اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

Ethical Hacking یا هک اخلاقی چیست و هکر قانونمند چه کسی است؟

هک اخلاقی چیست

هک اخلاقی یک فرآیند مجاز برای کسب دسترسی غیرمجاز به شبکه، کامپیوتر و داده‌های مشخص است. این امر توسط افراد با تجربه در زمینه امنیت صورت می‌گیرد که به هکرهای کلاه سفید معروفند. هدف آنها بهبود وضعیت امنیتی یک سازمان است. به روش‌هایی که یک فرد با استفاده از آنها می‌تواند راهبردها و اقدامات یک هکر مخرب را کپی کند، هک اخلاقی گفته می‌شود. هکرهای قانونمند، آسیب‌پذیری‌ها را شناسایی کرده و راه‌هایی برای برطرف کردن آنها، قبل از استفاده هکرهای مخرب از این آسیب‌پذیری‌ها، پیشنهاد می‌دهند. آنها بطور فعال و آینده‌ نگرانه کار می‌کنند و در همین حال تست نفوذ  سیستم‌ها و شبکه‌ها را طبق تصویب سازمان انجام می‌دهند.

پروتکل‌های هک اخلاقی چیست

  • قانونی ماندن مهم‌ترین کلید هک اخلاقی است. هکرهای قانونمند ابتدا باید مصوبه مدیریت را پیش از انجام ارزیابی امنیتی دریافت کنند.
  • مشخص کردن محدوده تایید شده برای انجام هک اخلاقی. حوزه ارزیابی امنیت باید به مرزهای قانونی از پیش تعریف شده محدود شود.
  • با گزارش دادن آسیب‌پذیری‌های مشخص شده طی ارزیابی، یک هکر قانومند راه‌های برطرف‌سازی آنها را مطرح می‌کند.
  • طبق دستورالعمل انگیزه اخلاقی، امنیت داده‌ها یکی از وظایف مهم هکرهای قانونمند است. آنها باید با سیاست عدم افشای سازمان موافقت کنند.

مشکلات قابل شناسایی با هک اخلاقی

در هک اخلاقی، از تکنیک‌های Black Hat Hacking استفاده می‌شود تا آسیب‌پذیری‌های امنیتی ارزیابی شود. در ابتدا، هکرهای قانونمند با انجام اکتشافات اولیه، تا جای ممکن اطلاعات جمع‌آوری می‌کنند. این اطلاعات با انجام تست خودکار و دستی در منطقه مجاز برای حمله جمع‌آوری می‌شود. زمانی که آسیب‌پذیری‌ها شناسایی شد، هکرهای قانونمند برای توضیح عواقب و مشکلات احتمالی، از آنها استفاده می‌کنند.

رایج‌ترین آسیب‌پذیری‌هایی که هک اخلاقی می‌تواند کشف کند عبارت است از:

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


احراز هویت نادرست

این مشکل به کاربر این امکان را می‌دهد تا از کنار فرآیند احراز هویت در یک برنامه کاربردی وب بگذرد. مهاجم می‌تواند حملات خودکاری مانند Credential Surfing انجام دهد. بخشی از Ethical Hacking این است که امنیت احراز هویت را تست کند.

پیکربندی‌های ‌نادرست امنیتی

این مورد در لیست برترین آسیب‌پذیری‌های OWASP قرار دارد و درباره تصور غلط یک سازمان با توجه به وضعیت امنیتی آن است. در حالی‌که سازمان تصور اشتباهی از داشتن محیط ایمن در شرکت دارد،  Ethical Hacking به تعیین Gapهای امنیتی که ممکن است منجر به تهدیدات جدی شوند، کمک می‌کند.

حملات تزریقی

یک مسیر حمله گسترده که مهاجم بوسیله آن ورودی‌های غیرقابل اطمینان به برنامه کاربردی تزریق می‌کند. این کد یا Query توسط یک تفسیرگر که اجرای برنامه را تغییر می‌دهد پردازش می‌شود. هکر قانونمند یا Ethical Hacker در نفوذ به کد نویسی برنامه کاربردی می‌تواند گوشه ضعیفی که به مهاجم امکان تزریق کد را می‌دهد، پیدا کند.

مشاوره رایگان تست نفوذ توسط کارشناسان شرکت APK – تلفن تماس: 88539044-021

Componentهایی با آسیب‌پذیری‌های شناخته شده

این موارد معمولا توسط توسعه‌دهندگان نادیده گرفته می‌شود، بنابراین توسط مهاجمین مورد سواستفاده قرار می‌گیرند. ابزارهای خودکار می‌توانند تا حدی برای شناسایی اجزای آسیب‌پذیر به‌کار گرفته شوند. درحالیکه تعداد کمی از آسیب‌پذیری‌ها برای پیدا شدن و از بین رفتن، نیاز به نفوذ عمیق‌تری دارند.

نمایش داده‌های خطرناک

این مورد هم در لیست 10 آسیب‌پذیری برتر OWASP قرار دارد زیرا می‌تواند داده‌های حیاتی را در معرض خطر قرار دهد. داده‌هایی که ممکن است شامل شماره مخاطبین، رمزهای عبور، اطلاعات کارت اعتباری، داده‌های سلامت شخصی و بسیاری دیگر باشند. این اطلاعات درصورت نمایش یافتن ممکن است منجر به نقض امنیتی بنیادینی شود.

پس از انجام تست نفوذ، هکرهای قانونمند یافته‌های خود را لیست کرده و یک گزارش دقیق آماده می‌کنند. این سند آسیب‌پذیری‌های پیگیری شده و فرآیند کاهش آنها را توضیح می‌دهد.

آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد

ویدیوهای بیشتر درباره امنیت

مدارک و مهارت‌های مورد نیاز برای هکر قانونمند

هکرهای قانونمند نقش مهمی در تصحیح وضعیت امنیتی یک سازمان دارند. آنها کارشناسان موضوعی با مهارت‌های گسترده کامپیوتری هستند. بطور خلاصه مهارت‌هایی که لازم است یک هکر قانونمند یا هکر اخلاق‌گرا دارا باشد عبارتند از:

  • مهارت در شبکه و سیستم‌های عملیاتی
  • تخصص در زبان برنامه‌نویسی
  • دانش امنیت اطلاعات

شناخته‌شده‌ترین مدرک مورد نیاز هک اخلاقی Certified Ethical Hacker یا  C|EH است که مطلوب‌ترین مدرک امنیتی برای هر فرد حرفه‌ای در زمینه امنیت اطلاعات است. این مدرک کاربر را در جایگاه هکر قرار داده و به او این امکان را می‌دهد تا مانند مهاجم فکر کرده و رفتار کند. با بودن در جایگاه یک مهاجم، می‌توان تست را سریع‌تر انجام داده و از سیستم با تاثیر بیشتر دفاع کرد. C|EH تمامی پنج فاز Ethical Hacking را پوشش می‌دهد. این پنج فاز شامل شناسایی اولیه، کسب دسترسی، شمارش، حفظ دسترسی و پوشش پیگردی‌هاست. این مهم پیشرفته‌ترین و جامع‌ترین واحد درسی هک اخلاقی در دنیاست و دارای 20 مورد از بروزترین دامین‌های امنیتی و 340 مورد از آخرین متد‌شناسی هاست.

بیشتر بخوانید:

مرکز عملیات امنیت SOC چیست و در مقابله با حملات سایبری چه اهمیتی دارد

تحلیل و بررسی Cyber Resilience یا انعطاف پذیری امنیت سایبری

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK