إجراء اختبار اختراق لضمان أمان البيانات الصحية المحمية (PHI) لشركة برمجيات كخدمة (SaaS) تخدم أكثر من 9,000 صيدلية حول العالم

العميل

شركة أميركية متخصصة في توفير البرمجيات المتوافقة مع قانون نقل التأمين الصحي والمساءلة (HIPAA) لإدارة الصيدليات، تقدم خدماتها لأكثر من 9,000 مؤسسة حول العالم.

الحاجة إلى مورِّد موثوق في إجراء اختبار الاختراق لديه خبرة في برمجيات الرعاية الصحية

لضمان حماية بيانات عملائه، كان العميل يبحث عن مورد موثوق لتقييم أمان منصتها السحابية المُخصصة للتفاعل بين الصيدليات والمرضى. وبفضل خبرتنا الواسعة في مجال تقنية معلومات الرعاية الصحية والأمن السيبراني، منح العميل ثقته لساينس سوفت وكلَّفها باختبار أمان منصته السحابية.

اختبار الاختراق يكشف عن عيوب أمنية تُعرِّض سجلات المرضى للخطر

أجرى خبراؤنا اختبارًا أمنيًا شاملًا لمنصة العميل وفقًا لمعيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). وقد بدأ فريقنا باستخدام تقنيات جمع المعلومات مفتوحة المصدر (OSINT)، إذ أجرى خبراؤنا محاكاة لتصرفات المهاجمين الذين ليس لديهم معرفة مسبقة بالمكونات المستهدفة، وفحصوا الخدمات والتطبيقات والمنافذ العامة المرتبطة بالحل، بهدف تحديد أي ثغرات أمنية محتملة. تمكَّن فريقنا من جمع معلومات مثل أسماء المجالات ونطاقات عناوين IP، وتحديد التهديدات الممكنة مع ترتيب وسائل الهجوم والتسلل أو ما يعرف بناقلات الهجوم (attack vectors) والسيناريوهات حسب أولويتها.

في المرحلة التالية، أجرى خبراؤنا تقييمًا شاملًا للثغرات الأمنية باستخدم أدوات آلية مع التحليل اليدوي للثغرات المكتشفة، إذ فحصوا 106 عنوان IP، و23 اسمًا لنطاقات موازن التحميل المرن (ELB)، بالإضافة إلى 8 أجهزة ملحقة بواجهة برمجة التطبيقات (API).

في مرحلة اختبار الصندوق الأسود (black box)، استكشف خبراؤنا مدى احتمالية استغلال الثغرات الأمنية المكتشفة وتحليل أثرها المتوقع. ونتيجة لذلك، رصد فريقنا 13 ثغرة أمنية، من بينها 4 مشكلات شديدة الخطورة ومشكلتين متوسطة الخطورة. وشملت الثغرات الأمنية المكتشفة: الوصول غير المصرح به إلى المعلومات الحساسة، ووجود إعدادات أمنية خاطئة، وعيوب في التشفير، بالإضافة إلى إصدارات برمجية قديمة غير آمنة. ولمعالجة هذه الثغرات، وغيرها من المشكلات الأمنية المكتشفة، اقترح خبراؤنا اتخاذ التدابير التصحيحية الآتية:

• تصنيف المعلومات الصحية الحساسة، ومعلومات التعريف الشخصية (PII) والمعلومات الصحية المحمية (PHI) المُخزَّنة والمُعالجة بواسطة الخوادم، وفرض آليات قوية للتحكم في الوصول إليها، وتعطيل قائمة الدليل لمنع اختراقات البيانات.
• تقييد الوصول إلى الموارد المُخصصة للاستخدام الداخلي عبر الشبكة الافتراضية الخاصة (VPN) أو وكيل الأمان (proxy) أو خادم انتقال (jump host).
• استخدام بروتوكولات TLS 1.2 وTLS 1.3، وتعطيل بروتوكولات التشفير القديمة غير الآمنة (SSLv3 وTLS 1.0 وTLS 1.1).
• تحديث البرمجيات القديمة غير الآمنة إلى أحدث إصدار لها، لتقليل مخاطر الإفصاح عن المعلومات السرية، وهجمات حقن الأوامر البرمجية، وهجمات البرمجة النصية عبر المواقع (XSS)، وهجمات الوسيط (MITM)، وحجب الخدمة (DoS) وغيرها.

الكشف الفوري عن المشاكل الأمنية الخطيرة ومعالجتها بكفاءة

في غضون 5 أيام فقط، أجرى خبراء ساينس سوفت اختبار الاختراق بطريقة الصندوق الأسود لمنصة رقمية مُخصصة لتفاعل المرضى تضم 106 عنوان IP، و23 اسم نطاق ELB، و8 أجهزة متصلة بواجهة برمجة التطبيقات (API). وقد تلقى العميل تقريرًا شاملًا يعرض بالتفصيل أنشطة الاختبار، وتوصيات لمعالجة الثغرات الأمنية المكتشفة، مع تقييمها وتصنيفها وفقًا لمعايير تصنيف التهديدات الأمنية الصادرة من مؤسسة OWASP لأعلى 10 مخاطر أمنية لتطبيقات الويب وواجهات برمجة التطبيقات (OWASP TOP 10، OWASP API TOP 10) ونظام تسجيل نقاط الضعف المشتركة التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST CVSS). وبفضل التوصيات التصحيحية التي قدمها خبراؤنا، تمكن العميل من تعزيز أمان أصول تقنية المعلومات والبيانات الحساسة لديه، وهو ما أكدته إعادة اختبار سريعة أجراها فريقنا.

التقنيات والأدوات

Nessus, Burp Suite, Acunetix, Postman, Nikto, SSLScan, DirB, KiteRunner, Nmap, Netcat, Ffuf, PuTTY, Python, C, Perl.