في عصرنا الرقمي الحالي، يتزايد التركيز على تأمين سلاسل التوريد البرمجية باعتبارها نقطة ضعف رئيسية تستغلها الهجمات الإلكترونية. تتجه الهجمات السيبرانية بذكاء نحو استهداف سلاسل التوريد بدلاً من مواجهة الشركات بشكل مباشر، وذلك من خلال استغلال الثغرات في البرمجيات المفتوحة المصدر. وفقاً لتقرير حالة سلسلة التوريد البرمجية لعام 2024 من سوناتايب، تم الكشف عن أكثر من 512,847 حزمة ضارة، مما يمثل زيادة بنسبة 156% عن العام السابق.

الهجوم السيبراني على بايثون باكيج إندكس

في عام 2024، تم اكتشاف هجوم طويل الأمد على مستودع بايثون باكيج إندكس (PyPI)، حيث قام المهاجمون بتحميل حزم ضارة متخفية في شكل أدوات شات بوت (AI Chatbot) شرعية. استهدفت هذه الحزم سرقة البيانات الحساسة وتنفيذ أوامر عن بعد على الأنظمة المصابة. وقد كشفت الأبحاث الأمنية في كاسبرسكي عن هذا النشاط الضار، مؤكدة على الحاجة إلى إجراءات تقييم أعمق عند استخدام البرمجيات.

تقييم المخاطر من خلال اختبار أمان المنتج

تحتاج المؤسسات إلى نهج منظم ومتكرر لتقييم المخاطر المرتبطة بالبرمجيات والأجهزة قبل دمجها في بيئاتها. تُعرف هذه العملية باسم اختبار أمان المنتج (Product Security Testing – PST)، وهي تتجاوز مجرد فحص الثغرات لتشمل فهم كيفية تصرف المنتج في بيئة معينة وتحديد تأثير المخاطر الشامل.

عند القيام باختبار أمان المنتج، تطرح المؤسسات أسئلة حيوية مثل: ما هي المخاطر التي يقدمها هذا المنتج إلى شبكتي؟ هل يجب استخدامه أم هناك بديل أكثر أمانًا؟ وإذا استخدمناه، ما هي التدابير التي يجب وضعها للحد من المخاطر؟

التفكير الأحمر، العمل الأزرق

تقدم دورة SANS SEC568 المهارات العملية في اختبار أمان المنتج، وتركز على اختبار الصندوق الأسود (Black-box Testing)، الذي يحاكي الظروف الواقعية حيث لا يكون الكود المصدري متاحًا. يتبع هذا المبدأ “التفكير الأحمر، العمل الأزرق” باستخدام الأساليب الهجومية للدفاع بفعالية ضدها.

من يستفيد من اختبار أمان المنتج؟

تعزز مهارات اختبار أمان المنتج الوضع الأمني والاستعداد لكل فرد في المنظمة، من فرق اختبار أمان المنتجات إلى المدققين الأمنيين ومطوري التطبيقات. حتى صناع القرار يستفيدون من هذه المهارات لاتخاذ قرارات مستنيرة بشأن المخاطر واستثمارات الأمن السيبراني واستراتيجيات التخفيف.

للحصول على تجربة عملية في اختبار أمان المنتج، يمكنكم حضور دورة SEC568 في أورلاندو خلال الفترة من 13 إلى 18 أبريل 2024. ستوفر هذه الدورة الأساس التقني اللازم لتقييم أمان البرمجيات والأجهزة بفعالية.

للمزيد من المعلومات حول الاتجاهات الأمنية والأخبار الحصرية، تابعونا على تويتر وفيسبوك.