تقديم خدمات اختبار الاختراق لإحدى شركات برمجيات الرعاية الصحية
نبذة عن العميل
شركة أميركية لتطوير البرمجيات تُقدم حلولًا سحابية مُبتَكرة في مجال الرعاية الصحية. وطوال تاريخها المُمتد لأكثر من عقدين وحتى اليوم، تُعَزِّز الشركة إدارة البيانات وتَبادُلها بأمان وفعالية في 50,000 منشأة للرعاية الصحية، بما في ذلك المستشفيات والعيادات والمختبرات.
اختبارات أمنية منتظمة لمنع اختراق البيانات وتعزيز الامتثال
يولي العميل عناية خاصة بالامتثال لمتطلبات قانون نقل التأمين الصحي والمساءلة (HIPAA)، وذلك لكونه مُوَرِّدًا لبرمجيات تَجمَع المعلومات الصحية المحمية وتُجَهِّزها وتُخَزِّنها. ولتجنب الخسائر المالية والإضرار بسمعة الشركة الذي قد يسببه خرق بياناتها، يستند العميل إلى برنامج أمني شامل يتضمن إجراء اختبارات اختراق منتظمة. لذا، كان يحتاج إلى شريك تقني موثوق في مجال الأمن السيبراني (cybersecurity) لإجراء فحص أمني مستقل لنظامه.
منح العميل ثقته لساينس سوفت، المُوَرِّد المعتمد بشهادة الأيزو 27001، لخبرتها العملية المُثبَتة في الامتثال لمتطلبات قانون HIPAA، ولتمتُّعها بسِجِل حافل بالإنجازات في إجراء اختبارات الاختراق. وطوال فترة التعاون المستمرة منذ عامين وحتى يومنا هذا، تُجري ساينس سوفت اختبارات اختراق سنوية لتطبيقات الويب ومُكَوِّنات البنية التحتية لتقنية المعلومات لدى العميل.
اختبارات الاختراق تكشف عن نقاط ضعف مُحتملة للهجمات السيبرانية
أشاد العميل بنهج ساينس سوفت العملي وخبرتها الواسعة في مجال الأمن السيبراني (cybersecurity) التي ظهرت بوضوح في أثناء تعاونه السابق مع فريقنا. إلى جانب ذلك، فإن فريق ساينس سوفت على دراية ببيئة تقنية المعلومات لدى العميل، ما يمكنه من إجراء اختبارات الاختراق على نحو أسرع وبتكلفة أقل. لذا، حرص العميل على مواصلة التعاون معنا لتنفيذ مشروع آخر.
هذه المرة، شمل نطاق الاختبارات 4 تطبيقات ويب، و45 من خدمات واجهة برمجة التطبيقات (Application Programming Interface - API)، بالإضافة إلى الشبكة الخارجية (60 عنوان IP عامًا). واتفق العميل وخبراء الأمان لدينا على تطبيق طريقة الاختبار محدود المعرفة للبرمجيات، أو نهج الصندوق الرمادي (Gray Box)، لضمان الاستكشاف الشامل للثغرات الأمنية ضمن المدة الزمنية المُحددة والميزانية المُخَصَّصة للمشروع.
كشف فحص نقاط الضعف (vulnerability scanning) وإجراء اختبار الاختراق يدويًا عن 15 مشكلة أمنية. وقدم فريق ساينس سوفت للعميل قائمة بالثغرات الأمنية المُكتشفة وصنَّفها وفقًا للقائمة التي تصدرها مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (Open Web Application Security Project Foundation - OWASP) لأعلى عشرة مخاطر أمنية (OWASP Top 10) وكذلك قائمتها لأعلى 10 مخاطر أمنية على واجهات برمجة التطبيقات (OWASP API Top 10)، بالإضافة إلى تصنيفات المعهد الوطني للمعايير والتكنولوجيا (NIST) لنظام تسجيل نقاط الضعف المشترك (CVSS). وكان خبراؤنا سُعداء بالإبلاغ عن تحوُّل معظم المشكلات الأمنية إلى التصنيف «منخفض الخطورة». يعني ذلك صعوبة استغلال المخترقين المحتملين لتلك الثغرات الأمنية للتحكم في تطبيقات الويب والبنية التحتية لتقنية المعلومات للعميل وإلحاق الضرر بها. ومع ذلك، كان أحد تطبيقات الويب الذي خضع لتعديلات جوهرية يحتوي على عيوب أمنية شديدة الخطورة نشرحها فيما يلي:
- ثغرات البرمجة عبر المواقع (Cross-Site Scripting - XSS) المُخَزَّنة: في حال استغل المُخترقون هذه الثغرات الأمنية، كانوا ليتمكنوا من الحصول على بيانات اعتماد المستخدمين (user credentials) أو البيانات الحسَّاسة المُخَزَّنة في حساباتهم أو في المتصفحات، وبالتالي التسلل إلى جلسات إجراءات المستخدمين (user sessions) وانتحال هوياتهم. وتعد هجمات البرمجة عبر المواقع (XSS) المُخزنة خطيرة للغاية، إذ لا يتعين على الضحايا النقر على رابط خبيث أو القيام بأي إجراء آخر غير استخدام تطبيق الويب بالطريقة المُعتادة للوقوع في شباك الاختراق.
- وظائف برمجية في تطبيق الويب تسمح للمخترقين بإرسال رسائل عشوائية إلى مستخدميها عبر البريد الإلكتروني: في حال استغل المخترقون هذه الثغرة، كان ليمكنهم إرسال رسائل بريد إلكتروني احتيالية (phishing emails) لتضليل المستخدمين أو لتوزيع رسائل البريد العشوائي، ما قد يتسبب في حَظر خادم البريد الإلكتروني.
لمعالجة ذلك، أوصى خبراء الأمان في ساينس سوفت بالتحقق من مُرسِلي البريد الإلكتروني ومحتوى عنوان الموضوع في الواجهة الخلفية، وذلك لمنع هجمات البريد الإلكتروني. كما وضعوا مجموعة من التدابير الأمنية الواجب اتخاذها للحد من مخاطر هجمات البرمجة النصية عبر المواقع (XSS)، وهي على النحو التالي:
- استخدام محرر HTML بديل، على سبيل المثال، مُحرر BBcode.
- التحقق من إدخالات المستخدمين وفقًا لمعايير مُحدَّدة سابقًا لمنع المخترقين من إدخال نص خبيث مُصَمَّم لإلحاق الضرر بتطبيق الويب.
- تدقيق البيانات بعد إرسالها إلى خادم الويب وقبل عرضها للمستخدمين.
- تأمين ملفات تعريف الارتباط (cookies)، على سبيل المثال، ربطها بعناوين IP معينة، ومنع الوصول إليها باستخدام أكواد جافا سكريبت (JavaScript).
- إنشاء قواعد لجدار حماية تطبيق الويب، لحجب إرسال الطلبات المشبوهة إلى الخادم، بما في ذلك هجمات البرمجة النصية عبر المواقع (XSS).
أعاد فريق ساينس سوفت اختبارات الاختراق، بعد الاتفاق مع العميل على المدة الزمنية اللازمة لذلك. وتأكد الفريق من المعالجة الشاملة للثغرات الأمنية المُكتشفة، وأبلغوا العميل بمستوى الأمان الفائق للبرمجيات المستهدف اختبارها. ونظرًا لاهتمام العميل بالحفاظ على أعلى مستوى للدفاع السيبراني (cyber defense) في شركته، أوصى خبراء الأمان في ساينس سوفت باتخاذ العديد من التدابير الإضافية التي من شأنها تحسين وضع الأمن السيبراني (cybersecurity) للشركة بقدرٍ ملحوظ، وهي على النحو التالي:
- إعداد قائمة بالأصول الخارجية والداخلية لتقنية المعلومات (يُفَضَّل إعدادها بالتزامن مع إجراء تقييم للثغرات الأمنية): إن الرؤية الشاملة لجميع أصول تقنية المعلومات أمر ضروري لتعزيز إدارة الأمان، إذ تساعد على ضمان إجراء فحوصات أمنية سريعة للبيانات الأساسية للأعمال والتطبيقات والبنية التحتية لتقنية المعلومات. كذلك تساعد على إجراء التحديثات والتصحيحات للبرمجيات القديمة والضعيفة أمنيًا، وغير ذلك الكثير.
- إجراء اختبار الهندسة الاجتماعية (social engineering) عن طريق محاكاة هجمات التَصَيُّد الاحتيالي باستخدام رسائل البريد الإلكتروني (email phishing): تبدأ معظم الهجمات السيبرانية برسالة إلكترونية احتيالية. لذا، تُعد اختبارات الهندسة الاجتماعية طريقة فعَّالة لتقييم وتعزيز نظام أمان البريد الإلكتروني وتنمية الوعي الأمني لدى الموظفين. يساعد هذا النوع من الاختبارات أيضًا على الحد من مخاطر الأخطاء البشرية الشائعة التي قد تُضعِف الدفاع السيبراني للشركة (مثل فتح المرفقات من مرسِلين مجهولين أو إدخال بيانات حساسة على مواقع مزيفة).
معالجة الثغرات الأمنية قبل أن يعثر عليها المخترقون
بفضل اختبارات الاختراق التي أجرتها ساينس سوفت، اكتشف العميل نقاط الضعف الأمنية في نظام شركته، والتي كانت من الممكن أن تؤدي إلى اختراق للبيانات. ونتيجة للتوجيه الشامل الذي قدمته ساينس سوفت بشأن كيفية معالجة نقاط الضعف الأمنية، عالج الفريق الداخلي للشركة العيوب الأمنية المُكتشفة على الفور. وقد نتج عن إعادة خبرائنا للاختبارات زيادة ثقة العميل في أمان تطبيقات الويب وواجهات برمجة التطبيقات (APIs) والشبكة الخارجية. إلى جانب ذلك، تلقي العميل مشورتنا بشأن كيفية تعزيز استراتيجيات الأمان في شركته. كما أُضيفت التقارير التي قدمتها ساينس سوفت بشأن اختبارات الاختراق إلى وثائق الامتثال لدى العميل.
التقنيات والأدوات
Metasploit, Nessus, Burp Suite, OWASP ZAP, Acunetix, Nmap, SoapUI, Postman, Sslscan, Nikto.
نتواصل معكم على الفور