إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على توصية قائمة مراجعة Power Platform Well-Architected Security:
| SE:09 | إنشاء نظام اختبار شامل يجمع بين الأساليب لمنع المشكلات الأمنية والتحقق من صحة تطبيقات منع التهديدات واختبار آليات الكشف عن التهديدات. |
|---|
اختبار اختبار الاختبار هو الأساس الذي تقوم عليه عملية التصميم الأمني الجيد. الاختبار هو نموذج التحقق من الصحة للتأكد من أن عناصر التحكم تعمل كما هو مقصدها. كما أن الاختبار طريقة سباقة للكشف عن الثغرات الأمنية في النظام.
تأسيس الدقة في الاختبار من خلال الاختبار والتحقق من أكثر من منظور. ينبغي تضمين برامج خارجية تقوم باختبار النظام الأساسي والبنية الأساسية وتقييمات خارجية تختبر النظام مثل اختبار خارجي.
يوفر هذا الدليل توصيات لاختبار الأجهزة الأمنية الخاصة بعبء العمل الخاص بك. نفذ طرق الاختبار هذه لتحسين إمكانية حمل العمل المتوفر لديك من أجل تنفيذ هجمات والحفاظ على سرية الموارد وتكاملها وتوفرها.
التعريفات
| المصطلح | تعريف |
|---|---|
| اختبار أمان التطبيق (AST) | أسلوب دورة حياة تطوير أمان Microsoft (SDL) يستخدم منهجيات اختبار للمربعات التقنية والصندوق black-box للتحقق من الثغرات الأمنية في التعليمة البرمجية. |
| اختبار مربع Black-box | منهج اختبار للتحقق من سلوك التطبيق المرئي خارجيا بدون معرفة با داخليات النظام. |
| فريق أزرق | فريق حماية ضد هجمات الفريق الأحمر في مناورة للعبة. |
| اختبارات الاختراق | هو منهج اختبار يستخدم أساليب اختراق الأجهزة غير المهينة للتحقق من صحة الأجهزة الأمنية المثبت عليها النظام. |
| الفريق الأحمر | فريق يقوم بتمرين دور جهاز اقتراق النظام ومحاولة اختراقه في تمرينات للعبة |
| دورة حياة تطوير الأمان | مجموعة من الممارسات التي توفرها Microsoft والتي تدعم متطلبات ضمان الأمان والامتثال. |
| دورة حياة تطوير البرمجيات (SDLC) | عملية نظامية ومتعددة لتطوير أنظمة البرامج. |
| اختبار المربعات الخارجية | هو منهج اختبار حيث يكون هيكل التعليمة البرمجية معروفا للمعلومات المهيكلة. |
استراتيجيات التصميم الأساسية
إن الاختبار استراتيجية غير قابلة للتفاوض، خاصة بالنسبة إلى الأمان. كما تتيح لك إمكانية اكتشاف مشكلات الأمان بشكل فعال ومعالجةها قبل أن يتم استغلالها والتحقق من أن عناصر تحكم الأمان التي قمت بتطبيقها تعمل كما هي مصممة.
يجب أن يتضمن نطاق الاختبار التطبيق والبنية الأساسية والعمليات التلقائية والبشرية.
ملاحظة
تميز هذه الإرشادات بين الاختبار واستجابة الحادث. على الرغم من أن الاختبار هو آلية كشف تقوم في الحالات المثلى بإصلاح المشكلات قبل الإنتاج، إلا أنه ينبغي عدم الخلط بينه وبين الإصلاح أو التعامل مع الحالات التي تم إجراءها كجزء من استجابة الحادثة. وقد تم وصف الجانب المتعلق باسترداد الحوادث الأمنية في التوصيات الخاصة بالاستجابة لحادثة أمنية.
شارك في تخطيط الاختبار. وقد لا يصمم فريق حمل العمل حالات الاختبار. وغالبا ما تكون هذه المهمة مركزية في المؤسسة أو مكتملة بواسطة خبراء أمان خارجيين. ينبغي أن يكون فريق حمل العمل مشاركا في عملية التصميم هذه لضمان تكامل تأكيدات الأمان مع وظيفة التطبيق.
فكر مثل المفكرين. اصمم حالات الاختبار الخاصة بك مع افتراض أن النظام قد تم اختباره. بهذه الطريقة، يمكنك الكشف عن الثغرات الأمنية المحتملة وتحديد أولوية الاختبارات وفقا لذلك.
تشغيل الاختبارات بطريقة مهيكلة وبها عملية قابلة للتكرار. بناء الدقة في الاختبار حول الاختبار وأنواع الاختبارات وعوامل القيادة والنتائج المقصودة.
استخدام الأداة المناسبة لهذا المنصب. استخدم الأدوات التي تم تكوينها للعمل مع حمل العمل. إذا لم يكن لديك أداة، فشر الأداة. لا تبنيه. أدوات الأمان تخصصية إلى حد كبير، وبناء الأداة الخاصة بك قد يعرض لك مخاطر. استفد من الخبرة والأدوات التي تقدمها الفرق المركزية لOpsOps أو من خلال وسائل خارجية إذا كان فريق عمل العمل ليس لديه هذه الخبرة.
قم بإعداد بيئات منفصلة. ويمكن أن يتم تصنيف الاختبارات في مقدمة أو غير مدمكة. لا يتم العمل مع اختبارات عدم التدمير. فهي تشير إلى وجود مشكلة، ولكنها لا تقوم بتغيير الوظائف من أجل معالجة المشكلة. اختبارات الاختبارات الأولية هي وظائف مخبرية وقد يتم إلغاء وظائفها عن طريق حذف البيانات من قاعدة البيانات.
يوفر لك الاختبار في بيئات الإنتاج أفضل المعلومات ولكنه يتسبب في حدوث أكبر تعطيل. يمكنك إجراء اختبار غير مفوتر فقط في بيئات الإنتاج. تكون الاختبارات في بيئات عدم الإنتاج أقل تعطيلا في العادة ولكنها قد لا تمثل بدقة تكوين بيئة الإنتاج بطرق مهمة بالنسبة إلى الأمان.
يمكنك إنشاء نسخة مستنسخة منفردة من بيئة الإنتاج باستخدام ميزة نسخ البيئة. إذا كان لديك خطوط نشر تم إعدادها، يمكنك أيضا نشر الحلول الخاصة بك في بيئة اختبار خاصة.
تقييم نتائج الاختبار دائما. إن الاختبار جهد ضيع في حالة عدم استخدام النتائج لتحديد أولوية الإجراءات وتحسينات في المراحل التمهيدية. وثق إرشادات الأمان، بما في ذلك أفضل الممارسات، التي تكشفها. كما تقوم الوثائق التي تلتقط النتائج وخطط الإصلاح بتوضيف الفريق حول الطرق العديدة التي قد يحاول بها الملتقطون إعادة التفكير في الأمان. إجراء تدريب أمان منتظم للمطورين للمسؤولين والمطورين والمختبرين.
عندما تقوم بتصميم خطط الاختبار، فكر في الأسئلة التالية:
- كم مرة تتوقع تشغيل الاختبار، وكيف يؤثر ذلك على البيئة الخاصة بك؟
- ما هي أنواع الاختبار المختلفة التي يجب تشغيلها؟
كم مرة تتوقع تشغيل الاختبارات؟
اختبر حمل العمل بشكل منتظم للتأكد من عدم تقديم تغييرات لمخاطر الأمان والتأكد من عدم وجود أي تراجع. يجب أن يكون الفريق جاهزا أيضا للاستجابة لتحقق من صحة أمان المؤسسة التي قد يتم العمل بها في أي وقت. هناك أيضا اختبارات يمكنك تشغيلها استجابة لحادث أمان. توفر الأقسام التالية توصيات بشأن تكرار الاختبارات.
الاختبارات الروتينية
يتم استخدام الاختبارات الدورية في فترات منتظمة، كجزء من إجراءات التشغيل القياسية والوفاء بمتطلبات التوافق. قد يتم تشغيل العديد من الاختبارات في مواقع مختلفة، ولكن المفتاح هو أنه يتم إعادة نشر هذه الاختبارات دوريا وفي جدول.
ينبغي عليك دمج هذه الاختبارات في SDLC لأنها توفر تحليلا متعمقا في كل مرحلة. قم بتقوية مجموعة الاختبار للتحقق من تأكيدات الهوية وتخزين البيانات ونقلها وقنوات الاتصال. إجراء نفس الاختبارات في نقاط مختلفة في دورة الحياة لضمان عدم وجود أي تراجع. تساعد الاختبارات الروتينية في إنشاء قياس أداء أولي. ومع ذلك، ما هو إلا نقطة بداية. عند الكشف عن مشكلات جديدة في نفس نقاط دورة الحياة، يمكنك إضافة حالات اختبار جديدة. ويحسن مستوى الاختبارات أيضا مع معدل تكراره.
في كل مرحلة، يجب أن تحقق هذه الاختبارات من التعليمة البرمجية التي تمت إضافتها أو إزالتها، أو إعدادات التكوين التي تغيرت من أجل الكشف عن تأثير الأمان لهذه التغييرات. ينبغي عليك تحسين اختبار الاختبار في التنفيذ التلقائي، مع توازنه مع مراجعات النظراء.
فكر في تشغيل اختبارات الأمان كجزء من خطوط الإنتاج التلقائية أو التشغيل الاختباري المجدول. المعرف الذي تكتشف فيه مشكلات الأمان، كان من الأسهل العثور على التعليمة البرمجية أو تغيير التكوين الذي يتسبب فيها.
لا تستخدم البرامج الأولية في الاختبارات التلقائية فقط. استخدم الاختبار اليدوي للكشف عن الثغرات الأمنية التي لا يمكن إلا للخبرة بشري التقاطها. الاختبار اليدوي جيد الحالات استخدام استكشافي وبحث عن مخاطر غير معروفة.
الاختبارات التي تم اختبارها
توفر الاختبارات التي تم التحقق منها بشكل نقطة في الوقت التحقق من صحة الأجهزة الأمنية الأولية. تنبيهات الأمان التي قد تؤثر على حمل العمل في ذلك الوقت التي تؤدي إلى تشغيل هذه الاختبارات. قد تتطلب الحالات المهينة في المؤسسة توقفا مؤقتا واختبارا في المؤسسة للتحقق من فعالية استراتيجيات توقف التشغيل في حالة تصعيد التنبيه إلى حالة توقف عن العمل.
و الاستفادة من الاختبارات التي يتم اختبارها هي الاستعداد لحادث حقيقي. يمكن أن تكون هذه الاختبارات وظيفة إجبارية للقيام باختبار قبول المستخدم (UAT).
قد يراجع فريق الأمان جميع أعباء العمل وتشغيل هذه الاختبارات حسب الحاجة. إذا كنت مالك حمل عمل، ستحتاج إلى تسهيل فرق الأمان والتعاون معها. العمل مع فرق الأمان بما يكفي من الوقت مع العدادات حتى تتمكن من التحضير. يمكنك إبلاغ فريقك والمساهمين بأن هذه التغييرات ضرورية.
وفي حالات أخرى، قد يطلب منك تشغيل اختبارات والتقارير عن حالة الأمان للنظام في مقابل التهديدات المحتملة.
المقايضة: نظرا لأن الاختبارات المرتجلة هي أحداث تخريبية، توقع إعادة تحديد أولويات المهام، مما قد يؤخر الأعمال الأخرى المخطط لها.
المخاطر: هناك خطر المجهول. وقد تكون الاختبارات التي يتم اختبارها بشكل غير منشأ جهودها مرة واحدة دون إنشاء عمليات أو أدوات. ولكن مخاطرة حدوثها هي المقاطعة المحتملة للأعمال. تحتاج إلى تقييم هذه المخاطر مقارنة بالمزايا.
اختبارات الحوادث الأمنية
توجد اختبارات تكشف سبب حادثة الأمان في مصدرها. ويجب حل هذه المشكلات الأمنية للتأكد من عدم تكرار الحادث.
كما تحسن الحوادث أيضا من حالات الاختبار بمرور الوقت من خلال الكشف عن الكشف عن الحالات المحتملة الموجودة. وينبغي على الفريق تطبيق الدروس من الحادث على أن يتضمن التحسينات بشكل نظامي.
ما هي أنواع الاختبارات المختلفة؟
يمكن تصنيف الاختبارات حسب التقنية ومن خلال اختبار والمنهجيات. قم بدمج هذه الفئات والنهج داخل هذه الفئات للحصول على تغطية كاملة.
من خلال إضافة العديد من الاختبارات وأنواع الاختبارات، يمكنك الكشف عن:
- الاهتياء في عناصر التحكم الأمنية أو عناصر التحكم في المواد المهينة.
- التكوينات.
- الاستخدام التلقائي لطرق مراقبة الملاحظة والكشف.
يمكن أن يشير تمرين نمذجة التهديدات الجيد إلى المناطق الرئيسية لضمان تغطية الاختبار وتكراره. للحصول على توصيات حول نمذجة التهديدات، راجع التوصيات الخاصة بتأمين دورة حياة تطوير.
يمكن تشغيل معظم الاختبارات الموضحة في هذه الأقسام على أنها اختبارات الروتين. ومع ذلك، قد يتسبب التكرار في تكاليف في بعض الحالات وقد يتسبب في تعطيله. فكر في هذه المبادلات بعناية.
اختبارات التحقق من صحة مجموعة التقنيات
فيما يلي بعض الأمثلة على أنواع الاختبارات ومجالات التركيز الخاصة بها. لا يتم سرد هذه القائمة في القائمة. اختبر الكدس بالكامل، بما في ذلك كومة التطبيق والواجهة الواجهة والخلفية وم واجهات برمجة التطبيقات وقواعد البيانات وأية عمليات تكامل خارجية.
- أمان البيانات: اختبر فعالية تشفير البيانات وعناصر التحكم في الوصول لضمان حماية البيانات بشكل صحيح من الوصول غير المصرح به والتلاعب.
- الشبكة والاتصال: اختبر جدران الحماية الخاصة بك للتأكد من أنها تسمح فقط بحركة المرور المتوقعة والمسموح بها والآمنة لحمل العمل.
- التطبيق: اختبار التعليمات البرمجية المصدر من خلال تقنيات اختبار أمان التطبيق (AST) للتأكد من اتباع ممارسات الترميز الآمنة واكتشاف أخطاء وقت التشغيل مثل تلف الذاكرة ومشكلات الامتياز.
- الهوية: تقييم ما إذا كانت تعيينات الأدوار وعمليات التحقق الشرطية تعمل على النحو المنشود.
منهجية مفتوحة.
هناك العديد من وجهات النظر حول منهجيات الاختبار. ومن المستحسن إجراء اختبارات تتيح إمكانية مواجهة التهديدات عن طريق محاكاة هجمات واقعية. ويمكنهم تحديد مفاعلي التهديدات المحتملين، وتقنياتهم، ومآثرهم التي تشكل خطرا على حمل العمل. اجعل من هذه العمليات عملية مهينة قدر الإمكان. استخدم كافة التهديدات المحتملة التي تقوم بتحديدها أثناء نمذجة التهديدات.
فيما يلي بعض المميزات من الاختبار من خلال هجمات واقعية:
- وعندما تجعل هذه هجمات جزءا من الاختبار الروتيني، استخدم منظورا خارجيا للتحقق من حمل العمل والتأكد من أن هذا العمل قد يستخدم هجمة.
- واستنادا إلى الدروس التي تعلمها الفريق، يقوم بتحديث معرفته ومهارته. يحسن الفريق من الوعي الموقفي ويمكنه تقييم مدى الاستعداد للاستجابة ل الحوادث.
تتضمن بعض الأمثلة على الاختبارات المحاكاة اختبارا للمربعات black-box و white-box، واختبارات مخبرية، وتمرينات للعبة.
اختبار المربعين Black-box و White-box
تقدم أنواع الاختبار هذه منظورين مختلفين. في اختبارات المربعات غير المرئية، الداخلية للنظام. في اختبارات المربعات على الأجهزة الخارجية، يكون للمختبر فهم جيد للتطبيق، كما أنه لديه حق الوصول إلى التعليمات البرمجية وسجلات السجلات طبولوجيا الموارد والتكوينات الخاصة بإجراء الاختبار.
اختبارات محاكاة لهجمة من خلال اختبار الاختبار
يقوم خبراء الأمان، الذين ليسوا جزءا من فريق عمل IT أو فرق التطبيقات في المؤسسة، بإجراء اختبار عنونة ، أو إجراء اختبار اختباري. فهي تنظر إلى النظام بالطريقة التي بها يتم توسيع نطاق البرامج الضارة لأسطح هجمات. هدفهم هو العثور على هدف أمني من خلال جمع المعلومات وتحليل الثغرات الأمنية وإعداد تقارير عن النتائج.
قد تحتاج المؤسسات إلى الوصول إلى بيانات حساسة في المؤسسة بأكملها. اتبع قواعد الارتباط لضمان عدم إساءة استخدام الوصول. راجع الموارد المدرجة في المعلومات ذات الصلة.
اختبارات تحاكي الهجمات من خلال تمارين ألعاب الحرب
في هذه والمنهجية الخاصة بمحاكاة هجمات، يوجد فريقان:
- الفريق الأحمر هو محاولة عارضة لنمذجة هجمات واقعية. وإذا نجحت، يمكنك العثور على معلومات داخل تصميم الأمان الخاص بك وتقييم احتوائها على الأجهزة الأمنية الخاصة بهم.
- الفريق الأزرق هو فريق حمل العمل الذي ي حماية من هذه هجمات. فهم يختبرون قدراتهم على الكشف عن هذه العمليات والاستجابة لها والاستجابة لها. وهي تتحقق من صحة المعلومات التي تم تطبيقها لحماية موارد حمل العمل.
فإذا تم استخدامهم كعمليات اختبارية معتادة، فقد توفر تمارينات الألعاب ظهورا مستمرا وضمانا بأن المخبرين الخاصين بك يعملون كما هو مصمم. من المحتمل أن يتم اختبار تمارين للعبة عبر المستويات داخل أعباء العمل الخاصة بك.
من الخيارات الشائعة لمحاكاة سيناريوهات هجمات المكررة هو تدريب Microsoft Popular for Office 365 Attack.
لمزيد من المعلومات، راجع Insights والتقارير الخاصة بتدريبات العمل المهجم.
للحصول على معلومات حول إعداد فريق أحمر وفريق أزرق، راجع Microsoft Cloud Red Teaming.
تبسيط Power Platform
يتيح حل Microsoft Sentinel Microsoft Power Platform للعملاء إمكانية الكشف عن الأنشطة المتنوعة، مثل:
- تنفيذ Power Apps من مناطق جغرافية غير مصرح بها
- تدمير البيانات المشبوهة بواسطة Power Apps
- حذف Power Apps بشكل جماعي
- هجمات التصيد الاحتيالي التي تم القيام بها من خلال Power Apps
- نشاط تدفق Power Automate عن طريق الموظفين المغادرين
- موصلات Microsoft Power Platform المضافة إلى بيئة.
- تحديث نهج بيانات Microsoft Power Platform أو إزالتها
لمزيد من المعلومات، راجع نظرة عامة على حل Microsoft Sentinel لـ Microsoft Power Platform.
للحصول على وثائق المنتج، راجع إمكانات "تماوس" في Microsoft Sentinel.
توفر Microsoft الخاصة ب Microsoft ، الخاصة ب Cloud، فحصا لقابلية التأثر بحثا عن مناطق التقنية المختلفة. لمزيد من المعلومات، راجع تمكين إجراء فحص الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft ،
تكامل ممارسة DevSecOps اختبار الأمان كجزء من اختبار التحسين المتواصل والمستمر. التدريبات على اللعب هي ممارسة شائعة متكاملة في بيئة الأعمال التجارية في Microsoft. لمزيد من المعلومات، راجع الأمان في DevOps (DevSecOps).
Azure DevOps يدعم برنامج أتمتة البرامج (CI/CD) أدوات الأطراف الخارجية التي يمكن أن يتم تشغيلها آليا كجزء من خطوط الإنتاج المستمرة للتكامل/النشر المتواصل. لمزيد من المعلومات، راجع تمكين DevSecOps باستخدام Azure وGitHub.
المعلومات المرتبطة
يمكن الاطلاع على أحدث اختبارات الاختراق وتقييمات الأمان على مدخل Microsoft Service Trust.
تقوم Microsoft بإجراء اختبار واسع النطاق للخدمات السحابية ل Microsoft. يتضمن هذا الاختبار اختبارا اختباريا، مع نشر النتائج على مدخل ثقة الخدمة لمنظمتك. قد تقوم مؤسستك بإجراء اختبار المؤسسة الخاص بك على Microsoft Power Platform Microsoft Dynamics 365 خدمات. يجب أن تتبع جميع اختبارات الاختراق قواعد المشاركة في اختبار اختراق السحابة من Microsoft. من المهم تذكر أنه في العديد من الحالات، تستخدم Microsoft Cloud بنية تحتية مشتركة لاستضافة الأصول والأصول التي تنتمي إلى عملاء آخرين. يجب عليك تحديد كافة اختبارات فحص العملاء على أصولك وتجنب النتائج غير المقصودة للعملاء الآخرين من حولك.
اتبع قواعد المشاركة للتأكد من عدم إساءة استخدام الوصول. تعرف على المزيد حول تخطيط وتنفيذ هجمات المحاكاة:
يمكنك محاكاة هجمات رفض الخدمة (DoS) في Azure. تأكد من اتباع السياسات المتبعة في اختبار حماية Azure DDos.
قائمة مراجعة الأمان
راجع مجموعة التوصيات الكاملة.