ar flag +1 214 306 68 37
تقييم الأمان السحابي لخدمات أمازون ويب (AWS) وإجراء اختبارات اختراق متكررة للبنية التحتية لشركة تأمين أميركية

تقييم الأمان السحابي لخدمات أمازون ويب (AWS) وإجراء اختبارات اختراق متكررة للبنية التحتية لشركة تأمين أميركية

قطاع الصناعة
التأمين, الخدمات المصرفية والمالية والتأمين
التقنيات
AWS, الحوسبة السحابية

العميل

شركة تأمين كبرى تُقدم خدماتها في مختلف أنحاء الولايات المتحدة.

التحدي

يولي العميل اهتمامًا خاصًا بضمان الأمان الشامل لأصول تقنية المعلومات لديه والحماية الموثوقة لبيانات عملائه. ولتحقيق ذلك، وضعت شركة العميل استراتيجية قوية لإدارة الأمان تشمل إجراء اختبارات الاختراق (penetration testing). للبنية التحتية لتقنية المعلومات على الأقل مرة واحدة سنويًا أو بعد إجراء أي تعديلات جوهرية عليها.

نظرًا لافتقار الشركة إلى الكفاءات الداخلية اللازمة لإجراء اختبارات الأمان، احتاج العميل إلى مُوَرِّد تقني موثوق يتمتع بخبرة واسعة في مجال الأمن السيبراني (cybersecurity) لتأسيس شراكة طويلة الأمد. وكانت الخبرة في الأمان السحابي من أهم المتطلبات الواجب توفرها في المُوَرِّد المطلوب، وذلك لأن العميل كان يخطط لتنفيذ الترحيل السحابي (cloud migration) للبنية التحتية لديه.

الحل

تطابقت متطلبات العميل مع خبرات ومهارات ساينس سوفت، لريادتها في مجال الأمن السيبراني (cybersecurity) واستنادها إلى خبراء معتمدين بشهادة المخترِق الأخلاقي (Certified Ethical Hacker).

في عام 2020، كَلَّف العميل فريق ساينس سوفت بأول مشروع اختبار للاختراق، وكان راضيًا للغاية عن الجودة الفائقة لخدماتنا ومتحمسًا لمواصلة التعاون معنا. ومنذ نحو 3 أعوام وحتى اليوم، تُواصِل ساينس سوفت إجراء العديد من اختبارات الاختراق وتقييم أمان البنية التحتية القائمة على خدمات أمازون ويب (Amazon Web Services - AWS) للعميل.

إجراء اختبارات الاختراق للبنية التحتية لتقنية المعلومات والموقع الإلكتروني

بعد دراسة احتياجات العميل، قرر خبراء الأمان في ساينس سوفت تطبيق نهج الاختبار الوظيفي للبرمجيات أو اختبار الصندوق الأسود (Black Box)، وكذلك نهج الاختبار محدود المعرفة أو اختبار الصندوق الرمادي (Gray Box). أتاح هذا لهم أن يستكشفوا المُكوِّنات البرمجية المُستهدف اختبارها ويُلبوا توقعات العميل المتعلقة بالمدة الزمنية والميزانية.

في البدء، اختبر فريق ساينس سوفت الموقع الإلكتروني لشركة العميل والمُكوِّنات العامة للبنية التحتية لتقنية المعلومات لديه (خوادم الويب، وقواعد البيانات، وغير ذلك) وفقًا لنهج الاختبار الوظيفي للبرمجيات أو اختبار الصندوق الأسود (Black Box)، دون أي معرفة سابقة بالمكونات المُستهدف اختبارها. وكان فريقنا يبحث عن نقاط الضعف والثغرات الأمنية (vulnerabilities) التي قد يستغلها المُخترقون المحتملون لتجاوز الدفاعات الإلكترونية القائمة.

طبَّق فريقنا نهج الاختبار محدود المعرفة أو اختبار الصندوق الرمادي (Gray Box) في اختبارهم للشبكة الداخلية للعميل، والذي تَضَمَّن 24 عنوان IP. وكان الهدف من هذا النهج استكشاف التأثير المُحتمل في حال تَمَكَّن المخترقون من التحكم في عمليات تقنية المعلومات والبيانات الحساسة للشركة بمجرد اختراقهم محيطَ الأمان الخارجي للشبكة. بعدها قدَّم خبراء الأمان في ساينس سوفت تقريرًا شاملًا عن المشكلات الأمنية المُكتَشَفة، وكانت كالتالي:

  • خادم Apache HTTP وبروتوكول التشفير TLS 1.0 غير مُحَدَّثين ويعيبهما العديد من الثغرات الأمنية المعروفة.
  • وجود ثغرة تعداد المستخدمين (user enumeration). التي يمكن أن يستغلها المخترقون المحتملون للحصول على قائمة بجميع أسماء المستخدمين المصرح لهم.
  • الإعدادات الخاطئة عن بُعد لخادم بروتوكول إدارة الشبكات البسيطة (Simple Network Management Protocol - SNMP) التي يمكن استغلالها لشن هجمات حجب الخدمة (DoS) وهجمات تصعيد الصلاحيات (Privilege Escalation).
  • تعطيل توقيع الرسائل في خادم بروتوكول كتلة رسائل الخادم (Server Message Block - SMB) ما يسمح بتعرضه لهجمات الوسيط (man-in-the-middle)، وغيرها من الهجمات.

لمعالجة الثغرات الأمنية المكتَشَفة، قدمت ساينس سوفت للعميل قائمة مُفَصَّلة بالإجراءات التصحيحية اللازمة. على سبيل المثال: تحديث خادم أباتشي (Apache)، واستخدام أحدث إصدار من بروتوكول أمان طبقة النقل (Transport Layer Security - TLS)، وعدم السماح بتعداد المستخدمين، وتقييد ومراقبة الوصول إلى خدمة بروتوكول SNMP أو تعطيلها في حال عدم استخدامها، وتهيئة بروتوكول SMB لفرض توقيع الرسائل، وغيرها.

بعد أن عالج فريق تقنية المعلومات لدى العميل الثغرات الأمنية المُكتشفة وفقًا للتوصيات التي قدَّمتها ساينس سوفت، أعاد فريقنا اختبار مُكوِّنات البنية التحتية. وأظهرت إعادة الاختبارات أن البنية التحتية لتقنية المعلومات لدى شركة العميل أصبحت خالية تمامًا من الثغرات الأمنية، وأن أصول تقنية المعلومات لديها محمية تمامًا ضد التهديدات السيبرانية.

في غضون 6 أيام فقط، أتمَّ فريق ساينس سوفت إجراء اختبارات الاختراق بالكامل، بدءًا من التخطيط وصولًا إلى إعادة الاختبار.

تقييم الأمان السحابي لخدمات أمازون ويب (AWS)

بعد الترحيل السحابي لجزء من البنية التحتية للشركة، طلب العميل من ساينس سوفت إجراء تقييم أمني لمواردها من خدمات AWS التالية: خدمة إدارة الهوية والوصول (Identity and Access Management - IAM)، وخدمة السحابة الافتراضية الخاصة (Virtual Private Cloud)، وخدمة إدارة الحسابات (CloudTrail)، وخدمة تخزين البيانات (Elastic Block Store)، وخدمة قواعد البيانات الارتباطية (Relational Database Service - RDS)، وخدمة تخزين الملفات (Simple Storage Service - S3)، وخدمة الحوسبة السحابية (Elastic Compute Cloud)، وغيرها من خدمات أمازون ويب AWS.

بدأ خبراء الأمان في ساينس سوفت عملهم بتحليل الأصول والخدمات السحابية لدى العميل وتشغيل أدوات الفحص الآلي. بعدها شرع فريقنا في إجراء مراجعة يدوية للنتائج لتحديد الإعدادات الخاطئة والثغرات الأمنية الموجودة. وعلى الرغم من عدم اكتشاف أي مشكلات خطيرة تتعلق بالأمان السحابي، أوصى فريقنا بعدة تدابير أمنية لتعزيز الدفاع السيبراني السحابي (cloud cyber defense) لدى شركة العميل. وتضمنت هذه التدابير الإجراءات التالية:

  • تحديد وحذف بيانات الاعتماد غير الضرورية في إدارة الهوية والوصول (IAM): يساعد ذلك على منع اختراق الحسابات غير المستخدمة، وبالتالي الحد من الهجمات السيبرانية المُحتملة (attack surface).
  • إنشاء إعدادات حذف المصادقة متعددة العوامل (Multi-Factor Authentication - MFA) لمستودعات خدمة S3: لحماية البيانات المُخَزَّنة فيها من الحذف غير المقصود أو غير المصرح به.
  • تمكين المراقبة المُعَزَّزة (enhanced monitoring) والنسخ الاحتياطي الآلي لقواعد البيانات الارتباطية (RDS).

استغرق خبراء أمان خدمات أمازون ويب (AWS) في ساينس سوفت 8 أيام فقط لإجراء تقييم أمني شامل للموارد السحابية للعميل وإعداد تقارير تفصيلية بالنتائج.

إجراء اختبارات اختراق متكررة للبنية التحتية لتقنية المعلومات

قدَّم العميل لفريق ساينس سوفت بيانات اعتماد ذات صلاحيات محدودة، وذلك استعدادًا لإجراء اختبار الاختراق السنوي التالي للبنية التحتية لتقنية المعلومات للشركة، بما في ذلك خوادم الويب وقواعد بيانات الشبكة الداخلية المُتشعبة للغاية.

لم يكشف الفحص الشامل عن أي ثغرات أمنية في مكونات البنية التحتية لدى العميل. وكان خبراء الاختبار في ساينس سوفت سعداء للغاية بإبلاغهم العميل بهذه النتائج المُبهرة. وبفضل نهجنا الاستباقي في تنفيذ عمليات الأمن السيبراني (cybersecurity)، تَمَكَّن العميل من ضمان حماية البنية التحتية لتقنية المعلومات لديه. ولمنع أي هجمات مُحتملة من المخترقين {مثل التَصَيُّد الاحتيالي (phishing)}، أوصى خبراء ساينس سوفت العميل بإجراء اختبارات الهندسة الاجتماعية (social engineering) لتقييم الوعي الأمني لدى الموظفين تجاه ذلك. وفي حال الكشف عن أي سلوك غير آمن لدى الموظفين، فإن ساينس سوفت مستعدة لإجراء دورات تدريبية لتعزيز الوعي الأمني لديهم.

أتمَّ فريق ساينس سوفت إجراء اختبارات الاختراق وقدم تقريرًا شاملًا بالنتائج في غضون 9 أيام فقط.

النتائج

بفضل اختبارات الاختراق التي أجرتها ساينس سوفت والتوجيه الشامل الذي قدمته لمعالجة نقاط الضعف الأمنية، تمكَّن العميل من معالجة الثغرات الأمنية المُكتَشفة بسرعة. وقد ضمن العميل الحماية الكاملة للبنية التحتية لتقنية المعلومات في شركته، بما في ذلك الموارد السحابية الجديدة من خدمات أمازون ويب (AWS). ونتيجة التعاون المستمر مع ساينس سوفت على مدار عامين وحتى اليوم، يتمتع العميل حاليًا بمستوى أمان فائق لبيئة تقنية المعلومات لديه.

تقديرًا للخدمات الاحترافية التي قدمتها ساينس سوفت لتأمين أصول تقنية المعلومات لديه، يخطط العميل لإشراك فريق ساينس سوفت في المزيد من مشروعات الأمن السيبراني (cybersecurity).

التقنيات والأدوات

Metasploit, Wireshark, Nessus, Burp Suite, Nmap, cURL, Nikto, Dirb, AWS.

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

Upload file

اسحب وأفلت لتحميل ملف أو أكثر

الحد الأقصى لحجم الملف 10 ميغابايت، حتى 5 ملفات وإجمالي 20 ميغابايت

التنسيقات المدعومة:

doc, docx, xls, xlsx, ppt, pptx, pps, ppsx, odp, jpeg, jpg, png, psd, webp, svg, mp3, mp4, webm, odt, ods, pdf, rtf, txt, csv, log

المزيد من دراسات الحالة