ما يمكن أن يكتشفه اختبار قلم إنترنت الأشياء

ما يلي التحديات الأمنية شائعة بين بنيات إنترنت الأشياء، ويعد اختبار قلم إنترنت الأشياء أمرًا أساسيًا في التعرف عليها.

كلمات مرور ضعيفة

تعد كلمات المرور الضعيفة إحدى أسهل الطرق التي يمكن للمهاجم من خلالها الدخول إلى النظام. رغم المبادرات المغايرة لكلمات المرور الضعيفة المرتبة الثانية في قائمة OWASP لنقاط الضعف الشائعة في إنترنت الأشياء. يمكن لاختبار القلم العثور على كلمات مرور ضعيفة أو يمكن تخمينها بسهولة.

نظرًا لأن كلمات المرور الضعيفة معرضة لهجمات القوة الغاشمة، فعادةً ما تكون هذه هي الاختبارات الأولى التي يتم إجراؤها. سيحاول المختبرون أيضًا الاعتراض، وهو ما يكون أكثر نجاحًا عندما لا تكون بروتوكولات تسجيل الدخول مشفرة. قم بإجراء اختبارات داخلية وخارجية لكلمات المرور. في الاختبارات الداخلية، يتظاهر مختبرو القلم بأنهم موظفون، على سبيل المثال، ويحاولون القيام بذلك مهاجمة الشبكة من الداخل. في الاختبارات الخارجية، لا يستطيع القائم بالاختبار الوصول إلى الشبكة الداخلية للشركة.

خدمات الشبكة غير الآمنة

وهنا يكمن الخطر عندما تكون الأجهزة متصلة بالإنترنت، وهو أمر معطى لعمليات نشر إنترنت الأشياء. يمكن لأي نقاط ضعف على مستوى الشبكة أن تعرض سلامة البيانات وسريتها وتوافرها. مرة أخرى، يجب إجراء اختبارات القلم الداخلية والخارجية. الهدف هو تحديد مقدار البيانات التي يمكن اختراقها، إن وجدت.

يعد اختبار القلم المعتمد على البيانات خيارًا آخر. في هذه الحالات، يستخدم المُختبر بيانات أو معلومات معينة حول الهدف للوصول إليه.

ضع في اعتبارك أيضًا إجراء اختبارات عمياء ومزدوجة التعمية. في الحالة الأولى، لا يكون لدى المختبرين أي معلومات حول النظام الذي يحاولون اختراقه. وفي الحالة الأخيرة، لا يكون الموظفون على علم بإجراء الاختبار. وهذا يتحقق من أمان النظام ووقت استجابة الموظفين.

مكونات قديمة أو آليات تحديث قذرة

جميع الاجهزة تحتاج إلى تحديث لتظل آمنة. ولكن لا يتم إنشاء كافة التحديثات بالتساوي. إذا لم تكن هناك آلية تحديث آمنة، فقد تضر التحديثات أكثر مما تنفع، مما يعرض الأجهزة للخطر. لمنع حدوث الثغرات الأمنية، قم بتسليم التحديثات من خلال القنوات الآمنة، وتأكد من التحقق منها قبل تطبيقها. تأكد من عدم تمكن المهاجمين من التراجع عن التحديث. يمكن للمختبرين استخدام عدة أنواع من اختبارات القلم في هذه المرحلة، بما في ذلك الاختبارات الداخلية والخارجية والمعتمدة على البيانات والمكفوفين.

تخزين البيانات ونقلها بشكل غير آمن

نقل البيانات وتخزينها هما نقاط الضعف الكلاسيكية التشفير الضعيف ونقص المصادقة هما السببان المعتادان. بالإضافة إلى ذلك، قد تتطلب أساليب التشفير والمصادقة نفسها التحديث. يمكن لاختبار القلم تحديد نقاط الضعف هذه، وبالتالي القضاء عليها.

كيفية إجراء اختبار قلم إنترنت الأشياء

يتضمن اختبار القلم المراحل الخمس التالية:

1. التخطيط وجمع المعلومات.
2. فحص النظام لفهم كيفية استجابته للهجمات.
3. الوصول عن طريق استغلال نقاط الضعف.
4. اختبار المدة التي تسمح فيها نقاط الضعف للمهاجم بالحفاظ على إمكانية الوصول.
5. تحليل النتائج.

في مرحلة التخطيط، قم بإعداد الوثائق. قرر ما سيتم فعله وحدد التوقعات. حدد أهدافك وقم بإنشاء خطة عمل. بالإضافة إلى ذلك، تحديد أصحاب المصلحة الرئيسيين وإجراء مقابلات معهم؛ سيكونون هم الذين يحددون القيود والنتائج المرجوة.

بعد ذلك، قم بمسح النظام. يقوم المُختبر بالتحقق من الهجمات المختلفة ونواقل التهديد من خلالها الطرق اليدوية والآلية. بمجرد تحديد نقاط الضعف، ابدأ الاختبار. يحاول المُختبر الوصول، وفي حالة نجاحه، يراقب مدة الحفاظ على الوصول.

تساعدك كل هذه الاختبارات على تحديد مصدر الثغرة الأمنية وسببها. على سبيل المثال، قد تجد عناصر تحكم في الوصول مفقودة أو برامج قديمة أو بيانات غير مشفرة.

تحليل النتائج. حدد بالضبط أين ومتى ظهرت الثغرات الأمنية لأول مرة، وتصنيف المخاطر والأساليب اللازمة لتصحيح المشكلة.

على الرغم من فوائد اختبار القلم، فمن الممكن أن النتائج التي تحصل عليها ليست كما توقعت. لتجنب ذلك، تأكد من تحديد التوقعات الصحيحة وتحديد أصحاب المصلحة الرئيسيين. يندفع الكثيرون خلال المرحلة الأولى ويركزون بدلاً من ذلك على الاختبارات نفسها. هذا خطأ. إذا كانت الخطة غير صحيحة ولم يفهم القائمون على الاختبار ما يجب عليهم فعله بالضبط، فقد يتم تفويت البيانات المهمة.

لا تتجاوز أي خطوة مهما بدت بلا معنى. الأشخاص المناسبون والأولويات الصحيحة هم مفاتيح نجاح اختبار اختراق إنترنت الأشياء.

لورا فيج هي مهندسة كمبيوتر ولديها شغف بالكتابة. وبعد العمل في المجال الأكاديمي لمدة سبع سنوات، غيرت حياتها المهنية وأصبحت كاتبة متفرغة.