ar flag +1 214 306 68 37
إجراء اختبار الصندوق الأسود، ومحاكاة هجمات التصيد الاحتيالي والصوتي لشركة استشارات استثمارية

إجراء اختبار الصندوق الأسود، ومحاكاة هجمات التصيد الاحتيالي والصوتي لشركة استشارات استثمارية

قطاع الصناعة
الاستثمار

العميل

شركة أميركية للاستشارات المالية، تقدم خدمات إدارة حسابات التقاعد، لديها تطبيق ويب يساعد عملائها على استثمار وإدارة مدخراتهم التقاعدية بكفاءة.

الحاجة إلى الخبرة في أمان تقنية المعلومات وبرمجيات الاستثمار

لضمان أعلى درجات الأمان لبيانات عملائها، بحثت الشركة عن موِّرد موثوق في مجال الأمن السيبراني يتمتع بخبرة عملية واسعة في برمجيات الاستثمار. وقد وجدت شركة العميل الكفاءات المطلوبة لدى ساينس سوفت، وكلَّفت فريقنا بإجراء فحص أمني شامل لحل إعداد وإدارة خطط التقاعد، وتقييم وعي موظفيها بتدابير الأمن السيبراني.

إجراء محاكاة للهجمات السيبرانية الحقيقية لتقييم قدرات الأمن السيبراني

إجراء اختبار الاختراق بطريقة الصندوق الأسود

أجرى خبراؤنا اختبار الاختراق بطريقة الصندوق الأسود (black box) للحل وفقًا لأفضل الممارسات المحددة في معيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). وشمل الاختبار تطبيق الويب المُخصص للعملاء، وواجهة برمجة التطبيقات (API)، وشبكة عامة تضم 5 عناوين IP.

فحص خبراؤنا المكونات المستهدفة بدقة بحثًا عن أي ثغرات معروفة، ثم تحققوا من نتائج الفحص لاستبعاد النتائج الخاطئة. ولتقييم الأثر المحتمل للثغرات الأمنية المكتشفة، حاول فريقنا استغلالها عن طريق محاكاة هجمات سيبرانية حقيقية.

خلال اختبار الاختراق، رصد فريقنا 3 ثغرات أمنية متوسطة الخطورة و7 منخفضة الخطورة، وصنَّفها وفقًا لمعايير تصنيف التهديدات الأمنية الصادرة من مؤسسة OWASP لأعلى 10 مخاطر أمنية لتطبيقات الويب وواجهات برمجية التطبيقات (APIs)، ومعايير نظام تسجيل نقاط الضعف المشتركة التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST CVSS). يمكن للمهاجمين استغلال نقاط الضعف المكتشفة لسرقة البيانات الحساسة، ونشر البرمجيات الضارة، وتعطيل أداء خادم الويب. ولمعالجة هذه الثغرات، اقترح خبراؤنا مجموعة من التدابير التصحيحية العملية، مثل:

  • تطبيق إجراءات صارمة للتحقق من المدخلات وتنظيفها، لمنع هجمات حقن النصوص البرمجية الضارة.
  • استبدال بروتوكول نقل الملفات (FTP) ببروتوكول أكثر أمانًا، مثل بروتوكول نقل الملفات الآمن (SSH)، للاستفادة من التشفير المدمج للبيانات المنقولة.
  • تنفيذ تدابير الحماية من هجمات القوة الغاشمة (brute force): استخدام مفاتيح التشفير المستخدمة لمصادقة المستخدمين في بروتوكول SSH، وتعطيل مصادقة كلمة المرور عند الإمكان، وتهيئة جدار الحماية للسماح بالاتصال بالخوادم المضيفة عن بُعد فقط من عناوين IP محددة، وإضافة رموز التحقق (CAPTCHA)، وفرض حد أقصى لعدد محاولات تسجيل الدخول الفاشلة، وحجب الحساب أو عنوان IP عند الوصول إلى هذا الحد.
  • تحديث البرمجيات غير الآمنة إلى أحدث إصدارتها، لمنع تلف الذاكرة وتنفيذ التعليمات البرمجية الضارة عن بُعد.
  • منع الطلبات الخبيثة عبر النطاقات مختلفة عن طريق الضبط الصحيح لإعدادات عنوان Access-Control-Allow-Origin، وتطبيق تدابير حماية الواجهة الخلفية للبيانات الحساسة (مثل، المصادقة وإدارة الجلسات).
  • إضافة وضبط إعدادات عناوين بروتوكول HTTP الأمنية، مثل X-Frame-Options لتعزيز الحماية من هجمات النقر الخداعي (clickjacking)، وStrict-Transport-Security لفرض الحماية ضد هجمات الوسيط (Man in the Middle) باستخدام HTTPS فقط، وX-Rate-Limit للحد من مخاطر إرسال المهاجمين عدد كبير من الطلبات لتعطيل أداء النظام.

محاكاة هجمات التصيد الاحتيالي والتصيد الصوتي

أجرى فريق ساينس سوفت محاكاة للعديد من سيناريوهات الهندسة الاجتماعية (social engineering) على 25 عنوان بريد إلكتروني للموظفين ورقمين هاتفيين للشركة. وخلال محاكاة هجمات التصيد الاحتيالي، اتبع معظم الموظفين تدابير السلامة، وتجاهلوا رسائل البريد الإلكتروني التي تضم روابط غير معروفة. مع ذلك، قدم موظفان من أصل 25 موظفًا بياناتهم الشخصية في نموذج جوجل الاحتيالي المُرسل بواسطة المخترقين الأخلاقيين في فريق ساينس سوفت. أما بالنسبة لمحاكاة التصيد الصوتي، حاول خبراؤنا الاتصال في أوقات مختلفة، لكن دون أي رد من الموظفين.

استنادًا إلى نتائج اختبارات الهندسة الاجتماعية، أوصى خبراء ساينس سوفت بتنظيم دورات تدريبية لتعزيز الوعي الأمني لدى موظفي شركة العميل.

تقديم رؤى وأفكار قيِّمة حول مخاطر الأمن السيبراني وطرق التصدي لها

في غضون أسبوعين فقط، أجرى خبراء ساينس سوفت اختبار الاختراق بطريقة الصندوق الأسود، مع محاكاة لهجمات التصيد الاحتيالي والتصيد الصوتي. ونتيجة لذلك، حصل العميل على تقرير شامل يوضح بالتفصيل الثغرات الأمنية المكتشفة والمخاطر المحتملة لها على البنية التحتية لتقنية المعلومات وبيانات العملاء. كما تضمن التقرير توصيات تصحيحية ساعدت الشركة على سرعة تعزيز الدفاع السيبراني في حل إدارة خطط التقاعد.

نتيجة لرضا العميل عن نتائج التقييم الأمني، تخطط الشركة حاليًا لمواصلة التعاون مع فريقنا في تنفيذ مشروعات اختبار الأمان المستقبلية.

التقنيات والأدوات

Acunetix, Metasploit, Nessus, Hydra, SSLScan, Nikto, Burp Suite, Nmap, DirB, WhatWeb, Python, C, Perl.

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

Upload file

اسحب وأفلت لتحميل ملف أو أكثر

الحد الأقصى لحجم الملف 10 ميغابايت، حتى 5 ملفات وإجمالي 20 ميغابايت

التنسيقات المدعومة:

doc, docx, xls, xlsx, ppt, pptx, pps, ppsx, odp, jpeg, jpg, png, psd, webp, svg, mp3, mp4, webm, odt, ods, pdf, rtf, txt, csv, log