اختبار الاختراق لإحدى جمعيات ضمان التأمين الصحي يكشف عن ثغرات لدى المورّدين

نبذة عن عميلنا

جمعية أميركية غير ربحية تهدف إلى حماية المؤمن عليهم عند إفلاس شركات التأمين الصحي والتأمين على الحياة.

الحاجة إلى خبرة في مجال الأمن السيبراني لقطاع الخدمات المالية والتأمين

تعتمد الجمعية على تطبيق ويب خاص بها يُعد نقطة وصول مركزية للأعضاء، والموظفين، والمؤسسات التابعة لها. من خلال هذا التطبيق، يُمكن للمستخدمين تسجيل الدخول وتنفيذ مهام حساسة مثل الوصول إلى الحسابات، ومعالجة المطالبات، وإدارة التقاعد والمزايا، وإتمام المعاملات المالية.

بالإضافة إلى التطبيق، تستخدم الجمعية خدمات خارجية متكاملة للإدارة المالية، وإدارة الاستثمار والثروات، وإدارة الموارد البشرية. كما تعتمد على منصات إلكترونية لتبادل البيانات، والتنسيق مع جمعيات الضمان الأخرى.

يُعد تأمين هذه المنظومة التقنية أمرًا أساسيًا لحماية المعلومات الشخصية والمالية والصحية للمستخدمين، ومنع أي اضطرابات للأعمال قد تنجم عن خروقات أمنية محتملة.

نظرًا لأن الجمعية تعالج بيانات حساسة للمؤمن عليهم، كان من الضروري الامتثال للوائح الفيدرالية والخاصة بكل ولاية (بما في ذلك HIPAA وGLBA)، والتوافق مع معايير الأمان المعتمدة مثل ISO 27001، وإطار عمل الأمن السيبراني NIST، وضوابط مركز أمن الإنترنت (CIS)؛ لحماية المعلومات وإدارة مخاطر الجهات الخارجية.

كانت الجمعية تبحث عن شريك تقني موثوق في مجال الأمن السيبراني، يتمتع بمعرفة متعمقة بتفاصيل التهديدات السيبرانية في قطاع التأمين الصحي. وبفضل خبرتنا الواسعة في قطاعي التأمين وتقنية معلومات الرعاية الصحية، منحت الجمعية ثقتها بساينس سوفت، وكلفتنا بإجراء اختبار الاختراق لمنظومتها التقنية.

اختبار الاختراق الخارجي للأنظمة المتكاملة لدى جمعية ضمان التأمين

وفقًا لدليل اختبار أمان الويب من OWASP، أجرى فريق ساينس سوفت اختبار اختراق بطريقة الصندوق الأسود، مع التركيز على تطبيق الويب الخاص بالجمعية، ونقاط تكامله مع الخدمات الخارجية. وقد شمل الاختبار الأصول التقنية التالية:

• تطبيق الويب الخاص بالجمعية، الذي يُعد نقطة الدخول الرئيسية للمستخدمين.
• البنية التحتية المحيطية، بما في ذلك نطاقات IP المخصصة، والخوادم السحابية التي تدعم المصادقة والتحكم في المجال (Domain Control).

شمل الاختبار أيضًا نقاط التكامل مع الخدمات الخارجية المتصلة بمنصة الويب الخاصة بالعميل، مثل:

• المنصات السحابية للمحاسبة والإدارة المالية.
• الخدمات المصرفية، وإدارة الفواتير والمدفوعات والتسوية.
• منصات أبحاث وتحليلات السوق.
• خدمات إدارة رأس المال البشري.
• أنظمة إدارة الاستثمار والثروات.
• بوابات التقاعد ومزايا الموظفين.
• بوابات التأمين الصحي والتأمين على الأسنان.
• منصات إلكترونية للتنسيق بين جمعيات ضمان التأمين.

بعد الانتهاء من اختبار الاختراق، كان مهندسو الأمن السيبراني في ساينس سوفت سعداء بعد التأكد من خلو تطبيق الويب والبنية التحتية للجمعية من أي ثغرات أمنية. ومع ذلك، تبيَّن أن 7 من أصل 11 خدمة خارجية متكاملة تحتوي على ثغرات أمنية. في المجمل، اكتشف الفريق 11 مشكلة أمنية، جرى تصنيفها وفقًا لقائمة OWASP Top 10 لأعلى 10 مخاطر أمنية على الويب، ومعايير نظام تسجيل نقاط الضعف المشترك (CVSS) من المعهد الوطني للمعايير والتكنولوجيا (NIST). وقد صُنِّفت 7 من الثغرات الأمنية المكتشفة على أنها متوسطة الخطورة، وهو المستوى الذي قد يُمكّن المهاجمين من الحصول على سيطرة جزئية على الأنظمة المتأثرة أو حتى سيطرة كاملة في ظل ظروف معينة.

بناءً على مدى أهمية كل خدمة متكاملة، والمخاطر التي قد تشكلها الثغرات الأمنية المكتشفة على سرية البيانات وسلامتها وتوافرها؛ أوصى فريق الاختبار بالتدابير التصحيحية التالية:

• فرض رموز التحقق (CAPTCHA) لمحاولات تسجيل الدخول المتكررة، لمنع الهجمات الآلية مثل تخمين كلمة المرور، أو جمع بيانات الحسابات (Account Harvesting).
• التحقق من صحة جميع بيانات المستخدم وتنظيفها، لضمان عدم إمكانية إدخال أي أوامر أو نصوص برمجية ضارة.
• تقييد الطلبات الواردة من مصادر مختلفة إلى النطاقات الموثوقة، لمنع مواقع الويب العشوائية من إرسال الطلبات وقراءة الردود.
• تدقيق وتقييد الوظائف من جانب الخادم في تطبيقات الويب، التي يمكنها إرسال طلبات إلى أنظمة أخرى، مثل عمليات بحث DNS أو استدعاءات النظام، مع السماح بالعمليات الآمنة والموثقة فقط. يعمل ذلك على منع المهاجمين من استغلال التطبيق لاستهداف شبكات أو خدمات أخرى (فئة من المخاطر تُعرف باسم تزييف الطلبات من جانب الخادم، أو SSRF).
• تحديث البرمجيات والمكتبات والخوادم باستمرار، لتصحيح الثغرات الأمنية المعروفة قبل أن يتمكن المهاجمون من استغلالها.
• ترقية بروتوكولات التشفير إلى إصدار TLS 1.2 أو أعلى، لتأمين الاتصالات بين المستخدمين والأنظمة المتأثرة، ومنع المهاجمين من اعتراض البيانات المرسلة أو التلاعب بها.

نظرًا لعدم تمكن الجمعية من إصلاح الثغرات الأمنية الخارجية بشكل مباشر، منحت نتائج التقرير الجمعية ما يلي:

• أدلة على الامتثال والتدقيق (إجراء العناية الواجبة).
• القدرة على إخطار الموردين بالثغرات الأمنية المكتشفة، وطلب إصلاحات أمنية مستهدفة.
• معلومات لإعادة تقييم بنية تكامل أنظمة تقنية المعلومات، واستبدال الموردين ذوي المخاطر العالية الذين يفتقرون إلى ضوابط أمنية موثوقة.

اختبار الاختراق يقدم رؤى قيّمة حول الامتثال، وحماية البيانات، وإدارة مخاطر الموردين

أجرت ساينس سوفت اختبار اختراق بطريقة الصندوق الأسود لإحدى جمعيات ضمان التأمين على الحياة والصحة في الولايات المتحدة، شمل الموقع الإلكتروني العام للجمعية، والبنية التحتية، و11 خدمة متكاملة من جهات خارجية. وقد كشف الاختبار عن 11 ثغرة أمنية في الخدمات المتكاملة، من بينها 7 صُنفت عالية الخطورة، إذ يمكن أن يستغلها المهاجمون للحصول على وصول غير مصرح به إلى البيانات الحساسة أو السيطرة على الأنظمة المتأثرة.

قدم التقييم الأمني للجمعية رؤى مهمة حول المخاطر الخارجية التي تؤثر في عملياتها وبياناتها الحساسة. وقد عززت نتائج الاختبار قدرة الجمعية على:

• إثبات الامتثال للوائح ومعايير الصناعة.
• تعزيز حماية البيانات من خلال فهم وتخفيف المخاطر التي تهدد سرية البيانات وسلامتها وتوافرها.
• تحسين إدارة مخاطر الموردين من خلال استخدام النتائج لإشراك مقدمي الخدمات الخارجية، واتخاذ قرارات مستنيرة بشأن عمليات التكامل المستمرة.

التقنيات والأدوات

Dirsearch, BurpSuite, Acunetix, SSLScan, Python, C, Perl.