Security testing

Security testing is a process intended to detect flaws in the security mechanisms of an information system and as such help enable it to protect data and maintain functionality as intended.[1] Due to the logical limitations of security testing, passing the security testing process is not an indication that no flaws exist or that the system adequately satisfies the security requirements.

Typical security requirements may include specific elements of confidentiality, integrity, authentication, availability, authorization and non-repudiation.[2] Actual security requirements tested depend on the security requirements implemented by the system. Security testing as a term has a number of different meanings and can be completed in a number of different ways. As such, a Security Taxonomy helps us to understand these different approaches and meanings by providing a base level to work from.

History

Early concepts of security testing emerged alongside the development of computer security in the 1960s and 1970s, when government and academic institutions began exploring methods to evaluate system vulnerabilities. The U.S. Department of Defense’s Trusted Computer System Evaluation Criteria (TCSEC), published in 1985, introduced formal evaluation requirements for secure system design and testing.[3] During the 1990s, the rise of networked systems and the internet popularized penetration testing and vulnerability assessment as practical approaches to identify security weaknesses before adversaries could exploit them.[4] Modern security testing integrates continuous and automated methods, aligning with secure software development lifecycles and DevSecOps practices.[5]

Confidentiality

  • A security measure which protects against the disclosure of information to parties other than the intended recipient is by no means the only way of ensuring the security.

Integrity

Integrity of information refers to protecting information from being modified by unauthorized parties

  • A measure intended to allow the receiver to determine that the information provided by a system is correct.
  • Integrity schemes often use some of the same underlying technologies as confidentiality schemes, but they usually involve adding information to a communication, to form the basis of an algorithmic check, rather than the encoding all of the communication.
  • To check if the correct information is transferred from one application to other.

Authentication

قد يشمل ذلك تأكيد هوية شخص ما، أو تتبع أصول قطعة أثرية، أو التأكد من أن المنتج هو ما يدعيه غلافه وملصقه، أو التأكد من أن برنامج الكمبيوتر موثوق به.

التفويض

  • عملية تحديد ما إذا كان يُسمح لمقدم الطلب بتلقي خدمة أو إجراء عملية ما.
  • يُعد التحكم في الوصول مثالاً على التفويض.

التوافر

  • ضمان جاهزية خدمات المعلومات والاتصالات للاستخدام في الوقت المتوقع.
  • يجب إبقاء المعلومات متاحة للأشخاص المصرح لهم عند الحاجة إليها.

عدم الإنكار

  • في مجال الأمن الرقمي، تعني عدم الإنكار ضمان إرسال واستلام الرسالة من قبل الأطراف التي تدّعي إرسالها واستلامها. وهي وسيلة تضمن عدم قدرة مُرسِل الرسالة على إنكار إرسالها، وعدم قدرة المُستقبِل على إنكار استلامها.
  • عادةً ما يكون معرف المرسل عبارة عن رأس يتم إرساله مع الرسالة والذي يتعرف على مصدر الرسالة.

التصنيف

المصطلحات الشائعة المستخدمة في تقديم اختبارات الأمان:

  • مرحلة الاكتشاف - تهدف هذه المرحلة إلى تحديد الأنظمة المشمولة بالدراسة والخدمات المستخدمة. لا تهدف إلى اكتشاف الثغرات الأمنية، ولكن قد يُسلط اكتشاف الإصدارات الضوء على الإصدارات القديمة من البرامج /البرامج الثابتة، وبالتالي يُشير إلى وجود ثغرات أمنية محتملة.
  • فحص الثغرات الأمنية - بعد مرحلة الاكتشاف، يبحث هذا الفحص عن المشكلات الأمنية المعروفة باستخدام أدوات آلية لمطابقة الشروط مع الثغرات الأمنية المعروفة. ويتم تحديد مستوى المخاطر المُبلغ عنه تلقائيًا بواسطة الأداة دون أي تحقق أو تفسير يدوي من قِبل مُورّد الاختبار. ويمكن استكمال ذلك بفحص قائم على بيانات الاعتماد، والذي يهدف إلى إزالة بعض النتائج الإيجابية الخاطئة الشائعة باستخدام بيانات الاعتماد المُقدمة للمصادقة مع الخدمة (مثل حسابات ويندوز المحلية).
  • تقييم الثغرات الأمنية - يستخدم هذا التقييم تقنيات الاكتشاف ومسح الثغرات الأمنية لتحديد نقاط الضعف الأمنية، ويضع النتائج في سياق البيئة قيد الاختبار. ومن الأمثلة على ذلك إزالة النتائج الإيجابية الخاطئة الشائعة من التقرير، وتحديد مستويات المخاطر التي ينبغي تطبيقها على كل نتيجة من نتائج التقرير لتحسين فهم الأعمال وسياقها.
  • تقييم الأمان - يعتمد على تقييم الثغرات الأمنية بإضافة التحقق اليدوي لتأكيد وجودها، ولكنه لا يشمل استغلالها للوصول إلى مزيد من الثغرات . قد يكون التحقق على شكل وصول مُصرّح به إلى النظام للتأكد من إعداداته، ويشمل فحص السجلات، واستجابات النظام، ورسائل الخطأ، والرموز، وما إلى ذلك. يهدف تقييم الأمان إلى تغطية شاملة للأنظمة قيد الاختبار، وليس إلى تحديد مدى عمق الثغرات التي قد تؤدي إليها ثغرة أمنية مُحددة.
  • اختبار الاختراق - يحاكي اختبار الاختراق هجومًا من جهة خبيثة. ويعتمد على المراحل السابقة، ويتضمن استغلال الثغرات المكتشفة للوصول إلى مزيد من الثغرات. سيؤدي استخدام هذا النهج إلى فهم قدرة المهاجم على الوصول إلى المعلومات السرية، والتأثير على سلامة البيانات أو توافر الخدمة، والأثر الناتج عن ذلك. يُجرى كل اختبار باستخدام منهجية متسقة وشاملة، تُمكّن المختبِر من استخدام مهاراته في حل المشكلات، ومخرجات مجموعة من الأدوات، ومعرفته الخاصة بالشبكات والأنظمة، لاكتشاف الثغرات التي قد لا تتمكن الأدوات الآلية من تحديدها. يركز هذا النهج على عمق الهجوم، مقارنةً بنهج تقييم الأمان الذي يركز على نطاق أوسع.
  • التدقيق الأمني ​​- يُجرى هذا النوع من التدقيق من قِبل قسم التدقيق وإدارة المخاطر للنظر في مشكلة محددة تتعلق بالرقابة أو الامتثال. يتميز هذا النوع من التدقيق بنطاقه الضيق، ويمكن أن يستخدم أيًا من الأساليب التي نوقشت سابقًا ( تقييم الثغرات الأمنية ، والتقييم الأمني، واختبار الاختراق).
  • مراجعة الأمان - التحقق من تطبيق معايير الأمان الصناعية أو الداخلية على مكونات النظام أو المنتج. يتم ذلك عادةً من خلال تحليل الفجوات، باستخدام مراجعات البناء والبرمجيات، أو من خلال مراجعة وثائق التصميم ومخططات البنية. لا تستخدم هذه العملية أيًا من الأساليب السابقة (تقييم الثغرات الأمنية، تقييم الأمان، اختبار الاختراق، التدقيق الأمني).

أدوات

المتطلبات التنظيمية

يُعد اختبار الأمان إلزاميًا أو موصى به بشدة من قبل العديد من الأطر التنظيمية التي تحكم حماية المعلومات الحساسة.

يشترط قانون نقل التأمين الصحي والمساءلة (HIPAA) على الجهات الخاضعة له إجراء تقييم دقيق وشامل للمخاطر ونقاط الضعف المحتملة التي تهدد سرية وسلامة وتوافر المعلومات الصحية المحمية ، وإجراء تقييمات فنية وغير فنية دورية استجابةً للتغيرات البيئية أو التشغيلية. [ 10 ]

يُحدد معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) برنامجًا شاملاً لاختبار الأمان، يشمل الكشف عن نقاط الوصول اللاسلكية، وفحص الثغرات الأمنية، واختبار الاختراق، وذلك وفقًا لجداول زمنية محددة. [ 11 ] ويُحدد المعهد الوطني للمعايير والتكنولوجيا (NIST) متطلبات اختبار الأمان لأنظمة المعلومات الفيدرالية. [ 12 ]

انظر أيضاً

مراجع

  1. م. مارتيليني، وماليزيا، أ. (2017). التحديات السيبرانية والكيميائية والبيولوجية والإشعاعية والنووية والمتفجرات: التهديدات وجهود المواجهة. سبرينغر.
  2. "مقدمة في أمن المعلومات" US-CERT https://www.us-cert.gov/security-publications/introduction-information-security مؤرشف بتاريخ 30 أغسطس 2018 في Wayback Machine
  3. "معايير تقييم أنظمة الحاسوب الموثوقة لوزارة الدفاع (DoD 5200.28-STD)" (ملف PDF) . وزارة الدفاع الأمريكية عبر مركز أبحاث أنظمة الحاسوب التابع للمعهد الوطني للمعايير والتكنولوجيا. 26 ديسمبر 1985. تاريخ الاطلاع: 10 نوفمبر 2025 .
  4. ويسوبال، كريس؛ نيلسون، لوكاس؛ داي زوفي، دينو؛ داستن، إلفرايد (17-11-2006). فن اختبار أمان البرمجيات: تحديد عيوب أمان البرمجيات . أديسون-ويسلي بروفيشنال. ISBN 978-0-321-30486-5.
  5. "نموذج نضج ضمان البرمجيات OWASP (SAMM)" . OWASP . تم الاطلاع عليه بتاريخ 10-11-2025 .
  6. "معيار التحقق من أمان الحاويات" . GitHub . 20 يوليو 2022.
  7. "أمن البنية التحتية كبرنامج - سلسلة أوراق الغش الخاصة بـ OWASP" .
  8. "دليل OWASP DevSecOps - الإصدار 0.2 | مؤسسة OWASP" .
  9. "تحليل المكونات | مؤسسة OWASP" .
  10. "معايير الأمن: الضمانات الإدارية" . وزارة الصحة والخدمات الإنسانية الأمريكية . تم الاطلاع عليه في 31 مارس 2026 .
  11. "PCI DSS v4.0" . مجلس معايير أمن PCI. مارس 2022. تم الاطلاع عليه في 31 مارس 2026 .
  12. "NIST SP 800-53 Rev. 5: ضوابط الأمن والخصوصية" . المعهد الوطني للمعايير والتكنولوجيا. سبتمبر 2020. تم الاطلاع عليه في 31 مارس 2026 .