إجراء اختبار الاختراق بطريقة الصندوق الرمادي لمنظمة غير ربحية تدعم أكثر من 7 ملايين أسرة
العميل
منظمة أميركية غير ربحية تسعى إلى تحقيق نظام خدمات واستحقاقات اجتماعية أكثر عدلاً وكفاءة في الولايات المتحدة. على مدى ما يقرب من 20 عامًا، دعمت المنظمة أكثر من 7 ملايين أسرة تحتاج إلى الرعاية الصحية والغذاء والمأوى.
الحاجة إلى خبراء في الأمن السيبراني لتقييم أمان البيانات الحساسة
تساعد المنظمة المواطنين الأميركيين في الوصول إلى الخدمات العامة، وتمتلك تطبيق ويب يحتوي على أداة فحص ذاتي تساعد الأفراد في العثور على برامج المساعدة الحكومية التي قد يكونوا مؤهلين لها. كانت المنظمة تبحث عن مورِّد تقني يتمتع بخبرة واسعة في مجال الأمن السيبراني، لتقييم أمان المعلومات الصحية الشخصية (PHI) ومعلومات تحديد الهوية الشخصية (PII) للمستفيدين من خدماتها.
منحت المنظمة ثقتها لخبرتنا الممتدة لأكثر من 21 عامًا في مجال الأمن السيبراني، وكلَّفت فريق ساينس سوفت بتقييم أمان شبكتها الداخلية (إنترانت) وتطبيقها المخصص للتحقق من أهلية المستفيدين، بالإضافة إلى تقييم الوعي الأمني لدى موظفيها.
إجراء اختبار الاختراق بطريقة الصندوق الرمادي، ومحاكاة هجمات التصيد الاحتيالي
تقييم الثغرات الأمنية، وتنفيذ اختبار الاختراق
بدأ خبراؤنا عملهم بإجراء تقييم للثغرات الأمنية من خلال الفحص الآلي للتطبيق الموجَّه للجمهور والشبكة الخاصة. بعد ذلك، تحقَّقوا يدويًا من الثغرات الأمنية المكتشفة، لاستبعاد النتائج الإيجابية الخاطئة.
قدَّمت المنظمة لساينس سوفت بيانات اعتماد المستخدم، لتمكين فريقنا من إجراء اختبار الاختراق بطريقة الصندوق الرمادي (gray box) للمكونات المستهدفة. بعدها، أجرى خبراؤنا تقييمًا شاملًا للتأثير المحتمل للثغرات الأمنية المكتشفة باستخدام تقنيات مثل، تغيير بيانات الإدخال، والتحقق من آليات التحكم في الوصول. وقد استندت أنشطة الاختبار إلى إرشادات معيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115).
خلال اختبار الاختراق، اكتشف خبراؤنا وجود جهاز على شبكة العميل مُفعَّلًا به ميزة Cisco Smart Install، والتي لا تتطلب أي شكل من أشكال المصادقة للوصول إلى وظائفها والاستفادة منها. في حال عدم وجود ضوابط أمنية صارمة، يمكن للمهاجمين عن بُعد استغلال هذه الثغرة لسرقة ملفات التكوين التي تحتوي على رموز كلمات المرور، ومفاتيح تشفير، وغيرها من المعلومات الحساسة. كما يمكن للمهاجمين التسبب في إعادة تشغيل الجهاز أو تعطيله، ما قد يؤدي إلى حجب الخدمة (DoS).
كان هناك جهاز آخر على الشبكة الداخلية يستخدم بيانات اعتماد افتراضية، ما أتاح لفريقنا تخمين بيانات تسجيل الدخول والوصول إلى واجهة التحكم في الجهاز.
اكتشف خبراؤنا أيضًا عدم وجود آليات الحماية من هجمات القوة الغاشمة (brute-force) في تطبيق الويب، إذ تمكَّن فريقنا من إجراء أكثر من 3,400 محاولة تسجيل دخول دون تدخل من أي آليات مضادة لهجمات القوة الغاشمة، مثل: تعطيل الحساب أو حجب عنوان IP المستخدم في الهجوم.
لمعالجة هذه الثغرات وغيرها من المشكلات المكتشفة، أوصى خبراؤنا باتخاذ الإجراءات الآتية:
- استخدام قوائم التحكم في الوصول (ACLs)، لضمان أن برنامج التثبيت الذكي (Smart Install) فقط لديه إمكانية إنشاء اتصالات عبر بروتوكول التحكم في النقل (TCP) مع كافة الأجهزة التي يديرها. كما أوصى خبراؤنا بضبط إعدادات ميزة Cisco Control Plane Policing، لحماية بروتوكول التوجيه من التدفقات والطلبات غير الضرورية.
- التأكد من أن الأجهزة الموجودة على الشبكة لا تستخدم بيانات اعتماد افتراضية، وتطبيق سياسة قوية لكلمات المرور.
- تطبيق آليات تحديد معدل الطلبات، والحماية من هجمات القوة الغاشمة (brute force)، وتعطيل الحسابات أو إضافة رموز التحقق (captcha).
- تهيئة مستوى تشفير عالٍ أو متوافق مع معيار معالجة المعلومات الفيدرالية (FIPS) لبروتوكول سطح المكتب البعيد (RDP). خلاف ذلك، قد يُسهِّل استخدام التشفير الضعيف مع Terminal Services التجسس على الاتصالات.
- تحديث البرمجيات القديمة غير الآمنة لأحدث إصداراتها، لتجنب استغلال الثغرات المعروفة، وحدوث خروقات للبيانات.
اختبارات الهندسة الاجتماعية
أجرى خبراؤنا محاكاة للعديد من سيناريوهات الهندسة الاجتماعية (social engineering) على 325 عنوان بريد إلكتروني لموظفي المنظمة، إذ أرسلوا رسائل بريد إلكتروني تضم عناوين URL ضارة، ونماذج وهمية، إلى جانب العديد من الملفات القابلة للتنفيذ.
واستنادًا إلى نتائج اختبارات التصيد الاحتيالي، أوصى خبراؤنا بتنظيم دورات تدريبية لتعزيز الوعي الأمني لدى موظفي المنظمة. ورغم أن معظم المستخدمين اتبعوا تدابير السلامة وتجاهلوا رسائل البريد الإلكتروني الاحتيالية، إلا أن 8 موظفين نقروا على الروابط الضارة، كما قدَّم أحد الموظفين بيانات اعتماده في النموذج الوهمي.
توفير رؤية شاملة عن مستوى الدفاع السيبراني، وتعزيز الوعي الأمني لدى الموظفين
في غضون 10 أيام فقط، أجرى خبراء ساينس سوفت اختبارًا أمنيًا شاملًا لأكثر من 30 عنوان IP، و3 عناوين URL، و325 عنوان بريد إلكتروني لمنظمة أميركية غير ربحية بارزة. وقد حصلت المنظمة على تقرير شامل يوضح بالتفصيل الثغرات الأمنية المُكتشفة وأثرها المحتمل، بالإضافة إلى إرشادات وتوصيات عملية لكيفية معالجتها. بفضل تنفيذ توصياتنا التصحيحية، تمكَّنت المنظمة من تعزيز حماية المعلومات الصحية الشخصية (PHI) ومعلومات تحديد الهوية الشخصية (PII) للمستفيدين من خدماتها، وهو ما أكده خبراؤنا بعد إعادة الاختبار مرة أخرى.
التقنيات والأدوات
Metasploit, Nessus, Burp Suite, Acunetix, Nmap, tcpdump, SQLMap, Zed Attack Proxy (ZAP), JWT_Tool, SMBMap, Responder, Impacket, Invoke-Obfuscation, enum4linux, snmp-check, DNSRecon, NBTscan, Printer Exploitation Toolkit, Remote Server Administration Tools (RSAT), PHP, Bash, Python, PowerShell.
نتواصل معكم على الفور