إجراء اختبار الاختراق بطريقة الصندوق الرمادي لشركة رائدة في تقديم خدمات إدارة المخاطر

العميل

شركة عالمية رائدة في تقديم خدمات إدارة المخاطر، تتمتع بخبرة تمتد لعقود من الزمن في هذا المجال.

إجراء اختبارات الأمان سنويًا لتعزيز الحماية من المخاطر السيبرانية

تتمتع شركة العميل بخبرة عملية في تقديم خدمات الأمان، بما في ذلك إدارة المخاطر السيبرانية، وتُكرِّس جهودها لحماية منصتها الإلكترونية من التهديدات السيبرانية الناشئة. تتعاون الشركة بانتظام مع ساينس سوفت لإجراء اختبارات الأمان للبنية التحتية لتقنية المعلومات ومكوناتها البرمجية. وفي إطار هذه الشراكة طويلة الأمد في مجال الأمن السيبراني، طلب العميل من فريقنا إجراء اختبار الاختراق بطريقة الصندوق الرمادي لتقييم أمان تطبيقات الويب وiOS وأندرويد لحلول إدارة مخاطر السفر لديه.

إجراء اختبار الصندوق الرمادي لتطبيقات الويب والجوال في أسبوعين فقط

قدم العميل لفريقنا بيانات تسجيل دخول المستخدمين والمسؤولين اللازمة للوصول إلى التطبيقات المستهدفة. وبدأ فريقنا عمله بتقييم الثغرات الأمنية في التطبيقات، إذ تضمنت هذه العملية استخدام أدوات فحص آلية، ومن ثم التحقق اليدوي من صحة نتائج هذا الفحص. بعدها، قام الفريق بمحاكاة سلوك مهاجم يمتلك معرفة محدودة ووصول جزئي إلى التطبيقات المستهدفة. كما حاول خبراؤنا استغلال الثغرات المكتشفة لتقييم أثرها المُحتمل في التطبيقات. وقد أجرى فريقنا الاختبار وفقًا لأفضل الممارسات المحددة في معيار تنفيذ اختبارات الاختراق (PTES)، ودليل اختبارات أمان الويب ودليل اختبارات أمان تطبيقات الجوال الصادران من مؤسسة مشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115).

أخيرًا، أجرى فريقنا تحليلًا عميقًا لنتائج الاختبار، وصنَّف المشكلات المكتشفة وفقًا لمعايير مؤسسة OWASP لأعلى 10 مخاطر أمنية لتطبيقات الويب وتطبيقات الجوال، كما قدم للعميل تقارير شاملة عن نتائج التحليل. وقد أثبت اختبار الاختراق أن تطبيقات الويب والجوال تتمتع بمستوى عالٍ من الأمان، كما رصد عدد قليل من نقاط الضعف غير الحرجة.

اقترح خبراؤنا تنفيذ التدابير الأمنية الآتية لتعزيز أمان التطبيقات:

• استخدام عناوين HTTP مثل: X-Frame-Options وContent Security Policy، لتعزيز حماية تطبيقات الويب من هجمات النقر الخداعي (clickjacking)، وهجمات البرمجة العابرة للمواقع (Cross-Site Scripting)، وغيرها من الهجمات الشائعة.
• تحديث البرامج القديمة لأحدث إصداراتها.
• تحديث سياسة كلمات المرور، لفرض استخدام كلمات مرور قوية.
• تنفيذ تدابير الحماية من هجمات القوة الغاشمة {مثل: إضافة رموز التحقق (CAPTCHA)، ووضع حدود لعدد محاولات تسجيل الدخول الفاشلة}.

بعد أن نفَّذ فريق العميل الإصلاحات المُقترحة، أعاد خبراؤنا اختبار التطبيقات مرة أخرى، وتأكدوا من نجاح معالجة الثغرات المكتشفة بالكامل.

هكذا، أكمل فريقنا المشروع الذي تضمن إجراء اختبار الاختراق وإعادة الاختبار في أسبوعين فقط.

تحقيق مستوى عالٍ من الأمان عن طريق إجراء اختبار شامل للاختراق

أكَّد اختبار الاختراق، الذي أجراه فريقنا بطريقة الصندوق الرمادي، الكفاءة العالية للضوابط الأمنية لدى العميل، وقدَّم أفكارًا قيِّمة لكيفية تحقيق المزيد من التعزيز للأمان التطبيقات.

بفضل المعرفة السابقة التي يمتلكها فريقنا عن منظومة تقنية المعلومات لدى العميل وتنفيذه مزيجًا مثاليًا من الاختبارات اليدوية والآلية، تمكَّن فريقنا من إجراء اختبار شامل للاختراق في غضون أسبوعين فقط. وقد مكَّنت التوصيات المفصلة التي قدمها خبراؤنا للعميل من تصحيح الثغرات الأمنية غير الحرجة التي تم اكتشافها بسرعة، ومكَّنته من اكتساب الثقة الكاملة في قدرة تطبيقات الويب وiOS وأندرويد لديه على مواجهة التهديدات السيبرانية.

التقنيات والأدوات

Metasploit, Nessus, Burp Suite, Acunetix, Nmap, SSLScan, WhatWeb, Nikto, DIRB, MobSF, Wireshark, Radare2, Ghidra, Apktool, Jadx, Hopper, Frida, Objection.

Custom scripts in Python, C, and Perl.