ar flag +1 214 306 68 37
 إجراء اختبارات أمان البنية التحتية لتقنية المعلومات لمصرف تجزئة خليجي

إجراء اختبارات أمان البنية التحتية لتقنية المعلومات لمصرف تجزئة خليجي

قطاع الصناعة
الخدمات المصرفية

العميل

واحد من أكبر المصارف الخليجية للتجزئة، يضم نحو 550 فرعًا، ويقدم خدمات مصرفية شاملة لأكثر من 2.5 مليون عميل.

التحدي

كان المصرف يحتاج إلى تقييم الضوابط الأمنية المطبقة في البنية التحتية لتقنية المعلومات لديه. لذا، بدأ عميلنا يبحث عن شريك تقني موثوق بخبرة مثبتة في إجراء اختبارات الأمان ودراية عميقة بقطاع الخدمات المصرفية، وذلك لتنفيذ المهام التالية:

  • تقييم الثغرات الأمنية وإجراء اختبارات الاختراق للمحيط الخارجي للشبكة.
  • تقييم الثغرات الأمنية وإجراء اختبارات الاختراق للبيئة الداخلية للشبكة (الخوادم، وجدران الحماية، وغيرها من المكونات).
  • تقييم المخاطر الأمنية للقنوات الرقمية للمصرف (الخدمات المصرفية عبر الإنترنت، والخدمات المصرفية عبر الجوال، وخدمة نقاط البيع المتنقلة للتجار، وعمليات الدفع باستخدام رمز الاستجابة السريعة، ومدفوعات العملاء، والتواصل عبر الشبكات الاجتماعية).
  • محاكاة هجمات الهندسة الاجتماعية عبر رسائل البريد الإلكتروني للموظفين لتقييم قدرتهم على صد هجمات التصيد الاحتيالي.

الحل

في إطار تقديم خدمات اختبارات الأمان، نفذ فريق ساينس سوفت المكون من متخصصين معتمَدين في الأمن السيبراني الإجراءات التالية:

  • تقييم الثغرات الأمنية وإجراء اختبارات الاختراق لـ60 عنوان IP خارجي.
  • تقييم الثغرات الأمنية وإجراء اختبارات الاختراق للشبكة الداخلية.
  • تقييم المخاطر الأمنية للقنوات الرقمية للمصرف (الخدمات المصرفية عبر الإنترنت، والخدمات المصرفية عبر الجوال، وخدمة نقاط البيع المتنقلة للتجار، وعمليات الدفع باستخدام رمز الاستجابة السريعة، ومدفوعات العملاء، والتواصل عبر الشبكات الاجتماعية).
  • محاكاة هجمات الهندسة الاجتماعية.

تقييم الثغرات الأمنية وإجراء اختبارات الاختراق للمحيط الخارجي للشبكة

أجرى فريق ساينس سوفت اختبارات الاختراق بطريقة الاختبار الوظيفي للبرمجيات، أو ما يعرف باختبار الصندوق الأسود، للمحيط الخارجي لشبكة المصرف. ولم يتمكن المخترقون الأخلاقيون من اختراق الشبكة دون بيانات اعتماد. لذلك، انتهجوا طريقة الاختبار محدود المعرفة، أو ما يعرف باختبار الصندوق الرمادي، باستخدام بيانات تسجيل دخول المستخدم دون إمكانية الوصول إلى الشبكة بأكملها. وقد كشف اختبار الصندوق الرمادي عن ثغرة أمنية في الخادم البعيد لدى المصرف تسمح بالتلاعب الخارجي بإعدادات الخادم. لمعالجة ذلك، أوصت ساينس سوفت المصرف بإبلاغ مورد برمجيات الخادم لإصلاح المشكلة.

ومن بين التوصيات الأخرى التي قدمتها ساينس سوفت ضرورة التخلص من تسرب عناوين IP الداخلية من خادم نظام أسماء النطاقات (DNS) إلى صفحات الويب المرئية لعملاء المصرف.

تقييم الثغرات الأمنية وإجراء اختبارات الاختراق للشبكة الداخلية

فحص مهندسو الأمان في ساينس سوفت الشبكة الداخلية للمصرف لتحديد الثغرات الأمنية بها، واستغلوا الثغرات المكتشفة باستخدام طريقة اختبار الصندوق الرمادي. كما اكتشف فريقنا أن أحد خوادم المصرف يستخدم إصدارًا قديمًا من بروتوكول HTTPS، وهو بالغ الأهمية للبيئة المصرفية لتخزينه بيانات العملاء.

بالإضافة إلى ذلك، نفذ خبراؤنا أمرًا برمجيًا عن بُعد على جدار الحماية الذي أعده مورد خارجي، واستطاعوا قراءة ملفات جميع مجموعات شبكة المصرف. هذه الثغرة يمكن أن تسمح للمتسللين المحتملين بالحصول على امتيازات المستخدمين والتحكم في خادم المصرف. وتضمنت التوصيات التي قدمتها ساينس سوفت لمعالجة مشكلات الشبكة الداخلية ما يلي:

  • تحديث بروتوكول HTTPS.
  • تحديث أو تغيير برمجيات جدار الحماية.

تقييم مخاطر الأمان للقنوات الرقمية للمصرف

حلل فريق ساينس سوفت المخاطر الأمنية المحتملة للقنوات الرقمية التالية لدى المصرف: الخدمات المصرفية عبر الإنترنت، والخدمات المصرفية عبر الجوال، وخدمة نقاط البيع المتنقلة للتجار، وعمليات الدفع باستخدام رمز الاستجابة السريعة، ومدفوعات العملاء، والتواصل عبر الشبكات الاجتماعية. وكشف فريقنا عن العديد من المخاطر الأمنية في خدمات الدفع والتواصل التي يستخدمها عملاء المصرف، وهي كالتالي:

  • بدء أنشطة خبيثة (على سبيل المثال: عمليات تحويل الأموال) باستخدام جهات اتصال العملاء.
  • بدء اتصالات خبيثة باستخدام جهات اتصال العملاء (بما في ذلك جهات الاتصال في شبكات التواصل الاجتماعي).

ولمعالجة ذلك، أوصى خبراؤنا بتنفيذ الإجراءات التالية:

  • إضافة وظيفة برمجية للتحقق من مستخدمي خدمات الدفع والتواصل لمنع الاتصالات الخبيثة.
  • إضافة وظيفة برمجية لتأكيد عمليات الدفع والتحويلات المالية الأخرى.

محاكاة هجمات الهندسة الاجتماعية

أجرى خبراء الأمان في ساينس سوفت محاكاة لهجمات التصيد الاحتيالي عبر رسائل البريد الإلكتروني لموظفي المصرف. وتمكن المخترقون الأخلاقيون من إقناع 65% من الموظفين المستهدفين بإرسال بيانات شخصية عبر البريد الإلكتروني، ما قد يسمح للمتسللين المحتملين بالاطلاع على بيانات اعتماد المستخدمين.

لمعالجة ذلك، أوصى خبراؤنا المصرف بعقد ورش تدريبية لتوعية الموظفين بخطر هجمات الهندسة الاجتماعية والتصيد الاحتيالي عبر البريد الإلكتروني وكيفية التصدي لها، وتبادل المعرفة عن أحدث تهديدات الأمن السيبراني.

النتائج

نفذت ساينس سوفت اختبارات الاختراق للشبكة، وقدمت للمصرف تقارير مفصلة عن تقييم الثغرات الأمنية والمخاطر الأمنية للقنوات الرقمية، بالإضافة إلى توصيات لمعالجة الثغرات المكتشفة. وبعد معالجة جميع المشكلات وفقًا للخطة المقترحة، أعاد المصرف الاختبارات مرة أخرى، وكانت النتيجة ارتفاع المستوى الأمني للمحيط الخارجي للشبكة والبيئة الداخلية لشبكته.

في المرحلة المقبلة، يخطط المصرف إلى تكليف ساينس سوفت بإجراء اختبارات اختراق الأمن السيبراني للكشف عن العوامل المسؤولة عن التهديدات المحتملة وتقديم خدمات الاختراق الأخلاقي المشترك، أو ما يعرف بخدمات الفريق الأحمر، لتقييم إمكانات الكشف عن هجمات الاختراق الحقيقية والتصدي لها.

التقنيات والأدوات

Nmap, Nessus, Burp Suite, Gophish, Metasploit, Netcat, DIRB, Nikto, SSLScan, Firefox Developer Tools

هل تحتاج إلى استشارة؟

تواصل معنا! نحن هنا للإجابة عن أسئلتك على مدار الساعة وطوال أيام الأسبوع.

Upload file

اسحب وأفلت لتحميل ملف أو أكثر

الحد الأقصى لحجم الملف 10 ميغابايت، حتى 5 ملفات وإجمالي 20 ميغابايت

التنسيقات المدعومة:

doc, docx, xls, xlsx, ppt, pptx, pps, ppsx, odp, jpeg, jpg, png, psd, webp, svg, mp3, mp4, webm, odt, ods, pdf, rtf, txt, csv, log