إجراء اختبار الاختراق السنوي ومحاكاة هجمات التصيُّد الاحتيالي لإحدى شركات تقنية معلومات الرعاية الصحية
العميل
شركة أميركية متخصصة في برمجيات الرعاية الصحية وخدمات تقنية معلومات.
بفضل خبرتها التي تمتد لعقود في هذا مجال تقنية معلومات الرعاية الصحية، تساعد شركة العميل المئات من مُقدمي خدمات الرعاية الصحية على تحسين أنظمة المعلومات السريرية لديهم.
الحاجة إلى خبراء محترفين في الأمن السيبراني
من خلال عملها في مجال الرعاية الصحية، تولي الشركة اهتمامًا خاصًا بالامتثال التنظيمي والأمن السيبراني.
لإجراء الاختبار الأمني السنوي للبنية التحتية لتقنية المعلومات وأصولها، كانت الشركة تبحث عن مورد تقني موثوق في مجال الأمن السيبراني، يتمتع بخبرة واسعة في مجال تقنية معلومات الرعاية الصحية.
شراكة طويلة الأمد لتعزيز الدفاعات السيبرانية
بفضل خبرتنا التي تمتد لعقدين من الزمن في مجال الأمن السيبراني وتقنية معلومات الرعاية الصحية، استوفت ساينس سوفت كافة المعايير التي حددها العميل لعقد شراكة تقنية طويلة الأمد معه. ومنذ بداية تعاوننا في عام 2020، أتمت ساينس سوفت إجراء تقييم شامل لمخاطر الأمن السيبراني للبنية التحتية لتقنية المعلومات لدى العميل، كما أجرت 3 اختبارات اختراق، ونفذت حل Microsoft Defender لحماية الأجهزة النهائية من التهديدات المستمرة المتقدمة (APTs).
نظرًا لرضا العميل عن جودة خدماتنا، قررت الشركة الاستعانة بفريقنا من القراصنة الأخلاقيين المعتمدين لإجراء الاختبار السنوي الرابع لاختراق برمجياتها، إلى جانب تنفيذ محاكاة لهجمات الهندسة الاجتماعية.
تقييم الثغرات الأمنية
بدأ خبراء ساينس سوفت عملهم بإجراء فحص آلي لتطبيق الويب والشبكة الخارجية لدى العميل، بهدف تحديد أكبر عدد ممكن من نقاط الضعف الأمنية. بعد ذلك، تحقق فريقنا يدويًا من المشكلات المكتشفة، لاستبعاد النتائج الإيجابية الخاطئة.
اختبار الاختراق بطريقة الصندوق الأسود
في هذه المرحلة، كان الهدف هو محاولة استغلال نقاط الضعف المكتشفة والوصول غير المصرح به إلى البنية التحتية لتقنية المعلومات والبيانات لدى العميل. أجرى فريقنا اختبار الاختراق، بما في ذلك تعديل بيانات الإدخال والوصول غير المصرح به بتقنية القوة الغاشمة (Brute Forcing)، وذلك وفقًا لمعيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115).
اكتشف خبراؤنا العديد من المشكلات الأمنية، مثل وجود بيانات غير مشفرة، والإعدادات الأمنية الخاطئة، ووجود برمجيات بها ثغرات أمنية معروفة، إلى جانب وجود مكونات برمجية قديمة.
لمعالجة هذه المشكلات، أوصى خبراؤنا باتخاذ الإجراءات الآتية:
- تشفير البيانات المُخزَّنة في معيار ViewState الخاص بإطار العمل ASP.NET، وذلك لتجنب الكشف المحتمل عن المعلومات الحساسة.
- تنفيذ عناوين الأمان المفقودة، وذلك لتعزيز الحماية من البرمجة النصية عبر المواقع (XSS)، وهجمات النقر الخداعي (clickjacking)، وغيرها من الهجمات.
- تثبيت أحدث إصدار من خادم الويب البعيد (Microsoft IIS)، وذلك لاستبدال الإصدار الذي كان يضم ثغرات معروفة، وتخفيف مخاطر الكشف عن المعلومات السرية وهجمات حجب الخدمة (DoS).
- تحديث البرمجيات القديمة إلى أحدث إصدار لها، وذلك لتجنب المخاطر المرتبطة بالإصدارات غير المدعومة التي لم تعد تتلقى تحديثات أمنية.
اختبار الهندسة الاجتماعية
فحص فريقنا المعلومات المتاحة عن الشركة للجمهور العام. وبناءً على البيانات المُجمَّعة، قام خبراؤنا بإعداد وتنفيذ العديد من سيناريوهات هجمات التصيُّد الاحتيالي على عناوين البريد الإلكتروني للموظفين.
كشفت المحاولة الأولى أن ضوابط أمان البريد الإلكتروني لدى العميل تحمي المستخدمين بفعالية من هجمات التصيُّد الاحتيالي. بعدها، بدأت المحاكاة الثانية لهجمات التصيُّد الاحتيالي بعد أن حدَّد العميل يدويًا قائمة بيضاء بعناوين IP الخاصة بنا، وذلك للسماح للهجمات بالمرور عبر أنظمة تصفية البريد الإلكتروني لدى العميل. أرسل مهاجمونا رسائل بريد إلكتروني تحتوي على عناوين إلكترونية (URLs) خبيثة، بالإضافة إلى رسائل إلكترونية تحتوي على دعوات ونماذج تعبئة مزيفة. لكن موظفي العميل اتَّبعوا احتياطات السلامة، ولم يفتحوا تلك الروابط غير المعروفة.
تحسين وضع الأمن السيبراني وزيادة الثقة في يقظة ووعي الموظفين
بفضل معرفتنا السابقة ببيئة تقنية المعلومات لدى العميل، أجرى فريقنا تقييمًا شاملًا للثغرات الأمنية، إلى جانب تنفيذ اختبار الاختراق واختبار الهندسة الاجتماعية في 5 أيام فقط. وقد حصل العميل على تقرير شامل عن الثغرات الأمنية المكتشفة في تطبيق الويب والشبكة الخارجية لديه. وصُنِّفت الثغرات الأمنية المكتشفة حسب مستوى خطورتها وفقًا لمعايير تصنيف التهديدات الأمنية الصادرة من مؤسسة OWASP لأعلى 10 مخاطر أمنية لتطبيقات الويب ومعايير نظام تسجيل نقاط الضعف المشتركة التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST CVSS).
تضمن التقرير الذي قدمته ساينس سوفت للعميل توصيات إصلاحية مفصلة للحد من مخاطر الكشف عن البيانات الحساسة والتصدي للهجمات السيبرانية، مثل هجمات البرمجة النصية عبر المواقع (XSS)، وهجمات النقر الخداعي (clickjacking)، وهجمات حجب الخدمة (DoS). وبعد تنفيذ هذه التوصيات، تمكَّن العميل من تحسين وضع الأمن السيبراني لديه، الذي تم التأكد منه عن طريق إعادة الاختبار. وقد أثبتت محاكاة الهندسة الاجتماعية التي أجراها خبراء ساينس سوفت ارتفاع درجة يقظة ووعي موظفي الشركة.
يشعر العميل بالرضى التام عن الشراكة المثمرة مع ساينس سوفت، ويخطط حاليًا لمواصلة التعاون مع فريقنا لإجراء فحوصات اختبار الاختراق السنوي لبرمجياته.
التقنيات والأدوات
Metasploit, Nessus, BurpSuite, Acunetix, Nmap, DirB, SSLScan, TLSSLed, Python, C, Perl.
نتواصل معكم على الفور