يمكننا القول بسهولة أن القرصنة الأخلاقية مفهوم مربك. فكثير من الناس لا يفهمون ما هو القرصنة الأخلاقية وما هو القرصنة الأخلاقية. هل القرصنة الأخلاقية وظيفة حقيقية؟ لماذا ترغب الشركة في دفع مبلغ كبير مقابل القرصنة الأخلاقية؟ لماذا يحصل الناس على تدريبات القرصنة الأخلاقية؟ دعونا نشرح ما هو القرصنة الأخلاقية!
أولاً، لنبدأ بتاريخ القرصنة الأخلاقية. في السنوات العشر الماضية، تعرضت آلاف المؤسسات للاختراق في السنوات العشر الماضية وخسرت ملايين الدولارات وسمعتها وعملائها. كما واجهت هذه المؤسسات مشاكل قانونية بسبب عدم قدرتها على تأمين معلومات عملائها التي تمت سرقتها. والنقطة اللافتة للنظر هنا هي أن بعض هذه المؤسسات، مثل Sony و Yahoo و RSA، هي مؤسسات كبيرة. وهم ينفقون مبلغًا كبيرًا على الأمن حتى لا يتعرضوا للاختراق؛ حتى لا تتعرض معلوماتهم للسرقة. لهذا السبب يختارون القرصنة الأخلاقية ويقررون توظيف مخترق يحاول اختراق نظامهم ويخبرهم كيف تمكن من اختراقهم. تعمل القرصنة الأخلاقية على معرفة نوع نقاط الضعف في نظام الشركة.
يتم توظيف محترفي القرصنة الأخلاقية من قبل الشركات لاختراق أنظمتها وتقديم تقرير بنقاط الضعف. فهم يساعدون الشركة على معرفة الاحتياطات التي يمكنهم اتخاذها.
لذا تُعد القرصنة الأخلاقية مهارة قيّمة هذه الأيام، ولهذا السبب هناك العديد من شهادات الأمن السيبراني وكذلك العديد من دورات الأمن السيبراني للحصول على تلك الشهادات.
ما هي مراحل القرصنة الأخلاقية؟
تحاكي القرصنة الأخلاقية ما تقوم به القرصنة الخبيثة لاختراق الشركات. تتكون القرصنة الأخلاقية من 5 مراحل مختلفة كما هو موضح في تدريب شهادة CISSP:
المرحلة 1: الاستطلاع
خلال هذه المرحلة، يقوم المخترقون الأخلاقيون بجمع المعلومات عن ضحيتهم. وهي في الأساس معلومات سلبية متاحة في السجلات العامة والمواقع الإلكترونية ووسائل التواصل الاجتماعي. ويقومون بجمع معلومات مثل رسائل البريد الإلكتروني، ومعلومات الاتصال، والهوايات، والأصدقاء، والأنشطة، وما إلى ذلك.
خلال المرحلة الأولى، يمكن للقراصنة الأخلاقيين جمع المعلومات التقنية أيضاً، مثل عنوان IP الخاص بالضحية، إذا كانت الضحية موقعاً إلكترونياً. يمكن للقراصنة الأخلاقيين الحصول على معلومات التسجيل، والبريد الإلكتروني ورقم الهاتف الخاص بالشخص الذي يمكن الاتصال به. من السهل جداً الحصول على كل هذه المعلومات من الإنترنت. يمكن للقرصان الأخلاقي أيضًا الحصول على بعض المعلومات السرية مثل التاريخ الوظيفي أو المعلومات الأساسية.
المرحلة 2: المسح
خلال المرحلة الثانية، يقوم القراصنة الأخلاقيون أيضاً بجمع معلومات عن ضحيتهم. ولكن هذه المرة معلومات نشطة مثل المنافذ المفتوحة على كمبيوتر الضحية، والخدمات والتطبيقات، ونظام التشغيل الذي تستخدمه الضحية وطوبولوجيا الشبكة إذا كان الهدف شبكة. وباستخدام هذه المعلومات، يقوم المخترق الأخلاقي بإجراء بحث متقدم لمعرفة الخدمة أو المنفذ أو التطبيق أو نظام التشغيل الضعيف الذي يمكن استخدامه لاختراق النظام. وكيف يمكن للهاكر الأخلاقي اختراق ذلك النظام باستخدام تلك الثغرات.
المرحلة 3: الوصول إلى النظام
من المرحلتين الأولى والثانية، سيكون لدى المخترق الأخلاقي فكرة واضحة عن أنظمة الضحية ونقاط الضعف التي يمكنه استخدامها لاختراق النظام والوصول إلى المعلومات. لذلك سيبدأ باستخدامها للوصول إلى النظام. قد يكون النظام حاسوباً شخصياً أو شبكة حاسوبية أو موقعاً إلكترونياً أو شبكة لاسلكية.
المرحلة 4 من القرصنة الأخلاقية: الحفاظ على الوصول
بعد المرحلة الثالثة، يحتاج القرصان الأخلاقي الذي أصبح الآن قادراً على اختراق النظام إلى الحفاظ على إمكانية وصوله حتى لا يضطر إلى تكرار كل تلك الخطوات في المستقبل. يمكن القيام بذلك بسهولة عن طريق دمج نفسه في أي عملية من عمليات النظام، وبذلك لن يتمكن مالك النظام من التخلص من المخترق الأخلاقي. لذلك سيكون المخترق متجسسًا دائمًا على هذا النظام.
المرحلة 5 من القرصنة الأخلاقية: تغطية المسارات
نظرًا لأن الاختراق جريمة، فإن أي مخترق خبيث بعد اختراق أي نظام سيحاول حذف جميع السجلات وأي دليل قد يستخدم ضده. يحتاج القرصان الأخلاقي إلى اتباع نفس الخطوات للتحقق مما إذا كان نظام التسجيل في الشركة فعالاً والتقاط السجلات بشكل صحيح أو يمكن التلاعب به من قبل أي مخترق خبيث.
وأخيراً، بعد كل هذه المراحل، يحتاج القرصان الأخلاقي إلى كتابة تقرير لشرح ما قام به في كل مرحلة، وما هي النتائج التي توصل إليها والإجراءات المضادة المناسبة التي يوصي بها.
القرصنة الأخلاقية هي نوع جديد من الوظائف الأمنية التي يزداد الطلب عليها في السوق اليوم. ويحصل المخترق الأخلاقي على أجر جيد مقابل القيام بذلك، خاصةً إذا كان مؤهلاً ويحمل بعض الشهادات الاحترافية. إذا كنت ترغب في الحصول على شهادة القرصان الأخلاقي المعتمد (CEH)، فلا تنتظر أكثر من ذلك للتسجيل في تدريب شهادة CEH. إذا كنت ترغب في معرفة المزيد عن تجديد شهادة CEH، يمكنك قراءة المقال بالضغط على الرابط.
يمكنك التسجيل في تدريب CISSP المجاني لمعرفة المزيد عن شهادة CISSP.
السيرة الذاتية للمؤلف:
محمد عاطف، خبير أمن المعلومات الذي يتمتع بخبرة تزيد عن 20 عاماً في مجال أمن المعلومات واختبار الاختراق وإدارة أمن المعلومات (معتمد من CISSP)، ومركز البيانات، وإدارة النظام، وإدارة MS SharePoint، وإدارة البنية التحتية للشبكة. معتمد في إدارة العديد من المشاريع المتعلقة بأمن المعلومات وخطة إدارة أمن المعلومات وخطة استمرارية تصريف الأعمال وخطة استمرارية تصريف الأعمال وتنفيذ SharePoint وISO 27001 وتنفيذ البنية التحتية ومركز البيانات. نشر كتابين. تشمل مؤهلاته ماجستير في إدارة الأعمال في إدارة تكنولوجيا المعلومات مدعوماً بالعديد من الشهادات المهنية مثل CISSP وITIL وMS SharePoint وCCNP وCEH.
القرصنة الأخلاقية 2025: لماذا تدفع الشركات ثمن تعرضها للاختراق؟
About the Author
