أثناء اختبار اختراق البنية التحتية ، ينصب التركيز على تقييم أمن البنية التحتية لتكنولوجيا المعلومات للمؤسسة ، بما في ذلك الشبكات والخوادم وأنظمة التشغيل ومكونات البنية التحتية الأخرى. الهدف هو تحديد نقاط الضعف والضعف المحتملة التي يمكن للمهاجمين استغلالها. فيما يلي الخطوات الرئيسية المتضمنة في مرحلة اختبار اختراق البنية التحتية:

1. تعريف نطاق:
   • حدد نطاق وحدود اختبار اختراق البنية التحتية ، بما في ذلك الشبكات والأنظمة والمكونات المحددة التي سيتم اختبارها.
   • الحصول على التفويض المناسب وتوضيح أي متطلبات قانونية ومتطلبات الامتثال.
2. استطلاع:
   • اجمع معلومات حول البنية التحتية المستهدفة من خلال تقنيات سلبية مثل ذكاء مفتوح المصدر (OSINT) وتقنيات نشطة مثل مسح الشبكة والتعداد.
   • تحديد نطاقات IP والشبكات الفرعية والمنافذ المفتوحة والخدمات والمعلومات الهامة الأخرى حول البنية التحتية المستهدفة.
3. فحص الثغرات الأمنية:
   • قم بإجراء فحص آلي للثغرات الأمنية باستخدام أدوات مثل Nessus أو OpenVAS أو Qualys لتحديد نقاط الضعف المعروفة في الأنظمة المستهدفة.
   • قم بتحليل نتائج فحص الثغرات الأمنية لتحديد الأولويات والتخطيط لمزيد من أنشطة الاختبار.
4. الاستغلال وما بعد الاستغلال:
   • إجراء اختبار يدوي واستغلال نقاط الضعف المحددة لتقييم تأثيرها في العالم الحقيقي.
   • استغلال الثغرات الأمنية للحصول على وصول غير مصرح به ، أو تصعيد الامتيازات ، أو التحويل إلى أنظمة أخرى ، أو سرقة البيانات.
   • اختبر فعالية الضوابط الأمنية ، مثل جدران الحماية وأنظمة كشف التسلل (IDS) وضوابط الوصول.
5. تكسير كلمات المرور واختبار القوة الغاشمة:
   • حاول كسر كلمات المرور أو تنفيذ هجمات القوة الغاشمة لتقييم قوة بيانات اعتماد المستخدم وتحديد آليات المصادقة الضعيفة.
   • استخدم أدوات مثل John the Ripper أو Hydra أو Hashcat لأتمتة محاولات اختراق كلمات المرور.
6. الحركة الجانبية:
   • إذا كان ذلك ممكنًا ، فحاول التحرك بشكل جانبي داخل الشبكة عن طريق استغلال الأنظمة الضعيفة أو التكوينات الضعيفة أو التهيئة الخاطئة.
   • تقييم القدرة على التحول من الأنظمة المخترقة إلى مكونات البنية التحتية الحيوية الأخرى.
7. التصعيد امتياز:
   • اختبر فعالية ضوابط الوصول وإدارة الامتيازات من خلال محاولة تصعيد الامتيازات أو إساءة استخدام التهيئة الخاطئة.
   • تقييم تأثير تصعيد الامتياز الناجح على الأمن العام للبنية التحتية.
8. اختبار رفض الخدمة (DoS):
   • اختبر مرونة الشبكة والأنظمة ضد هجمات DoS عن طريق توليد كميات كبيرة من حركة المرور أو الطلبات كثيفة الاستخدام للموارد.
   • قم بتقييم قدرات الاستجابة والاسترداد للبنية التحتية أثناء هجوم DoS وبعده.
9. التوثيق والتقرير:
   • توثيق جميع النتائج ، بما في ذلك نقاط الضعف والأنظمة المستغلة والتأثير المحتمل على البنية التحتية.
   • تقديم توصيات مفصلة للمعالجة ، بما في ذلك خطوات التخفيف وتغييرات التكوين وأفضل الممارسات.
   • تحديد أولويات الثغرات الأمنية بناءً على شدتها وتأثيرها المحتمل على أمن البنية التحتية.
10. استخلاص المعلومات ونقل المعرفة:

• قم بإجراء جلسة استخلاص المعلومات مع أصحاب المصلحة ، بما في ذلك مسؤولي تكنولوجيا المعلومات ومالكي النظام وموظفي الأمن.
• شارك النتائج والتوصيات والأفكار المكتسبة أثناء مشاركة اختبار اختراق البنية التحتية.
• تقديم إرشادات حول التخفيف من نقاط الضعف التي تم تحديدها وتحسين الأمن العام للبنية التحتية.

يعد التواصل المنتظم مع أصحاب المصلحة خلال عملية اختبار اختراق البنية التحتية أمرًا ضروريًا لضمان فهم واضح للأهداف ومعالجة أي مخاوف وتسهيل جهود العلاج الفعالة.