إجراء اختبار اختراق بطريقة الصندوق الرمادي، قائم على المخاطر ومتوافق مع معيار ISO/IEC 27001 ولائحة GDPR، لشركة Sharpist

ملخص المشروع

أجرت ساينس سوفت تقييمًا أمنيًا شاملًا لتطبيقات الويب والجوال وواجهة برمجة التطبيقات (API) لمنصة Sharpist الرقمية المتخصصة في التدريب المهني وتنمية المهارات القيادية. وقد نفّذ فريقنا محاكاة لهجمات واقعية تستهدف أدوار المستخدمين المختلفة للتحقق من فعالية الضوابط الأمنية الحيوية لعملاء المؤسسات.

نبذة عن شركة Sharpist

Sharpist GmbH هي شركة لمنتجات البرمجيات كخدمة (SaaS) المؤسسية، متخصصة في التدريب المهني وتنمية المهارات القيادية. وتقدم الشركة دورات تدريبية فردية وجماعية عبر تطبيقات الويب والجوال، مستندة إلى فريق يضم أكثر من 1,000 مدرّب معتمد. ومنذ تأسيسها في عام 2018، قدمت Sharpist خدماتها لشركات عالمية رائدة مثل: Porsche، وAirbus، وIKEA، وBASF، وMetro.

تستثمر Sharpist بشكل كبير في الحفاظ على اعتمادها بشهادة ISO/IEC 27001 والامتثال للائحة GDPR لضمان حماية خصوصية بيانات عملائها. وكجزء من برنامجها الأمني، تُجري الشركة اختبارات اختراق خارجية دورية لمنصتها الرقمية المتجددة باستمرار. اختارت Sharpist ساينس سوفت لتنفيذ اختبار الاختراق بطريقة الصندوق الرمادي، نظرًا لسجلها القوي في الاختبارات الأمنية المعتمدة على المخاطر.

اختبار اختراق بطريقة الصندوق الرمادي قائم على المخاطر لمنصة التدريب الرقمية

بدأ التعاون بين ساينس سوفت وSharpist بتحديد أهداف الاختبار وحدوده ونطاقه، لضمان توافقه مع أولويات الأعمال وحماية الأصول الحساسة. وشمل نطاق الاختبار المكونات التالية: تطبيقات iOS وأندرويد والويب، بالإضافة إلى واجهة برمجة التطبيقات (API).

اختارت Sharpist نهج الصندوق الرمادي الذي يجمع بين سرعة الاختبار بطريقة الصندوق الأسود وعمق الاختبار بطريقة الصندوق الأبيض في المواضع الأكثر أهمية. وقد أجرى فريقنا الاختبار وفقًا لمعيار تنفيذ اختبار الاختراق (PTES)، ودليل اختبار أمن الويب لمشروع أمان تطبيقات الويب ذات المصدر المفتوح (OWASP Web Security Testing Guide)، ومنهجيات المعهد الوطني للمعايير والتكنولوجيا (NIST 800-115). وبدأ فريقنا باستخدام تقنيات جمع المعلومات مفتوحة المصدر (OSINT) لتحديد الأجزاء المستهدفة بالهجوم أو ما يعرف بسطح الهجوم (Attack Surface)، بما في ذلك أسماء النطاقات، والنطاقات الفرعية، والأصول المكشوفة للعامة. واستنادًا إلى البيانات المُجمَّعة، حدَّد الفريق نقاط الدخول المحتملة وعوامل الهجوم المرتبطة بها، ورتّبها حسب الأولوية.

خلال مرحلة الاختبار الفعَّال، استخدم فريق ساينس سوفت أدوات الفحص الآلي لاكتشاف الثغرات المعروفة بسرعة. وبعد ذلك، تابع فريقنا بإجراء اختبارات يدوية لإزالة النتائج غير الدقيقة ومحاكاة الهجمات الواقعية، بما في ذلك سيناريوهات استغلال الثغرات.

باستخدام بيانات تسجيل دخول مُعتمدة مسبقًا من الشركة لأدوار المتعلمين وأخصائي الموارد البشرية والمدربين، استهدف الفريق المناطق الأكثر تأثرًا بالمخاطر، وقد شملت مجالات التركيز ما يلي:

• التفويض والعزل متعدد المستخدمين: على سبيل المثال، تحقَّق فريقنا من أن ضوابط الأذونات تمنع بدقة المتعلمين والمُدربين من الوصول إلى وظائف مخصصة للموارد البشرية أو بيئات عملاء آخرين.
• الجلسات والرموز: تحقق الفريق من انتهاء صلاحية الرموز، وآلية تدويرها، وتخزينها الآمن.
• أمان إعداد التقارير وتصدير الملفات: تأكد فريق ساينس سوفت من أن ملفات التصدير تضمن منع هجمات حقن ملفات CSV.
• أمان تطبيقات الجوال: أجرى فريق الاختبار تقييمًا شاملًا للتحقق من مستوى حماية البيانات المخزنة محليًا على الأجهزة، وآليات اكتشاف الروت وكسر الحماية (Root and Jailbreak Detection)، بالإضافة إلى سياسات إصدارات أنظمة التشغيل (منع تثبيت التطبيق على إصدارات أندرويد وiOS غير المدعومة).

وثّقت ساينس سوفت كل ثغرة أمنية مؤكدة، مع تفصيل تأثيرها المحتمل في الأعمال، وأدلة إعادة التحقق منها، وخطوات معالجتها. كما صنَّفت الثغرات المكتشفة وفقًا لقوائم OWASP Top 10 لأمن الويب، وOWASP Mobile Top 10 لتطبيقات الجوال، وOWASP API Top 10 لواجهات برمجة التطبيقات، ثم رتّبتها حسب مستوى الخطورة باستخدام نظام تسجيل نقاط الضعف المشترك (NIST CVSS). وحصلت Sharpist على تقرير شامل يضم التفاصيل التقنية الكاملة إلى جانب ملخص تنفيذي، ما سهّل على الفرق التقنية والإدارية فهم النتائج واتخاذ القرار. كما أوصت ساينس سوفت بالفريق المسؤول عن معالجة كل ثغرة، سواء فريق التطوير أو فريق DevOps أو فريق الأمن، وذلك لتسهيل وضوح المسؤولية.

أبرز النتائج التي حصلت عليها شركة Sharpist

• توافقت جهود الاختبار مع أولويات الأعمال لدى شركة Sharpist، ما نتج عنه تقييمٌ دقيق ركّز على المخاطر التي يمكن أن تهدد مباشرة أمان الشركة.
• أسهمت منهجية الاختبار وإعداد التقارير وفقًا لمعيار PTES وتصنيفات NIST SP 800-115 وأدلة OWASP في دعم متطلبات معيار ISO/IEC 27001 والمادة 32 من لائحة GDPR، فيما يخص إجراء اختبارات أمنية دورية قائمة على المخاطر وتوفير أدلة موثوقة عزّزت برنامج الامتثال لدى Sharpist.
• مكَّن الدمج بين الأتمتة الموجّهة والفحص اليدوي من حصول الشركة على نتائج اختبار سريعة وموثوقة وخالية من الأخطاء، مع أدلة قابلة لإعادة التحقق ومسارات هجوم واقعية.
• التوثيق المنظم لإجراءات الاختبار بما يشمل توضيح تأثير الثغرات واحتمالية استغلالها وخطة المعالجة المقترحة، ما ساعد فِرق Sharpist على معالجة المشكلات المكتشفة بسهولة.
• قدّم الملخص التنفيذي رؤى عملية مكّنت الجهات التنفيذية من اتخاذ قرارات سريعة ومستنيرة بشأن جهود الإصلاح.
• تأكدت ساينس سوفت من فعالية الإصلاحات من خلال إعادة الاختبار، ما عزز ثقة Sharpist في مستوى الأمان لديها.

التقنيات والأدوات

Acunetix, BurpSuite, Metasploit, Nmap, SQLMap, Nikto, Apktool, apksigner, jadx, STEWS, Zed Attack Proxy (ZAP), MobSF, Postman, Python, PHP, Bash, Powershell.