحص الأنظمة من الخارج، حيث تستكشف المنافذ المفتوحة للكشف عن تفاصيل تكوين الأجهزة والخدمات النشطة. تعمل بعض أدوات الفحص على إجراء اختبارات أكثر ديناميكية، مثل محاولة تسجيل الدخول إلى جهاز يستخدم بيانات اعتماد افتراضية.
بعد فحص الأصول، تعمل أداة الفحص على مقارنتها مع قاعدة بيانات الثغرات الأمنية. تسجِّل هذه القاعدة بيانات الثغرات الأمنية والتعرضات الشائعة (CVEs) لمختلف إصدارات الأجهزة والبرمجيات. تعتمد بعض أدوات الفحص على مصادر عامة مثل قواعد بيانات NIST وCISA بينما يستخدم البعض الآخر قواعد بيانات خاصة.
تتحقق أداة الفحص ما إذا كان كل أصل يُظهر أي علامات على العيوب المرتبطة به. على سبيل المثال، يبحث عن مشكلات مثل خطأ بروتوكول سطح المكتب البعيد في نظام التشغيل. قد يسمح هذا الخطأ للمتسللين بالتحكم في الجهاز. قد تتحقق أدوات الفحص أيضًا من تكوينات الأصل وفقًا لقائمة بأفضل الممارسات الأمنية، مثل التأكد من وجود معايير مصادقة صارمة مناسبة لقاعدة بيانات حساسة.
بعد ذلك، تعمل أداة الفحص على تجميع تقرير عن الثغرات الأمنية المحددة لفريق الأمن لتقييمها. تسرد التقارير الأساسية ببساطة كل مشكلة أمنية تحتاج إلى معالجة. يمكن لبعض أدوات الفحص تقديم تفسيرات مفصلة ومقارنة نتائج الفحص مع عمليات الفحص السابقة لتتبُّع إدارة الثغرات الأمنية مع مرور الوقت.
تعمل أدوات الفحص الأكثر تقدمًا أيضًا على تحديد أولويات الثغرات الأمنية بناءً على مدى خطورتها. يمكن أن تستخدم أدوات الفحص مفتوحة المصدر استعلامات التهديدات، مثل درجات نظام تسجيل الثغرات الأمنية الشائعة (CVSS) للحكم على مدى خطورة الثغرة الأمنية. بدلًا من ذلك، يمكنها استخدام خوارزميات أكثر تعقيدًا تأخذ في الاعتبار الخلل في السياق الفريد للمؤسسة. وقد توصي أدوات الفحص هذه أيضًا بطرق المعالجة والتخفيف لكل عيب.
تتغير المخاطر الأمنية للشبكة مع إضافة أصول جديدة واكتشاف ثغرات جديدة في البيئة الخارجية. ومع ذلك، يمكن لكل فحص للثغرات الأمنية أن يحدِّد فقط حالة الشبكة في لحظة معينة من الزمن. لمواكبة مشهد التهديدات الإلكترونية المتطور، تُجري المؤسسات عمليات الفحص بانتظام.
لا تعمل معظم فحوصات الثغرات الأمنية على مراجعة جميع أصول الشبكة دفعة واحدة لأنها تتطلب وقتًا وموارد كبيرة. بدلًا من ذلك، غالبًا ما تعمل فرق الأمن على تجميع الأصول وفقًا للأهمية وفحصها على دفعات. قد يتم فحص الأصول الأكثر أهمية أسبوعيًا أو شهريًا، بينما يمكن فحص الأصول الأقل أهمية كل ثلاثة أشهر أو سنويًا.
يمكن لفرق الأمن أيضًا إجراء الفحوصات كلما طرأت تغييرات كبيرة على الشبكة، مثل إضافة خوادم ويب جديدة أو إنشاء قاعدة بيانات حساسة جديدة.
توفِّر بعض أدوات فحص الثغرات الأمنية المتقدمة فحصًا مستمرًا. تراقب هذه الأدوات الأصول في الوقت الفعلي وتحدِّد الثغرات الأمنية الجديدة عند ظهورها. ومع ذلك، فإن الفحص المستمر ليس ممكنًا أو مرغوبًا فيه باستمرار. يمكن أن تؤثِّر عمليات فحص الثغرات المكثفة في أداء الشبكة، لذا قد يفضِّل بعض فرق تكنولوجيا المعلومات إجراء الفحوصات بشكل دوري بدلًا من ذلك.
هناك العديد من الأنواع المختلفة من أدوات الفحص، وغالبًا ما تستخدم فرق الأمن مجموعة من الأدوات للحصول على صورة شاملة للثغرات الأمنية في الشبكة.
تركِّز بعض أدوات الفحص على أنواع معينة من الأصول. على سبيل المثال، تركِّز أدوات الفحص السحابية على الخدمات السحابية، بينما تبحث أدوات فحص التطبيقات عن العيوب في التطبيقات.
يمكن تثبيت أدوات الفحص محليًا أو تسليمها كتطبيقات برمجية كخدمة (SaaS) . كلٌّ من أدوات فحص الثغرات الأمنية مفتوحة المصدر والمدفوعة شائعة الاستخدام. تعمل بعض المؤسسات على تعهيد فحص الثغرات الأمنية بالكامل لمقدِّمي خدمات خارجيين.
بينما تتوفر أدوات فحص الثغرات الأمنية كحلول مستقلة، أصبح العديد من البائعين يقدمونها كجزء من مجموعات إدارة الثغرات الأمنية الشاملة. تجمع هذه الأدوات بين أنواع متعددة من أدوات الفحص مع إدارة سطح الهجوم وإدارة الأصول وإدارة التصحيحات والوظائف الرئيسية الأخرى في حل واحد.
يدعم العديد من أدوات الفحص التكامل مع أدوات الأمن الإلكتروني الأخرى، مثل أنظمة إدارة المعلومات والأحداث الأمنية (SIEMs) وأدوات اكتشاف نقاط النهاية والاستجابة لها (EDR).
يمكن لفرق الأمن إجراء أنواع مختلفة من عمليات الفحص حسب احتياجاتهم. تتضمن بعض الأنواع الأكثر شيوعًا لفحص الثغرات الأمنية ما يلي:
تبحث عمليات فحص الثغرات الأمنية الخارجية في الشبكة من الخارج. وهي تركِّز على العيوب في الأصول التي تواجه الإنترنت مثل التطبيقات واختبار عناصر التحكم في المحيط مثل جدران الحماية. تُظهر عمليات الفحص هذه كيف يمكن لمتسلل خارجي اختراق الشبكة.
تبحث عمليات فحص الثغرات الأمنية الداخلية في نقاط الضعف من داخل الشبكة. وهي تسلِّط الضوء على ما يمكن أن يفعله المتسلل عندما يدخل إلى النظام، بما في ذلك كيفية تحركه جانبيًا والمعلومات الحساسة التي يمكنه سرقتها في حالة اختراق أمن البيانات.
تتطلب عمليات الفحص التي تمت مصادقتها، والمعروفة أيضًا باسم عمليات الفحص المعتمدة"، امتيازات الوصول لمستخدم معتمد. بدلًا من مجرد النظر إلى تطبيق من الخارج، يمكن لأداة الفحص رؤية ما قد يراه المستخدم الذي سجَّل الدخول. توضِّح عمليات الفحص هذه ما يمكن أن يفعله المتسلل باستخدام حساب مخترَق أو كيف قد يتسبب تهديد داخلي في حدوث أضرار.
عمليات الفحص غير المصادق عليها، وتُسمَّى أيضًا "عمليات الفحص غير المعتمدة"، ليست لها أذونات أو امتيازات وصول. فهي ترى الأصول فقط من وجهة نظر خارجية. يمكن لفرق الأمن إجراء عمليات فحص داخلية وخارجية غير مصادق عليها.
في حين أن كل نوع من أنواع الفحص له حالات الاستخدام الخاصة به، فإن هناك بعض التداخل، ويمكن دمجها لخدمة أغراض مختلفة. على سبيل المثال، قد يُظهر الفحص الداخلي المصادق عليه منظور التهديد الداخلي. في المقابل، يظهر الفحص الداخلي غير المصادق عليه ما سيراه المخترق الخبيث في حال تجاوز حدود الشبكة.
يُعَد كلٌّ من فحص الثغرات الأمنية واختبار الاختراق أشكالًا منفصلة ولكنها مرتبطة باختبار أمن الشبكة. ورغم اختلاف وظائفها، يستخدمها العديد من فرق الأمن لتكمل بعضها.
تُعَد عمليات فحص الثغرات الأمنية عمليات فحص مؤتمتة وعالية المستوى للأصول. فهي تعمل على الكشف عن العيوب وإبلاغ فريق الأمن بها. اختبار الاختراق، أو pen testing، هو عملية يدوية. يستخدم مختبِرو الاختراق مهارات القرصنة الأخلاقية ليس فقط للعثور على الثغرات الأمنية في الشبكة ولكن أيضا لاستغلالها في هجمات محاكاة.
تُعَد عمليات فحص الثغرات الأمنية أرخص وأسهل في التشغيل، لذلك تستخدمها فرق الأمن لمراقبة النظام. تتطلب اختبارات الاختراق المزيد من الموارد، ولكنها يمكن أن تساعد فرق الأمن على فهم عيوب الشبكة بشكل أفضل.
عند استخدامهما معًا، يمكن لعمليات فحص الثغرات الأمنية واختبارات الاختراق أن تجعل إدارة الثغرات الأمنية أكثر فاعلية. على سبيل المثال، تمنح عمليات فحص الثغرات الأمنية مختبِري الاختراق نقطة انطلاق مفيدة. وفي الوقت نفسه، يمكن لاختبار الاختراق أن يضيف المزيد من السياق إلى النتائج من خلال الكشف عن الإيجابيات الزائفة، وتحديد السبب الأساسي واستكشاف كيف يمكن لمجرم الإنترنت ربط الثغرات الأمنية معًا في هجمات أكثر تعقيدًا.