تقييم أمان تقنية المعلومات لسوق إلكتروني أميركي لخدمات التأمين
نبذة عن العميل
واحدة من أبرز شركات تكنولوجيا التأمين في الولايات المتحدة، تحافظ على تصنيفها بدرجة +A في مؤسسة Better Business Bureau، وهي مؤسسة غير ربحية تُصَنِّف أداء الشركات بناءً على معايير الثقة والمصداقية ورضا العملاء.
توفر شركة العميل سوقًا إلكترونيًا سهل الاستخدام لخدمات التأمين، يساعد الآلاف من مستخدميه على إيجاد خطط تأمين مثالية بأسعار معقولة.
الحاجة إلى تقييم شامل للأمان
تُولي شركة العميل اهتمامًا خاصًا بالأمن السيبراني (cybersecurity)، إذ تتعامل مع البيانات الحساسة لعملائها، وبالتالي فأي اختراق أمني لبياناتها قد يضر بسمعتها واستقرارها المالي.
أراد العميل إجراء تقييم أمني شامل يتضمن تنفيذ اختبارات الاختراق لتطبيق الويب وواجهة برمجة التطبيقات (API)، وتدقيق أمان البنية التحتية لخدمات أمازون ويب (AWS)، وإجراء اختبار الهندسة الاجتماعية. ولتنفيذ ذلك، كانت الشركة تبحث عن مُوَرِّد تقني موثوق يتمتع بخبرة واسعة في مجال الأمن السيبراني لتقييم أمان الخدمات السحابية وحلول الويب لديها.
وقع اختيار العميل على ساينس سوفت لتنفيذ المشروع، وذلك لخبرتها الواسعة في إجراء اختبارات الأمان، وريادتها في تقديم خدمات مخصصة لتقييم الأمان السحابي، فضلًا عن فريقها المحترف من خبراء الأمان المعتمَدين بشهادة المخترِق الأخلاقي (Certified Ethical Hacker) والمعتمَدين من خدمات أمازون ويب.
اختبارات الاختراق تكشف عن نقاط ضعف أمنية في تطبيق الويب وواجهات برمجة التطبيقات
قدَّم العميل لفريق ساينس سوفت بيانات اعتماد المستخدم لإجراء الاختبار محدود المعرفة، أو ما يُعرف باختبار الصندوق الرمادي (Gray Box)، لأحد تطبيقات الويب واثنتين من واجهات برمجة التطبيقات. ونفَّذ خبراء الأمان في ساينس سوفت مجموعة من الاختبارات الأمنية الآلية واليدوية، كما أجروا محاكاة للعديد من سيناريوهات الهجمات الأمنية المُحتملة. واتبع فريقنا في ذلك منهجيات دليل اختبارات أمان الويب الصادر من مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP) ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). وكان خبراؤنا سُعداء للغاية لإبلاغ العميل أن المكونات المستهدف اختبارها أصبحت خالية من أي نقاط ضعف أمنية خطيرة يسهل على المخترقين استغلالها.
مع ذلك، اكتشف الفريق أن واجهات برمجة التطبيقات تحتوي على بعض الثغرات الأمنية متوسطة الخطورة، وهي:
ضعف التحقق من المدخلات: وهو ما قد يستغله المخترقون لإطلاق عدة أنواع من الهجمات للتسلل إلى مكونات التطبيق وسرقة المعلومات الحساسة المتاحة داخله وتعطيل عمله. ولمعالجة ذلك، أوصى فريق ساينس سوفت باستخدام التحقق الدلالي والبنائي من مدخلات المستخدمين للتأكد من أنها آمنة للمعالجة باستخدام التطبيق.
- خادم الويب Nginx غير مُحَدَّث: أوصى خبراء ساينس سوفت بتحديث الخادم إلى أحدث إصدار له حتى لا يتمكن المخترقون من استخدام نقاط الضعف فيه لتنفيذ تعليمات برمجية تحكُّمية أو التسبب في تعطيل الخادم.
أبلغ فريق ساينس سوفت العميل بوجود العديد من الثغرات الأمنية البسيطة في تطبيق الويب وواجهات برمجة التطبيقات، مثل: عدم وجود عناوين الأمان لبروتوكول HTTP، واستخدام بروتوكولات أمان طبقة النقل TLS 1.0 وTLS 1.1 غير الآمنة، والافتقار إلى الحماية اللازمة من هجمات brute-force أو ما يعرف بهجمات القوة الغاشمة، وإمكانية كشف المعلومات الحساسة عبر عنوان الاستجابة لبروتوكول HTTP، وغيرها. ورغم ضعف احتمالية استغلال المخترقين لهذه الثغرات الأمنية، أوصى فريق ساينس سوفت بمعالجتها لتجنب المخاطر المحتملة، وحدَّد الإجراءات اللازمة لذلك.
خبراء الهندسة الاجتماعية يختبرون قدرة الموظفين على مواجهة هجمات التصيُّد الاحتيالي والتصيُّد الصوتي
قدَّم العميل لفريق ساينس سوفت 38 عنوان بريد إلكتروني لموظفيه لإجراء اختبارات الهندسة الاجتماعية. ولتنفيذ فحص أمني شامل لتقييم قدرة موظفي الشركة على صد هجمات التصيُّد الاحتيالي، خطط فريق ساينس سوفت الاختبارات وأجراها على ثلاث مراحل:
- تحقق فريق اختبارات الأمان في ساينس سوفت من موثوقية آليات حماية البريد الإلكتروني، عن طريق إرسال رسائل احتيالية دون إضافة عناوين المرسلين إلى القائمة البيضاء. ونتيجة لذلك، تأكد فريقنا من أن خوادم البريد الإلكتروني تحمي المستخدمين من رسائل البريد الإلكتروني التي تحتوي على روابط ونماذج ومرفقات مشبوهة.
- استغل فريق الاختبار ثغرة التحقق من المدخلات، المُكتشفة في أثناء إجراء اختبار الاختراق، وتمكَّنوا عن طريقها من إرسال بريد إلكتروني يحتوي على رابط احتيالي من أحد عناوين الشركة. ونتيجة لذلك، نقر 4 من أصل 38 موظفًا مستهدفًا على الرابط الاحتيالي.
- أضاف فريق الاختبار في ساينس سوفت عناوين البريد الإلكتروني المُخصصة لإجراء الاختبار إلى القائمة البيضاء للتأكد من استلام الموظفين لرسائل البريد الإلكتروني الاحتيالية. ومع ذلك، وصلت تلك الرسائل في مجلد البريد الإلكتروني غير المهم، ولهذا أدرك الموظفون كون الرسائل المشبوهة ولم ينقروا على الروابط الموجودة بها.
في أثناء تقييمهم لقدرة الموظفين على مواجهة التصيُّد الصوتي، أجرى فريق ساينس سوفت محاكاة لعدة سيناريوهات حقيقية. على سبيل المثال، اتصل أحد أعضاء فريقنا بالموظفين المستهدف اختبارهم مُنتحلًا شخصية أحد موظفي الدعم التقني في الشركة وطلب منهم السماح بالاتصال عن بُعد أو تنفيذ أحد الأوامر البرمجية في نافذة مُوجِّه الأوامر (Command Prompt) ومشاركة النتائج معه. وبالفعل، نَفَّذ أحد موظفي العميل الأمر البرمجي الذي طلبه منه المخترِق المحتمل. أما باقي الموظفين، فقد رفضوا اتباع التعليمات وأبلغوا مديرهم بتلك المكالمات الاحتيالية.
بناءً على نتائج اختبار الهندسة الاجتماعية، قَيَّم خبراؤنا في الأمان مستوى قدرة الموظفين على مواجهة الهجمات الاحتيالية بالمرتفع. وأوصى خبراؤنا العميل بإجراء دورات تدريبية منتظمة للموظفين لتعزيز الوعي الأمني لديهم، وتحديث نظام أمان البريد الإلكتروني باستمرار لحمايته من محاولات التصيُّد الاحتيالي والتصيُّد الصوتي.
تدقيق الأمان السحابي لتعزيز حماية البنية التحتية لخدمات أمازون ويب
أجرت خبيرة الأمان في ساينس سوفت، المعتمَدة من خدمات أمازون ويب، مراجعة يدوية لمكونات البنية التحتية لخدمات أمازون ويب لدى العميل: Lambdas، وElastic Beanstalk app، وVPC، وS3، وEC2، وغيرها الكثير. وقد اكتشفت خبيرتنا العديد من الإعدادات الخاطئة التي قد يستغلها المخترقون المحتملون للتسلل إلى بيانات الشركة والتحكم فيها. ولحماية البيئة السحابية لدى العميل وفقًا لأفضل الممارسات الأمنية، أوصى فريق ساينس سوفت بتنفيذ الإجراءات التالية:
- تحليل العديد من الحسابات التي تتمتع بحقوق الإدارة والحد من الصلاحيات الممنوحة لمستخدميها لتصبح لأدوار محددة من المستخدمين.
- إنشاء إعدادات المصادقة متعددة العوامل لجميع المستخدمين.
- استخدام أداة AWS Config للتمتع برؤية شاملة لإعدادات موارد خدمات أمازون ويب والحصول على تنبيهات آلية بشأن أي تغييرات غير مرغوبة في الإعدادات.
- تمكين وتهيئة خدمة إدارة الحسابات CloudTrail للمراقبة المستمرة لأنشطة المستخدمين في جميع مكونات البنية التحتية لخدمات أمازون ويب.
- تهيئة جدار حماية تطبيقات الويب من خدمات أمازون ويب للحماية من هجمات البرمجة عبر المواقع، وهجمات تزوير الطلب عبر المواقع، وهجمات حقن SQL، وغيرها من الهجمات السيبرانية.
تقارير عملية وتعزيز شامل للأمان
نتيجةً لتقييم الأمان الذي أجراه خبراء ساينس سوفت، أصبح لدى العميل تقارير شاملة عن نتائج اختبار الاختراق، واختبار الهندسة الاجتماعية، وتدقيق أمان البنية التحتية لخدمات أمازون ويب. وتضمنت هذه التقارير الثغرات الأمنية المُكتشفة مُصنفةً حسب درجة خطورتها، وكذلك اقتراحات للتدابير التصحيحية اللازمة لمعالجتها.
باتباع الإرشادات التي قدمتها ساينس سوفت لمعالجة الثغرات الأمنية، تمكَّن فريق تقنية المعلومات لدى العميل من إزالة نقاط الضعف الأمنية بسرعة وتحقيق مستوى أمني عالٍ لبيئة تقنية المعلومات. ستكون التقارير التي قدمتها ساينس سوفت بمثابة دليل قيِّم يثبت مدى حرص الشركة على الامتثال الأمني لبرمجياتها.
التقنيات والأدوات
Burp Suite, Metasploit, Postman, OWASP ZAP, KiteRunner, Vooki, Nmap, SSLScan.
نتواصل معكم على الفور