إجراء اختبار الاختراق لمنظمة غير ربحية تضم أكثر من 500 ألف عضو، ما منع اختراقات البيانات والخسائر المالية

العميل

منظمة أميركية غير ربحية تأسست منذ ما يقرب من ثمانية عقود، أُدرجت شركة التأمين التابعة لها في قائمة «فوربس» لأفضل شركات التأمين في العالم لعام 2023. وتدعم المنظمة أكثر من 500,000 عضو من خلال توفير وثائق التأمين على الحياة، وخدمات الرعاية الصحية، والمِنح التعليمية، وغيرها من المزايا.

المنظمة تبحث عن شريك تقني موثوق في أمان تقنية المعلومات

كانت المنظمة تبحث عن مورد تقني ذي خبرة واسعة في مجال الأمن السيبراني، لاكتشاف الثغرات الأمنية المحتملة في شبكتها الداخلية (إنترانت) التي تضم ما يصل إلى 800 عنوان IP، وتقييم مستوى المخاطر الأمنية بها، واقتراح التدابير الوقائية اللازمة لتعزيز أمانها.

اختبار الاختراق بطريقة الصندوق الرمادي يرصد 20 مشكلة أمنية عاجلة

بخبرة تفوق 20 عامًا في الأمن السيبراني، استوفت ساينس سوفت معايير المنظمة وتولّت المشروع.

بعد تحليل الاحتياجات الأمنية للمنظمة، اختار فريقنا إجراء اختبار الاختراق بطريقة الصندوق الرمادي (gray box)، لمحاكاة تصرفات المهاجمين بصلاحيات محدودة إلى الشبكة الداخلية للمنظمة.

بدأ فريقنا عمله بتقييم الثغرات الأمنية في الشبكة، باستخدام أدوات فحص آلية، ومن ثم التحقق اليدوي من صحة النتائج. وبعد استبعاد النتائج الخاطئة، حاول فريقنا استغلال الإعدادات الأمنية الخاطئة، وآليات المصادقة المُعطلة، وضعف التحكم في الوصول، وغيرها من الثغرات المكتشفة في الشبكة الداخلية. ونتيجة لذلك، تمكَّن خبراؤنا من الوصول غير المصرح به إلى البنية التحتية والبيانات الحساسة.

نفَّذ فريقنا إجراءات اختبار الاختراق وفقًا لأفضل الممارسات المحددة في معيار تنفيذ اختبارات الاختراق (PTES)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). أجرى خبراؤنا تقييمًا شاملًا للثغرات المكتشفة بناءً على احتمالية استغلالها وأثرها المحتمل، وذلك باستخدام معيار تصنيف التهديدات في أنظمة الأمن السيبراني الصادر عن المعهد الوطني للمعايير والتكنولوجيا (NIST CVSS). ورصد خبراؤنا 9 مشكلات أمنية شديدة الخطورة، إلى جانب 11 مشكلة متوسطة الخطورة، ما قد يُعرِّض المنظمة لمخاطر الخسارة المالية والإضرار بالسمعة. يمكن أن تتسبب هذه الثغرات الأمنية في تسرب البيانات الشخصية، والكشف عن البيانات الحساسة، وتوزيع البرمجيات الضارة. وشملت الثغرات الأمنية المكتشفة ما يأتي:

• ضعف التحكم في الوصول إلى قاعدة بيانات Redis، وأجهزة الشبكة، والمجلدات المشتركة التي يمكن الوصول إليها باستخدام بيانات تسجيل المسؤولين، وغيرها من المعلومات السرية.
• وجود مكونات برمجية قديمة تضم 29 ثغرة معروفة في 55 خادمًا مضيفًا.
• استخدام بروتوكول SSLv3 القديم الضعيف أمنيًا بواسطة العديد من خدمات تشفير الاتصالات عن بُعد.
• كانت العديد من خوادم الويب تدعم مصادقة النص العادي بتنسيق غير مشفر، ما يتيح للمهاجمين إمكانية اعتراض حركة المرور للحصول بيانات تسجيل الدخول وكلمات المرور للمستخدمين المصرح لهم.

لمعالجة هذه المشكلات، أوصى خبراؤنا باتخاذ الخطوات الآتية:

• تطبيق ضوابط صارمة للوصول إلى البيانات وفقًا لمبدأ الحد الأدنى من الصلاحيات، ووضع سياسة قوية لكلمات المرور تمنع استخدام بيانات التسجيل الافتراضية وكلمات المرور الفارغة أو الضعيفة.
• إعداد قوائم التحكم في الوصول وقواعد جدران الحماية للسماح فقط للخوادم المحددة بالاتصال بأنظمة التخزين.
• نقل المعلومات الحساسة من الملفات النصية العادية والمجلدات المشتركة إلى المخازن الآمنة.
• تحديث البرمجيات القديمة لأحدث إصداراتها.
• تعطيل بروتوكول SSLv3، واستخدام بروتوكولات TLS 1.2 وTLS 1.3..
• تشفير بيانات المصادقة باستخدام بروتوكول نقل النص التشعبي الآمن (HTTPS).

الاختبار الأمني السريع يمنع الخسائر المالية والإضرار بسمعة المنظمة

في غضون أسبوعين فقط، نجح فريق ساينس سوفت في إجراء فحص أمني شامل لشبكة داخلية خاصة تضم نحو 800 بروتوكول IP، ما أدى إلى اكتشاف 20 مشكلة أمنية تتراوح بين عالية ومتوسطة الخطورة. وبعد تنفيذ توصياتنا بشأن الإجراءات التصحيحية، تمكَّنت المنظمة من معالجة الثغرات الأمنية التي يمكن أن يستغلها المهاجمون، وهو ما أكده خبراؤنا بعد إعادة الاختبار مرة أخرى.

التقنيات والأدوات

DirB, w3af, cURL, Nikto, Metasploit, Wireshark, Nessus, Nmap, Telnet, SSLScan, SQLmap, John the Ripper, MIB Browser, Hydra, Burp Suite, Acunetix, smbclient, Redis CLI, CrackMapExec, tcpdump, SNMPwalk, Hashcat, Python, PowerShell, PHP, JavaScript, Perl.