توصيات لاختبار الأمان
ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework هذه:
| SE:11 | إنشاء نظام اختبار شامل يجمع بين الأساليب لمنع المشكلات الأمنية، والتحقق من صحة تطبيقات منع التهديدات، واختبار آليات الكشف عن التهديدات. |
|---|
الاختبار الصارم هو أساس التصميم الأمني الجيد. الاختبار هو شكل تكتيكي للتحقق من الصحة للتأكد من أن عناصر التحكم تعمل كما هو مقصود. الاختبار هو أيضا طريقة استباقية للكشف عن الثغرات الأمنية في النظام.
إنشاء دقة الاختبار من خلال إيقاع والتحقق من وجهات نظر متعددة. يجب تضمين وجهات النظر الداخلية التي تختبر النظام الأساسي والبنية الأساسية والتقييمات الخارجية التي تختبر النظام مثل المهاجم الخارجي.
يوفر هذا الدليل توصيات لاختبار الوضع الأمني لحمل العمل الخاص بك. نفذ أساليب الاختبار هذه لتحسين مقاومة حمل العمل للهجمات والحفاظ على سرية الموارد وسلامتها وتوافرها.
التعريفات
| المصطلح | التعريف |
|---|---|
| اختبار أمان التطبيق (AST) | تقنية دورة حياة تطوير الأمان من Microsoft (SDL) التي تستخدم منهجيات اختبار الصندوق الأبيض والعلبة السوداء للتحقق من وجود ثغرات أمنية في التعليمات البرمجية. |
| اختبار الصندوق الأسود | منهجية اختبار تتحقق من صحة سلوك التطبيق المرئي خارجيا دون معرفة الداخليات للنظام. |
| الفريق الأزرق | فريق يدافع ضد هجمات الفريق الأحمر في تمرين حربي. |
| اختبار الاختراق | منهجية اختبار تستخدم تقنيات القرصنة الأخلاقية للتحقق من صحة الدفاعات الأمنية للنظام. |
| الفريق الأحمر | فريق يلعب دور الخصم ويحاول اختراق النظام في تمرين لعبة حربية. |
| دورة حياة تطوير الأمان (SDL) | مجموعة من الممارسات التي توفرها Microsoft تدعم متطلبات ضمان الأمان والتوافق. |
| دورة حياة تطوير البرامج (SDLC) | عملية منهجية متعددة المستويات لتطوير أنظمة البرمجيات. |
| اختبار المربع الأبيض | منهجية اختبار حيث يعرف الممارس بنية التعليمات البرمجية. |
استراتيجيات التصميم الرئيسية
الاختبار هو استراتيجية غير قابلة للتفاوض، خاصة للأمان. يسمح لك باكتشاف مشكلات الأمان ومعالجتها بشكل استباقي قبل أن يمكن استغلالها والتحقق من أن عناصر التحكم في الأمان التي نفذتها تعمل كما تم تصميمها.
يجب أن يتضمن نطاق الاختبار التطبيق والبنية الأساسية والعمليات الآلية والبشرية.
ملاحظة
يميز هذا التوجيه بين الاختبار والاستجابة للحوادث. على الرغم من أن الاختبار هو آلية الكشف التي تعمل بشكل مثالي على إصلاح المشكلات قبل الإنتاج، فلا ينبغي الخلط بينها وبين المعالجة أو التحقيق الذي يتم كجزء من الاستجابة للحوادث. يتم وصف جانب الاسترداد من الحوادث الأمنية في توصيات الاستجابة للحوادث.
يتضمن SDL عدة أنواع من الاختبارات التي تلتقط الثغرات الأمنية في التعليمات البرمجية، وتتحقق من مكونات وقت التشغيل، وتستخدم القرصنة الأخلاقية لاختبار مرونة الأمان للنظام. SDL هو نشاط مفتاح shift-left. يجب تشغيل اختبارات مثل تحليل التعليمات البرمجية الثابتة والمسح التلقائي للبنية الأساسية كتعليمية (IaC) في وقت مبكر من عملية التطوير قدر الإمكان.
المشاركة في تخطيط الاختبار. قد لا يقوم فريق حمل العمل بتصميم حالات الاختبار. غالبا ما تكون هذه المهمة مركزية في المؤسسة أو مكتملة من قبل خبراء الأمان الخارجيين. يجب أن يشارك فريق حمل العمل في عملية التصميم هذه لضمان تكامل ضمانات الأمان مع وظائف التطبيق.
فكر كمهاجم. صمم حالات الاختبار الخاصة بك مع افتراض أن النظام قد تمت مهاجمته. وبهذه الطريقة، يمكنك الكشف عن الثغرات الأمنية المحتملة وتحديد أولويات الاختبارات وفقا لذلك.
قم بإجراء الاختبارات بطريقة منظمة ومع عملية قابلة للتكرار. بناء دقة الاختبار الخاصة بك حول إيقاع وأنواع الاختبارات وعوامل القيادة والنتائج المقصودة.
استخدم الأداة المناسبة للوظيفة. استخدم الأدوات التي تم تكوينها للعمل مع حمل العمل. إذا لم يكن لديك أداة، فاشتري الأداة. لا تقم ببنائه. أدوات الأمان متخصصة للغاية، وقد يؤدي بناء الأداة الخاصة بك إلى مخاطر. استفد من الخبرة والأدوات التي تقدمها فرق SecOps المركزية أو بالوسائل الخارجية إذا لم يكن فريق حمل العمل لديه تلك الخبرة.
إعداد بيئات منفصلة. يمكن تصنيف الاختبارات على أنها مدمرة أو غير هيكلية. الاختبارات غير المهيكلة ليست اجتياحية. تشير إلى وجود مشكلة، ولكنها لا تغير الوظائف من أجل معالجة المشكلة. الاختبارات المدمرة هي اختبارات الغازية وقد تلحق الضرر بالوظائف عن طريق حذف البيانات من قاعدة بيانات.
يمنحك الاختبار في بيئات الإنتاج أفضل المعلومات ولكنه يسبب أكبر قدر من التعطيل. تميل إلى إجراء اختبارات غير هيكلية فقط في بيئات الإنتاج. عادة ما يكون الاختبار في البيئات غير الإنتاجية أقل تعطيلا ولكنه قد لا يمثل بدقة تكوين بيئة الإنتاج بطرق مهمة للأمان.
إذا قمت بالتوزيع باستخدام IaC والأتمتة، ففكر فيما إذا كان يمكنك إنشاء نسخة معزولة من بيئة الإنتاج الخاصة بك للاختبار. إذا كانت لديك عملية مستمرة للاختبارات الروتينية، نوصي باستخدام بيئة مخصصة.
تقييم نتائج الاختبار دائما. الاختبار هو جهد مهدر إذا لم يتم استخدام النتائج لتحديد أولويات الإجراءات وإجراء تحسينات في المنبع. توثيق إرشادات الأمان، بما في ذلك أفضل الممارسات، التي تكشفها. الوثائق التي تلتقط النتائج وخطط المعالجة تعلم الفريق حول الطرق المختلفة التي قد يحاول المهاجمون اختراق الأمان بها. قم بإجراء تدريب أمان منتظم للمطورين والمسؤولين والمختبرين.
عند تصميم خطط الاختبار الخاصة بك، فكر في الأسئلة التالية:
كم مرة تتوقع تشغيل الاختبار، وكيف يؤثر على بيئتك؟
ما هي أنواع الاختبار المختلفة التي يجب تشغيلها؟
كم مرة تتوقع إجراء الاختبارات؟
اختبر حمل العمل بانتظام للتأكد من أن التغييرات لا تؤدي إلى مخاطر أمنية وأنه لا توجد أي تراجعات. يجب أن يكون الفريق مستعدا أيضا للاستجابة إلى عمليات التحقق من الأمان التنظيمية التي قد يتم إجراؤها في أي وقت. هناك أيضا اختبارات يمكنك تشغيلها استجابة لحادث أمني. توفر الأقسام التالية توصيات حول تكرار الاختبارات.
الاختبارات الروتينية
يتم إجراء الاختبارات الروتينية بوتيرة منتظمة، كجزء من إجراءات التشغيل القياسية وتلبية متطلبات التوافق. قد يتم إجراء اختبارات مختلفة في إيقاعات مختلفة، ولكن المفتاح هو أنها يتم إجراؤها بشكل دوري وعلى جدول زمني.
يجب دمج هذه الاختبارات في SDLC لأنها توفر دفاعا متعمقا في كل مرحلة. تنويع مجموعة الاختبار للتحقق من ضمانات الهوية وتخزين البيانات ونقلها وقنوات الاتصال. قم بإجراء نفس الاختبارات في نقاط مختلفة في دورة الحياة للتأكد من عدم وجود أي تراجعات. تساعد الاختبارات الروتينية على إنشاء معيار أولي. ومع ذلك، هذه مجرد نقطة بداية. أثناء الكشف عن مشكلات جديدة في نفس نقاط دورة الحياة، يمكنك إضافة حالات اختبار جديدة. تتحسن الاختبارات أيضا مع التكرار.
في كل مرحلة، يجب أن تتحقق هذه الاختبارات من صحة التعليمات البرمجية التي تمت إضافتها أو إزالتها أو إعدادات التكوين التي تغيرت من أجل الكشف عن تأثير الأمان لهذه التغييرات. يجب عليك تحسين فعالية الاختبارات مع الأتمتة، متوازنة مع مراجعات النظراء.
ضع في اعتبارك تشغيل اختبارات الأمان كجزء من البنية الأساسية لبرنامج ربط العمليات التجارية التلقائية أو تشغيل الاختبار المجدول. كلما أسرعت في اكتشاف مشكلات الأمان، كان من الأسهل العثور على التعليمات البرمجية أو تغيير التكوين الذي يسببها.
لا تعتمد فقط على الاختبارات التلقائية. استخدم الاختبار اليدوي للكشف عن الثغرات الأمنية التي يمكن للخبرة البشرية فقط التقاطها. الاختبار اليدوي جيد لحالات الاستخدام الاستكشافية والعثور على مخاطر غير معروفة.
الاختبارات المرتجلة
توفر الاختبارات المرتجلة التحقق من صحة الدفاعات الأمنية في نقطة زمنية. تؤدي تنبيهات الأمان التي قد تؤثر على حمل العمل في ذلك الوقت إلى تشغيل هذه الاختبارات. قد تتطلب الولايات التنظيمية عقلية إيقاف مؤقت واختبار للتحقق من فعالية استراتيجيات الدفاع إذا تصاعد التنبيه إلى حالة طوارئ.
إن فائدة الاختبارات المرتجلة هي الاستعداد لحادث حقيقي. يمكن أن تكون هذه الاختبارات دالة إجبارية لإجراء اختبار قبول المستخدم (UAT).
قد يقوم فريق الأمان بمراجعة جميع أحمال العمل وإجراء هذه الاختبارات حسب الحاجة. بصفتك مالك حمل العمل، تحتاج إلى تسهيل فرق الأمان والتعاون معها. التفاوض على ما يكفي من وقت الصدارة مع فرق الأمان حتى تتمكن من الاستعداد. الإقرار والتواصل مع فريقك وأصحاب المصلحة بأن هذه الاضطرابات ضرورية.
في حالات أخرى، قد يطلب منك إجراء الاختبارات والإبلاغ عن حالة أمان النظام ضد التهديد المحتمل.
المفاضلة: نظرا لأن الاختبارات المرتجلة هي أحداث تخريبية، فتوقع إعادة ترتيب المهام، مما قد يؤخر العمل المخطط له.
الخطر: هناك خطر المجهول. قد تكون الاختبارات المرتجلة جهودا لمرة واحدة دون عمليات أو أدوات ثابتة. ولكن الخطر السائد هو الانقطاع المحتمل للإيقاع التجاري. تحتاج إلى تقييم هذه المخاطر بالنسبة للفوائد.
اختبارات الحوادث الأمنية
هناك اختبارات تكشف عن سبب حادث أمني في مصدره. يجب حل هذه الثغرات الأمنية للتأكد من عدم تكرار الحادث.
تعمل الحوادث أيضا على تحسين حالات الاختبار بمرور الوقت من خلال الكشف عن الثغرات الموجودة. يجب على الفريق تطبيق الدروس المستفادة من الحادث ودمج التحسينات بشكل روتيني.
ما هي أنواع الاختبارات المختلفة؟
يمكن تصنيف الاختبارات حسب التكنولوجياومنهجيات الاختبار. اجمع بين هذه الفئات والنهج ضمن تلك الفئات للحصول على تغطية كاملة.
بإضافة اختبارات وأنواع متعددة من الاختبارات، يمكنك الكشف عن:
الثغرات في عناصر التحكم الأمنية أو عناصر التحكم التعويضية.
التكوينات الخاطئة.
الفجوات في طرق المراقبة والكشف.
يمكن أن يشير تمرين نمذجة المخاطر الجيد إلى المجالات الرئيسية لضمان تغطية الاختبار وتكراره. للحصول على توصيات حول نمذجة المخاطر، راجع توصيات لتأمين دورة حياة التطوير.
يمكن تشغيل معظم الاختبارات الموضحة في هذه الأقسام كاختبارات روتينية. ومع ذلك، يمكن أن تتكبد قابلية التكرار تكاليف في بعض الحالات وتتسبب في تعطيل. ضع في اعتبارك هذه المقايضات بعناية.
الاختبارات التي تتحقق من صحة مكدس التكنولوجيا
فيما يلي بعض الأمثلة على أنواع الاختبارات ومناطق تركيزها. هذه القائمة ليست شاملة. اختبر المكدس بأكمله، بما في ذلك مكدس التطبيق والواجهة الأمامية والواجهة الخلفية وواجهات برمجة التطبيقات وقواعد البيانات وأي عمليات تكامل خارجية.
أمان البيانات: اختبر فعالية تشفير البيانات وعناصر التحكم في الوصول لضمان حماية البيانات بشكل صحيح من الوصول والعبث غير المصرح به.
الشبكة والاتصال: اختبر جدران الحماية للتأكد من أنها تسمح فقط بنسبة استخدام الشبكة المتوقعة والمسموح بها وآمنة إلى حمل العمل.
التطبيق: اختبار التعليمات البرمجية المصدر من خلال تقنيات اختبار أمان التطبيق (AST) للتأكد من اتباع ممارسات الترميز الآمنة والقبض على أخطاء وقت التشغيل مثل تلف الذاكرة ومشكلات الامتيازات. للحصول على التفاصيل، راجع ارتباطات المجتمع هذه.
الهوية: تقييم ما إذا كانت تعيينات الأدوار والفحوصات الشرطية تعمل على النحو المنشود.
منهجية الاختبار
هناك العديد من وجهات النظر حول منهجيات الاختبار. نوصي بالاختبارات التي تمكن تتبع التهديدات من خلال محاكاة الهجمات في العالم الحقيقي. يمكنهم تحديد الجهات الفاعلة المحتملة للمخاطر وتقنياتها ومآثرها التي تشكل تهديدا لحمل العمل. اجعل الهجمات واقعية قدر الإمكان. استخدم جميع متجهات التهديد المحتملة التي تحددها أثناء نمذجة التهديد.
فيما يلي بعض مزايا الاختبار من خلال هجمات العالم الحقيقي:
عند جعل هذه الهجمات جزءا من الاختبار الروتيني، يمكنك استخدام منظور خارجي للتحقق من حمل العمل والتأكد من أن الدفاع يمكنه تحمل الهجوم.
بناء على الدروس التي تعلموها، يقوم الفريق بترقية مستوى معرفتهم ومهاراتهم. يحسن الفريق الوعي الظرفي ويمكنه تقييم استعداده الذاتي للاستجابة للحوادث.
تتضمن بعض الأمثلة على اختبارات المحاكاة اختبار الصندوق الأسود والعلبة البيضاء واختبار الاختراق وتمارين لعبة الحرب.
اختبار الصندوق الأسود والعلبة البيضاء
توفر أنواع الاختبار هذه منظورين مختلفين. في اختبارات الصندوق الأسود، لا تكون الخصائص الداخلية للنظام مرئية. في اختبارات المربع الأبيض، يتمتع المختبر بفهم جيد للتطبيق وحتى لديه حق الوصول إلى التعليمات البرمجية والسجلات وطوبولوجيا الموارد والتكوينات لإجراء التجربة.
الاختبارات التي تحاكي الهجمات من خلال اختبار الاختراق
يجري خبراء الأمان الذين ليسوا جزءا من فرق تكنولوجيا المعلومات أو التطبيقات في المؤسسة اختبار الاختراق أو التكبير. ينظرون إلى النظام بالطريقة التي يقوم بها المستخدمون الضارون بتحديد نطاق سطح الهجوم. هدفهم هو العثور على ثغرات أمنية من خلال جمع المعلومات وتحليل الثغرات الأمنية والإبلاغ عن النتائج.
قد يحتاج الممارسون إلى الوصول إلى البيانات الحساسة في المؤسسة بأكملها. اتبع قواعد التفاوض للتأكد من عدم إساءة استخدام الوصول. راجع الموارد المدرجة في الارتباطات ذات الصلة.
الاختبارات التي تحاكي الهجمات من خلال تمارين الألعاب الحربية
في هذه المنهجية للهجمات المحاكاة، هناك فريقان:
الفريق الأحمر هو الخصم الذي يحاول تصميم هجمات العالم الحقيقي. إذا كانت ناجحة، فستجد فجوات في تصميم الأمان الخاص بك وتقييم احتواء نصف قطر الانفجار لانتهاكاتها.
الفريق الأزرق هو فريق حمل العمل الذي يدافع ضد الهجمات. إنهم يختبرون قدرتهم على اكتشاف الهجمات والاستجابة لها ومعالجتها. يتحققون من صحة الدفاعات التي تم تنفيذها لحماية موارد حمل العمل.
إذا تم إجراؤها كاختبارات روتينية، يمكن أن توفر تمارين اللعبة الحربية رؤية مستمرة وضمانا بأن دفاعاتك تعمل كما هو مصمم. يمكن أن تختبر تمارين اللعبة الحربية عبر المستويات داخل أحمال العمل الخاصة بك.
الخيار الشائع لمحاكاة سيناريوهات الهجوم الواقعية هو التدريب على محاكاة الهجوم Microsoft Defender لـ Office 365.
لمزيد من المعلومات، راجع نتائج التحليلات والتقارير التدريب على محاكاة الهجوم.
للحصول على معلومات حول إعداد الفريق الأحمر والفريق الأزرق، راجع Microsoft Cloud Red Teaming.
تسهيل Azure
Microsoft Sentinel هو عنصر تحكم أصلي يجمع بين إدارة أحداث معلومات الأمان (SIEM) وقدرات الاستجابة التلقائية لتنسيق الأمان (SOAR). إنه يعمل على تحليل الأحداث والسجلات من مختلف المصادر المتصلة. استنادا إلى مصادر البيانات وتنبيهاتها، ينشئ Microsoft Sentinel الحوادث وينفذ تحليل التهديدات للكشف المبكر. من خلال التحليلات والاستعلامات الذكية، يمكنك البحث بشكل استباقي عن مشكلات الأمان. إذا كان هناك حادث، يمكنك أتمتة مهام سير العمل. أيضا، باستخدام قوالب المصنف، يمكنك الحصول بسرعة على رؤى من خلال المرئيات.
للحصول على وثائق المنتج، راجع قدرات التتبع في Microsoft Sentinel.
يوفر Microsoft Defender للسحابة فحص الثغرات الأمنية لمناطق تقنية مختلفة. للحصول على التفاصيل، راجع تمكين فحص الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft Defender - Microsoft Defender للسحابة.
تدمج ممارسة DevSecOps اختبار الأمان كجزء من عقلية التحسين المستمر والمستمر. تعد تمارين الألعاب الحربية ممارسة شائعة مدمجة في إيقاع الأعمال في Microsoft. لمزيد من المعلومات، راجع الأمان في DevOps (DevSecOps).
يدعم Azure DevOps أدوات الجهات الخارجية التي يمكن تشغيلها تلقائيا كجزء من البنية الأساسية لبرنامج ربط العمليات التجارية للتكامل المستمر/التوزيع المستمر. للحصول على التفاصيل، راجع تمكين DevSecOps باستخدام Azure وGitHub - Azure DevOps.
الروابط ذات الصلة
اتبع قواعد التفاوض للتأكد من عدم إساءة استخدام الوصول. للحصول على إرشادات حول تخطيط وتنفيذ هجمات المحاكاة، راجع المقالات التالية:
يمكنك محاكاة هجمات رفض الخدمة (DoS) في Azure. تأكد من اتباع النهج المنصوص عليها في اختبار محاكاة Azure DDoS Protection.
روابط المجتمع
اختبار أمان التطبيق: الأدوات والأنواع وأفضل الممارسات - تصف GitHub Resources أنواع منهجيات الاختبار التي يمكنها اختبار دفاعات وقت الإنشاء ووقت التشغيل للتطبيق.
يوفر معيار تنفيذ اختبار الاختراق (PTES) إرشادات حول السيناريوهات الشائعة والأنشطة المطلوبة لإنشاء خط الأساس.
OWASP العشرة الأوائل | توفر OWASP Foundation أفضل ممارسات الأمان للتطبيقات وحالات الاختبار التي تغطي التهديدات الشائعة.
قائمة التحقق من الأمان
راجع المجموعة الكاملة من التوصيات.