السلام عليكم و رحمة الله
انا مقدمة على برنامج الهيئة الوطنية للامن السيبراني و تم الترشيح
ماهي اسئلة الاختبار المدرجة و المتطلبات في هذا البرنامج cyber pro
ارجو الافادة
السلام عليكم
* من سيجري اختباري ؟
هو دائما ما يجري الاختبار عن طريق الانترنت بواسطة متخصصي الامن .
* ما هي الاختبارات ؟
1- اختبار إدراك المستخدم : تُعد اختبارات التوعية للمستخدمين ذات قيمة خاصة في العثور على نقاط الضعف المادية والرقمية. تتعلم كيف تفهم مدى فعالية الإستراتيجيات الحالية للدفاع ضد التصيّد الاحتيالي وما يمكن أن تقوم به الشركة لتحسين تعليم الأمن السيبراني للموظفين.
بعد اختبار توعية المستخدمين ، يُظهر تقرير شامل الإجراءات التي يجب اتخاذها لمنع الشركة من الوقوع ضحية لهجمات التصيد الاحتيالي في المستقبل
* ضيوف الغموض
وفقًا للقواعد وسيستخدم جميع الوسائل الضرورية لسرقة البيانات الحساسة. تقييم الضيف الغامض هو اختبار هادف لدفاعات منظمة ما يتم تنفيذها في البيئة الحية.
يتم الاتفاق على نطاق اختبار الأمان الإلكتروني هذا مسبقًا ، ويمكن أن يشمل جميع أجزاء المنظمة (داخلية أو خارجية). يتم الوصول إلى طبقات الشبكة والتطبيق بالإضافة إلى الأمان المادي والوعي الأمني. أثناء التقييم ، يتم استخدام الطرق القانونية غير المدمرة للوصول إلى المكونات المعرضة للخطر والتوفيق مع الموظفين. ضيف ضيف يدخل المنظمة ويحاول استخراج البيانات من خلال الهندسة الاجتماعية.
* تقييم الضعف
تحاول تقييمات نقاط الضعف تحديد نقاط الضعف في الأنظمة والشبكات والتطبيقات في البنية التحتية الرقمية للشركة.
تقدم اختبارات الأمن السيبراني هذه تقارير شاملة تصف كل مشكلة على أساس الشدة والمخاطرة وكيف يمكن علاج هذه المشاكل. يمكن استخدام تقييمات الضعف لتقييم الأصول التالية:
- البنية التحتية للشبكة.
- تطبيقات الويب.
- تطبيقات الجوال.
- دفاعات التصيد الاحتيالي.
- أجهزة الشبكة.
- يبني النظام.
* بناء استعراض
بناء المراجعات هي عمليات تدقيق يتم تنفيذها لتحديد نقاط الضعف في البيئة الرقمية. من خلال التقييم المستمر واستخدام تقنيات التصلب ، يمكن للشركات أن تقلل إلى حد كبير من فرص وجود قراصنة يكتسبون أرضية في الشبكة.
تغطي عمليات بناء التعليقات المكونات التالية لإستراتيجية الأمن السيبراني الرقمية والفيزيائية:
- محطات العمل (أجهزة الكمبيوتر المكتبية ، أجهزة الكمبيوتر المحمولة ، سيتريكس).
- الدليل النشط.
- خوادم قواعد البيانات.
* اختبار الاختراق
اختبارات الاختراق هي اختبارات الأمن السيبراني الأكثر إثارة للجدل. إنها تحاكي هجوم أحد المتسللين لتقييم كيفية استجابة تدابير الأمن السيبراني لذلك.
يستخدم المتسللون الأخلاقيون التكتيكات والأساليب والإجراءات (TTPs) ، بالإضافة إلى المنهجيات المبتكرة الأخرى ، لتقييم حالة الجوانب المختلفة للبنية التحتية الرقمية للشركة. تشمل نقاط الهجوم التي يمكن تقييمها ما يلي:
- البنية التحتية للشبكة.
- تطبيقات الويب.
- تطبيقات الهاتف المحمول.
- اتصال لاسلكي.
- الوعي الأمني عبر الإنترنت من الموظفين.
يمكن إجراء اختبارات الاختراق من المنظورات التالية:
- الصندوق الأسود: هذا هو اختبار الاختراق الذي يتم في مختلف نقاط الهجوم دون أي تأثير أو توجيه من العميل.
- مربع أبيض: هذا هو اختبار الاختراق الذي يتم وفقا لمبادئ توجيهية محددة سلفا وضعت من قبل العميل.
- مربع رمادي: هذا اختبار للاختراق يتم إجراؤه بمعرفة وإرشاد مسبق محدود. هذا يمكن على سبيل المثال أن يكون مخطط للشبكة. قد يكون الواجب هو اختراق نظام معين أو الحصول على حقوق المسؤول.
بعد اختبار الاختراق ، يتلقى العميل تقريرًا موسعًا يتم فيه العثور على نقاط الضعف المختلفة ويتم وصف المآثر المرتبطة بها على أساس الخطورة والمخاطرة.
العمق والجدية والضرورة
تزداد اختبارات الاختراق في تقييم الأنظمة والشبكات عن الاختبارات الأخرى وتهدف إلى ترجمة نقاط الضعف الموجودة إلى مخاطر ملموسة للشركة. على سبيل المثال ، يبدو أن التطبيق غير المراقب على خادم بين مئات الخوادم الأخرى تافه. ومع ذلك ، يمكن لاختبار الاختراق أن يوضح كيف يمكن استخدام مثل هذه الثغرة للحصول على حقوق المسؤول في الجهاز. يمكن استخدام هذا الوصول لتطوير هجمات أخرى على أنظمة أخرى وبالتالي المساس الشبكة بالكامل.
يمكن أيضًا استخدام اختبارات الاختراق لتحديد كيفية استجابة الموظفين لحالات مختلفة ، وإلى أي مدى يمكن تحقيق هذه السيناريوهات عن طريق التضارب بين الأنظمة والشبكات.
فوائد اختبارات الاختراق
- هذه طرق اختبار أكثر عمقاً وتوفر رؤية أفضل لمستوى الأمان من تقييم الضعف.
- فهي تقتصر على المواعيد المعدة مسبقاً وتبقى ضمن القواعد المحددة للهجمات والطرق.
- يمكن استخدامها لاختبار كل من التطبيقات والشبكة.
- عادةً ما يتم إجراء اختبارات الاختراق من منظور غير مُتحقق منه.
نماذج الاختبارات :
هنا
وهنا
وهنا
بالتوفيق ،،
