📦صناديق إختبار الإختراق💻..
إذا جيت تشتغل في مجال إختبار الإختراق، دائماً في البداية بتجتمع مع المسؤولين في الشركة وتاخذ التصريح الرسمي لتنفيذ عملية إختبار الإختراق وتناقشوا آلية الإختبار وكيف بتتوزع المهام والصلاحيات وما الى ذلك.
من أهم النقاط اللي بيتم مناقشتها هي كمية البيانات اللي بتوفرها لك الشركة عن الهدف للبدء في عملية إختبار الإختراق تخيلها معي وكأن الشركة اعطتك صندوق فيه معلومات عن الهدف تبدأ فيه رحلتك في إختبار إختراقها.
📍تعال نتعرف أكثر على هذه الصناديق، ونشوف ايش عندنا داخل كل صندوق.
⬛️الصندوق الأسود | Black-Box:
هذا الصندوق فارغ يعني الشركة قررت ما تعطيك ولا معلومة عن الهدف، واللي عليك انك تتقمص دور الهاكر الغير مصرح وتحاول تجمع كل المعلومات عن الهدف بنفسك وتنفذ جميع مراحل إختبار الإختراق وكأنك المجرم المستقبلي للشركة.
إختبار الإختراق بالصندوق الأسود يركز على المنظور الخارجي والى أي مدى ممكن يوصل الهاكر في جمع المعلومات وإستغلال الثغرات في حال تعرضت الشركة لهجمة سيبرانية.
💻الصندوق الرمادي | Gray-Box:
في هذا الصندوق، الشركة بتعطيك بعض المعلومات الأساسية عن الهدف للبدء في عملية إختبار الإختراق، معلومات مثل بنية الشبكة مثلاً، والهدف هنا هو إختصار الوقت وتركيزه على فحص الثغرات بشكل أعمق وأكثر فاعليه بدلاً من تضييعه في جمع المعلومات الأساسية عن الهدف.
إختبار الإختراق بالصندوق الرمادي يركز على المنظور الخارجي مع بعض الصلاحيات الداخلية لتوسيع رقعةالإختبار.
⬜️ الصندوق الأبيض | White-Box:
في هذا الصندوق، الشركة بتعطيك كل المعلومات المتعلقة بالهدف، وبتمكنك من التواصل مع المبرمجين ومهندسي الشبكة او أي طرف تحتاج تتواصل معه خلال إختبار الإختراق، الهدف هنا هو فحص الهدف داخلياً بشكل دقيق، يعني انت هنا لك وصول كامل للكود البرمجي او الشبكة مثلاً. وعليك انو تبحث عن كل صغيرة وكبيرة ممكن تأثر على أمان الهدف.
إختبار الإختراق بالصندوق الأبيض يركز على المنظور الداخلي ويكون مختبر الإختراق فيه جزء من الفريق التقني خلال عملية فحص الثغرات وتحليل المخاطر.
🌟تقدر تعتبر هذه الصناديق على انها إستراتيجيات إختبار إختراق كل نوع يهدف للوصول لنتائج مختلفة، وبيتم تحديدها حسب احتياج الشركة قبل البدء في عملية إختبار الإختراق لقياس مدى فاعليتها بعد الإنتهاء من الإختبار.
