تبدو تقارير اختبارات الاختراق الآلية مستقرة بعد عدة جولات، حيث تقل الثغرات المكتشفة تدريجياً. هذا الاستقرار يُفسَّر غالباً على أنه أمان، لكنه في الحقيقة قد يكون مؤشراً على أن الأداة وصلت إلى حدود قدرتها على الرصد، وليس أن البيئة خالية من المخاطر. هنا تكمن الفجوة التي تسعى ندوة The Hacker News بالتعاون مع Picus Security إلى معالجتها، عبر استعراض ما تثبته الأدوات وما تغفله.
ستة أسطح للتحقق الأمني
توضح Picus أن التحقق الأمني يتوزع على ستة أسطح، بينما يركز الاختبار الآلي على واحد منها فقط: مسار الهجوم. أي أنه يجيب عن سؤال “هل يمكن للمهاجم التقدم داخل البيئة؟” لكنه لا يختبر بقية الجوانب مثل قواعد الكشف، إعدادات السحابة، ضوابط الهوية، أو حواجز الذكاء الاصطناعي. حتى مع تحسين إعدادات الأداة، فإنها لا تتحول إلى نظام تحقق شامل.
ما يغيب عن الأدوات الآلية
عندما تنجح الأداة في استغلال تقنية معينة، فإنها لا تُظهر ما إذا كانت أنظمة SIEM أو EDR قد رصدت الهجوم أو أطلقت إنذاراً. قد تثبت الأداة إمكانية تنفيذ هجوم مثل سرقة بيانات الاعتماد أو التحرك الجانبي، لكنها لا تؤكد ما إذا كان النظام قد منع ذلك أو سجله أو منح فريق الأمن إشارات كافية للتعامل معه. الخطر الحقيقي يكمن في الخلط بين “وجود مسار مفتوح” و”وجود دفاع فعّال”.
الفرق بين BAS والبنتست الآلي
يطرح النقاش أيضاً الفرق بين BAS (Breach and Attack Simulation) واختبارات الاختراق الآلية. الأول يختبر رد فعل الضوابط الأمنية على سلوك معروف: هل تم الحجب أو الكشف أو التسجيل أو الفشل؟ أما الثاني فيسأل إلى أي مدى يمكن للمهاجم التقدم عبر مسار قابل للاستغلال. استبدال أحدهما بالآخر يؤدي إلى فجوة في التقرير، لكنها لا تختفي من البيئة الفعلية.
أولوية المخاطر والتحقق العملي
المشكلة العملية تكمن في ترتيب الأولويات. إذا أثبتت الأداة وجود مسار، لكن الضوابط الأمنية قادرة بالفعل على منعه أو كشفه، فإن الخطر أقل إلحاحاً مقارنة بمسار يعمل بصمت دون رصد. من دون تحقق من الضوابط، تُرتب الفرق المخاطر بناءً على نصف الأدلة فقط. لذلك تركز الندوة على كيفية تحويل مجموعة من النتائج إلى قائمة مرتبة حسب ما إذا كانت الضوابط قد التقطت السلوك فعلاً.
