EN / RU / AR / NL / 中国

ما مدى حماية بياناتك الثمينة؟

VASC - استشارات تقييم نقاط الضعف والأمن - هي شركة واعدة، ملهمة تركز على السوق الدولي لأمن تكنولوجيا المعلومات والذي يقدم خدمات أمنية عالية الجودة لتكنولوجيا المعلومات. VASC متخصصة في تحديد المخاطر المتعلقة بأمن تكنولوجيا المعلومات وتقليلها ومنعها بشكل فعال. وفي معظم الحالات، يتم الاختيار المتعمد لإجراء تقييم أمن تكنولوجيا المعلومات. يرتبط هذا الاختيار ارتباطًا وثيقًا بدرجة المخاطر التي تستعد منظمتك لمواجهتها.

تواصل معنا
نبذة عنا
Scroll down

نبذة عنا

VASC متخصصة في تحديد المخاطر المتعلقة بأمن تكنولوجيا المعلومات وتقليلها ومنعها بشكل فعال.

ينصب تركيزنا على تنفيذ خدمات عالية الجودة كاختبارات الاختراق المتطورة في البنى التحتية/تطبيقات تكنولوجيا المعلومات والتنظيم الأحمر. عند القيام بذلك، تكون VASC مفتوحة للشراكات المبتكرة لمعالجة نقاط الضعف الحالية ومواصلة الريادة عندما يتعلق الأمر بأمن تكنولوجيا المعلومات.

يتحول المجتمع إلى أرقام في وتيرة سريعة. يقوم عدد متزايد من الناس والشركات بالتواجد على الإنترنت في كثير من الأحيان، ويقومون بتخزين المعلومات في سحابة ويسعون لتحقيق أقصى قدر من التنقل والاتصال. وهذا يخلق فرصًا للمستخدمين والشركاء والعملاء والموظفين والمنافسين. كما أنه يفتح الباب لمجرمي الإنترنت الذين يستفيدون بذكاء من الفرص الجديدة للرقمنة، وبالتالي يشكلون تهديدًا ثابتًا ومتزايدًا للمنظمات. لقد أضافت VASC قيمة في هذه المعارك ضد إرهاب الإنترنت، وبشكل خاص في مجال أمن المعلومات بالمنظمات.

خدماتنا
Scroll down

خدماتنا

تهتم الشركات بشكل كبير جدًا قابل للتبرير بسمعتها والأضرار التي تلحق بعلاماتها التجارية.

يمكن للأضرار الناتجة عن هجمات الإنترنت أن تكلف الملايين وغالبًا لا يتم حلها بسرعة. ومع ذلك، يمكن توقع أن تتعامل المنظمات الكبيرة مع المعلومات الحساسة والخاصة بمنتهى الكفاءة المهنية. ويمكن أن تساهم VASC في ذلك من خلال تنفيذ اختبارات (دورية) للأمن التقني لتكنولوجيا المعلومات.

تتوفر الفحوصات الأمنية التقنية لتكنولوجيا المعلومات في جميع الأشكال والأحجام، ويمكن تنفيذها بدقة على الكائنات المختلفة.

يعتمد نوع الفحص على عدد من العوامل. وتشمل هذه الفحوص اللحظة التي تجرى فيها (إذا تم وضع البيئة في مكانها بالفعل أو لا)، وأي نوع من المخاطر يتم اختباره (قراصنة يهاجمون النظام أو أي شخص يهاجم المستخدم بمساعدة الهندسة الاجتماعية) ومدى توسعية احتياجات المسح (مع أو بدون رمز المصدر) أو القابلية للوصول إلى تكوينات النظم. وفي هذا الصدد، فإنه من الحكمة أن تنظر المنظمات مسبقًا إلى ما إذا كانت "البيانات الثمينة" الخاصة بهم تحتاج إلى حمايتها.
وخلال الفحص، تشكل منهجية مجرمي الإنترنت الأساس؛ ما هي البيانات الصمينة للمنظمة وكيف يمكن التوصل إليها؟

عند إجراء الفحص الأمني التقني لتكنولوجيا المعلومات، تترأس VASC وحدات فحص متنوعة تشمل صندوق أسود، وصندوق رمادي وصندوق بلوري. كما تزود VASC فحوص/مراجعات للرمز واختبارات اختراق، وهندسة اجتماعية (مادية) والتنظيم الأحمر.


SCADA/ICS

تُستخدم العديد من أنظمة SCADA/ICS داخل البنية الأساسية الحيوية للتحكم في البيانات في صناعة المعالجة وقراءتها. وبشكلٍ عام، لم تُصمم هذه الأنظمة من منظور أمني، ولكن يجب أن تعمل بشكلٍ طبيعي وأن تتمتع بفترة عمل طويلة. إذ إن عمليات الإخفاق في أنظمة SCADA/ICS يمكن أن يكون لها تأثير على العالم المادي. فقد تُفتح الأقفال دون قصد أو قد تتعطل محطات الطاقة أو قد تُصبح محطات تنقية المياه غير موثوقة فجأةً.

من أجل حماية بيئة SCADA/ICS ضد الهجمات الإلكترونية المحتملة، يمكن لشركة VASC إجراء تحقيق أمني لتحديد التسريبات الأمنية. وبموجب هذا، تتمثل الطريقة التي يتم تطبيقها في كثيرٍ من الأحيان في Red Teaming (تكوين الفريق الأحمر)، حيث يتم استخدام مجموعة متنوعة من تقنيات الهجوم والاختبار.

حماية البيانات الثمينة وتمكين الثقة.

ويعد تنفيذ فحوص الأمن التقني لتكنولوجيا المعلومات تدبيرًا وقائيًا وكشفيًا بحيث يمكن العثور على مشاكل أمن تكنولوجيا المعلومات لحلها قبل أن تسيء بعض الجهات الفاعلة استخدامها. ويعتمد مدى حماية المنظمات بشكل كبير على تحديد الجهات الفاعلة الممكنة والتهديد المتصور. ويعد هذا التمييز ذي أهمية حيوية حيث أن ليس كل المنظمات "جذابة" بشكل متساوٍ للأنواع المختلفة لإرهاب الإنترنت.

يمكن تقسيم الشخص أو المنظمة وراء الهجمات - إلى المجموعات التالية:

  1. القرصان الأساسي، ومعظمهم محفزين لإظهار ما هي قدرته/ قدرتها.
  2. الناشط، بالتركيز على التعبير عن الفلسفة التي تدفعها غالبًا أيديولوجية أو تهدف إلى نشر الخوف، مدفوعة بأهداف سياسية.
  3. الجريمة المنظمة، والتي تهدف لتحقيق مكاسب مالية مباشرة (عن طريق التصيد الاحتيالي على سبيل المثال) أو تحقيق مكاسب مالية غير مباشرة، تهدف لبيع معلومات الشركة.
  4. الدول الأمم، والتي تهدف لتحسين الوضع الجغرافي السياسي أو توسيع سلطتها الداخلية.

يمكن تمييز سبعة أنواع من التهديدات هنا:

  • الحصول على المعلومات ونشرها
  • تزوير الهوية
  • استغلال البيانات
  • التجسس
  • تعطيل تكنولوجيا المعلومات والاتصالات
  • السيطرة على تكنولوجيا المعلومات والاتصالات وإساءة استخدامها
  • تعمد إلحاق الضرر بالسمعة

فحوص التطبيقات

تستخدم VASC كل من فحوص التطبيقات والبنية التحتية. ويمكن تقسيم فحوص التطبيقات إلى 6 مستويات لموجزات بيانات المخاطر. عوامل مثل مخاطر متعددة، والأضرار التي لحقت بالسمعة وحجم مجموعات المستخدمين التي تلعب دورًا كبيرًا أو عندما ينطوي على معلومات شخصية فريدة من نوعها. موجز بيانات المخاطر 1 هو موجز بيانات يشير إلى أعلى المخاطر ويشير موجز بيانات المخاطر 6 إلى أقلها.

فحوص البنية التحتية

للفحوص الأمنية للبنى التحتية لتكنولوجيا المعلومات التي يتم إنتاجها حديثًا، يمكن استخدام نفس تصنيف المخاطر كما هو موضح للتطبيقات. وفي كثير من الحالات، تتعلق بمشروع متكامل حيث تم تطوير كل من التطبيقات الجديدة والبنية التحتية لتكنولوجيا المعلومات المقابلة.

الفحوص الخاصة بأمن تكنولوجيا المعلومات

نحن نعمل باستخدام 7 أنواع من فحوصات أمن تكنولوجيا المعلومات.

عادةً ما تصبح التدابير الوقائية والكشفية والتفاعلية واضحة بعد التهديد الفعلي. ويعد تنفيذ فحوص الأمن التقني لتكنولوجيا المعلومات تدبيرًا وقائيًا وكشفيًا بحيث يمكن العثور على مشاكل أمن تكنولوجيا المعلومات لحلها قبل أن تسيء بعض الجهات الفاعلة استخدامها.

الصندوق السود - الفحص الذي يقدم رؤية.

وقبل فحص الصندوق الأسود، لا يتم منح أي معلومات باستثناء أي نظام سيتم فحصه (تطبيق و/أو بنية تحتية). لم تُقدم المساعدة إلى VASC في هذا وسيتوجب عليها اكتشاف ذلك بنفسها. عند القيام بذلك، نتعرف على ما يمكن للمهاجم تحقيقه من الإنترنت دون أي علم مسبق ودون الوصول الشرعي. وكثيرًا ما أجري فحص الصندوق الاسود في فترة زمنية محدودة، فترة زمنية أقصر بكثير من الوقت الذي يستغرقه المهاجمون للاستعداد عند الهجوم.

الصندوق الرمادي - يعرض نقاط الضعف.

خلال فحص الصندوق الرمادي، يجب توفير معلومات تسجيل الدخول إلى مستشارينا. هذه هي الطريقة التي نتعرف من خلالها على نقاط الضعف المحتملة التي يمكن استغلالها من قبل المستخدمين الذين لديهم إمكانية الوصول الشرعي للنظام، أو الشبكة أو التطبيق. يتم إجراء جميع إجراءات الفحص التي تتم خلال نهج الصندوق الاسود أيضًا من خلال نهج الصندوق الرمادي. ويمكن لهذا أن يكشف، على سبيل المثال، إذا كان من الممكن التنقل حول تسجيل الدخول للمستخدمين غير المصرح لهم.

الصندوق البلوري - يقدم رؤية داخل النظام.

يوفر فحص الصندوق البلوري رؤية كاملة في وظائف النظام الذي يجب فحصه. يتم إعطاء إمكانية وصول المسؤول إلى الخوادم، على سبيل المثال، ويتم إتاحة رمز المصدر للتطبيق. يتم الإجابة على الأسئلة بشأن الترتيب من قبل المهندسين المعماريين والمطورين والمسؤولين. وهذا يسمح بتقييم قطاعات البيئة التي لا يمكن الوصول إليها بخلاف ذلك.

الهندسة الاجتماعية - تهدف إلى البشر.

لا يهدف فحص الهندسة الاجتماعية مباشرة إلى التكنولوجيا ولكن بدلاً من ذلك في كثير من الأحيان ما هي أضعف حلقة في السلسلة: البشر. أثناء الهجوم، سيحاول القراصنة الحصول على إمكانية الوصول إلى المعلومات السرية.


وعلينا تمييز 4 أنواع مختلفة من هجمات/فحوص الهندسة الاجتماعية:

التصيد الاحتيالي يمكن تنفيذ التصيد الاحتيالي للسماح لمجموعات كبيرة من الأشخاص بالتواصل مع الاختبار (والذي يمكن استخدامه في وقت لاحق خلال حملة التوعية). بالتشاور مع المنظمة أو المؤسسة، تم اخترع سيناريو حيث يتلقى المستخدمون بريدًا إلكترونيًا يحتوي على رابط و/أو مرفق. ويمكن إجراء تقرير منفصل حول عدد الأشخاص الذين قاموا بالنقر فوق الرابط، وعدد الأشخاص الذين أعطوا بيانات الاعتماد الخاصة بهم على الموقع المقابل.

في هذا الشكل من الهندسة الاجتماعية، يُجرى الاتصال عبر الهاتف مع الإدارة أو أفراد معينين. والهدف هنا هو إقناع هؤلاء الأشخاص لمشاركة المعلومات الحساسة مثل اسم المستخدم وكلمة السر عبر الهاتف، وسوف نحاول أيضًا الحصول على بعض "بيانات ثمينة".

ما مدى سهولة إصابة جهاز كمبيوتر داخلي؟ لمعرفة ذلك، تنتشر أجهزة USB حولها وتحتوي على قطعة إلكترونية ستحاول أن تصيب جهاز الكمبيوتر. وهنا، سيتم ترك أجهزة وسائط تخزين USB في المواقع أو إرسالها كأداة ذكية للأفراد. وقد تم إعداد أنه أجهزة وسائط التخزين USB والأداة الذكية بهذه الطريقة بحيث يحدث تنفيذ الرمز عند استخدامها في جهاز كمبيوتر محمول أو كمبيوتر شخصي. كقاعدة، سيتم إعداد وصلة فقط بدلاً من الكمبيوتر المصاب فعلياً، بالاتصال بالعمل الإضافي والمخاطر المضافة التي تنطوي عليها. وفي كلتا الحالتين، ستظهر نقطة الضعف.

ما مدى سهولة الوصول إلى مكان ما؟ عن طريق الهندسة الاجتماعية، نقوم بالفحص ما إذا تمكننا من إدخال منظمة أو الحصول على حق الوصول إلى الأماكن غير المفتوحة للجمهور، مثل مراكز الكمبيوتر وغرف العمليات ومختبرات البحوث.


تتكون الهندسة الاجتماعية المادية من أي إجراءات ضرورية للوصول فعلياً إلى المناطق التي تحتوي على المعلومات السرية. وقد يشمل اتباع الخطى (المشي مع شخص آخر عمل في الأمن سابقًا)، والافتراض المؤقت لهوية أخرى. تعد VASC فريدة في ذلك وتسهل كلًا من الأمن التقني والمادي لتكنولوجيا المعلومات الذي يمكن من خلاله تقديم مجموعة واسعة من أمن تكنولوجيا المعلومات.

فحص/مراجعة الرمز - التحقق من الرمز.

أثناء فحص/مراجعة الرمز، يتم إجراء تقييم للتطبيق/الرمز قيد التشغيل استناداً إلى التحقق من رمز المصدر الذي تم توفيره. ولا يشمل هذا استكمال مراجعة الرمز بل التحقق من أجزاء (الهامة) الرمز.


أثناء استكمال مراجعة الرمز، يتم فحص جزء كبير (جداً) من الرمز يدوياً ومراجعة أجزاء أخرى بمساعدة الأدوات الآلية.

اختبارات الاختراق - إلى أي مدى يمكننا الوصول.

غالبًا ما يتم توجيه فحص الصناديق الأسود/الرمادي/البلوري نحو إيجاد العديد من نقاط الضعف بقدر الإمكان والإبلاغ عنها. أثناء اختبار اختراق، الفكرة هي إيجاد نقطة ضعف واحدة أو أكثر من بقدر زمني محدود ولاستغلالها بالفعل من خلال الاختراق بأكبر عمق ممكن في التطبيق/الشبكة.

التنظيم الأحمر - يستهدف البيانات الثمينة

لا يستهدف فحص التنظيم الأحمر تطبيقًا معينًا أو (قسمًا معينًا) من إحدى البنى التحتية. هذا الفحص يستهدف البيانات الثمينة للمنظمة. وهنا، تم بذل جهود مركزة للوصول إلى أهم معلومات الشركات من خلال استغلال المسار ذي المقاومة الأقل،
واستنادًا إلى الأفكار وطرق الفاعلين الذين يسعون لسرقة بيانات ثمينة محددة من إحدى المنظمات. يتألف فحص التنظيم الأحمر من مزيج من الفحوص التقنية (معظمها الصندوق الأسود)، فضلًا عن فحوص الهندسة الاجتماعية.


أجريت السيناريوهات التي يتعين اتباعها بالتشاور مسبقاً مع العميل. وفي النهاية، يقرر العميل إلى أي مدى يريد الاستمرار في هذا الفحص. يقدم هذا الفحص صورة واقعية عن نقاط ضعف المنظمة ويمكن أيضًا اختبار الاستجابة للإصابة والاستعداد الشرعي.

نهجنا

8 خطوات

الجلسة الأولية

في بداية أي مهمة فحص، يجب أن يصبح حجم وتعقيد وضعف الكائن واضحًا. سويًا مع أسالليب الفحص المستخدمة، يحدد هذا مقدار الوقت الذي يجب استغراقه في الفحص. وهذا هو سبب أهمية تحديد النطاق المناسب قبل القيام بالفحوص الأمنية لتكنولوجيا المعلومات. ومن أجل تحديد النطاق إما لفحص التطبيقات أو البنية التحتية لتكنولوجيا المعلومات، سيتم إنشاء عدد قليل من القضايا الحاسمة خلال جلسة الاستشارة الأولية واستخدامها كنقاط انطلاق.

التقدير

يتألف سعر الفحص الأمني لتكنولوجيا المعلومات من عنصرين هم: المعدل (يوم/ساعة) والزمن المقدر للفحص. سوف يحتوي التقدير على وصف للنهج القائم على إطار المعايير و/أو أفضل الممارسات من أجل الفحص الذي يتعين الاضطلاع به. كما أنه سيتم الإشارة بوضوح إلى ما يمكن توقعه من VASC وحيث يجب أن تكون الشروط المسبقة موجودة من أجل إجراء الفحص المناسب.

لجدولة

بعد تحديد النطاق وتخصيص المهمة، يجب جدولة الفحص الأمنيلتكنولوجيا المعلومات. هل هناك أي طلبات خاصة بشأن الجدولة؟ هل علينا، على سبيل المثال، أن نأخذ بعين الاعتبار تاريخ البث المباشر على الهواء؟ أو هل الفحص جزء من المراجعة الذي يجب أن تتعامل معه المنظمة؟ من المستحسن أن تتم معالجة هذه القضايا في المراحل المبكرة المحتملة.

عند الجدولة، من المستحسن أيضًا الأخذ في الاعتبار الفترة الزمنية المطلوبة (إذا لزم الأمر) لإزالة المخاطر المكتشفة وما يليها من إجراء إعادة الفحص. وبناء على الجدولة المطلوبة والنطاق الذي جرى تحديده سلفًا، يمكننا تحديد أي فريق من المتخصصين هو الأفضل لتنفيذها. وفقًا لتوافرها، سنقوم بوضع جدولًا زمنيًا محددًا معًا.

العقد

يمكن أن تخدم العقود العرفية والشروط العامة لتوفير خدمات تكنولوجيا المعلومات كأساس للعقد مع الشروط العامة (GC). عند صياغة عقد لإجراء الفحص الأمنيلتكنولوجيا المعلومات، نتبع النقاط المحددة التالية من الفائدة:

  • الإذن والتعويض والتحديد الصحيح للنطاق (الفني) للمهمة عبر عناوين URLs وعناوين IP و/أو نطاقات الشبكة.
  • السرية: من المهم لجميع الأطراف أن يتم التعامل مع (نتائج) الفحص الأمنيلتكنولوجيا المعلومات بمنتهى السرية.
  • الحد من المسؤولية: من المعتاد الحد من مسؤولية كلا الطرفين للنطاق ذي الصلة بالمهمة.

إعداد التقارير

عند الانتهاء من الفحص الأمني لتكنولوجيا المعلومات، ستقدم VASC تقريرًا شاملًا لجميع النتائج التي توصلت إليها من الفحص. سيشمل هذا التقرير المعلومات التالية:

  • نطاق الفحص
  • تواريخ تنفيذ الفحص
  • ملخص الإدارة
  • المخاطر المكتشفة
  • وصف المخاطر أو دليل المخاطر
    • وصف المخاطر أو دليل المخاطر
    • تصنيف المخاطر
    • المشورة المتعلقة بالتدابير التي يجب اتخاذها

المتابعة

حالما يتم التزويد بتقرير VASC، فمن المهم فحص النتائج بعناية. ويمكن تعريف إجراءات المتابعة الواردة هنا. النتيجة الأكثر إيجابية للفحص الأمني لتكنولوجيا المعلومات والتقرير هو أنه لا يوجد نتائج. في الواقع، فإن العكس هو الصحيح في كثير من الأحيان. لكل نتيجة، يجب وضع ما هو الأثر للمنظمة وما هي التكاليف لتخفيف النتيجة.

للاطلاع على النتائج مع مستوى المخاطر العالية، يكون الخيار واضحًا جدًا في كثير من الأحيان، ولكن بالنسبة لنتائج المخاطر المتوسطة وخاصة منخفضة المخاطر، تحتاج المنظمة إلى اتخاذ قرار دقيق. ويمكن أن تشمل هذه القرارات تنفيذ تغييرات إجرائية، ولكن قد تنطوي أيضًا، على سبيل المثال، على تعيين مطورين و/أو متخصصين شبكات لتنفيذ هذه التغييرات التي تم تقليل المخاطر و/أو تأثير النتيجة من أجلها - يفضل أن تكون معدومة، ولكن إلى مستوى مقبول للتنظيم في أي حال.

إعادة الفحص

بعد إجراء الفحص وحل النتائج، فمن المستحسن إجراء إعادة الفحص لمعرفة ما إذا كان قد تم القيام به بشكل صحيح. واعتمادًا على عدد من سبل التكيف لحل هذه النتائج، يمكن لـ VASC إجراء فحص جزئي. ولكن قد يكون من الضروري أيضًا إجراء فحص جديد وكامل من أجل تحديد ما إذا كانت التدابير التي اتخذت لم تسبب أي نقاط ضعف جديدة. ينصح باستكمال إعادة الفحص مرة واحدة بمجرد مرور عدة أشهر منذ إجراء الفحص الأصلي. وهذا يزيد من احتمال أنه لم يتم حل فقط كل النتائج بل أيضًا إجراء سبل التكيف الأخرى وإما بإضافة أو إزالة الوظائف.

وبمجرد إصدار قرار بإجراء إعادة الفحص، سوف نقدم التفاصيل التي تتعلق بالنتائج ذات الصلة بإعادة الفحص.

النهج الهيكلي

نوصي باقتراب الاختبارات الأمنية لتكنولوجيا المعلومات على المستوى الهيكلي. في واقع الأمر، يبدو في كثير من الأحيان إجراء هذه الاختبارات بشكل مخصص أو بشكل دوري فقط (بتردد منخفض ونطاق محدود).

يمكن لوضع سياسة واضحة فيما يتعلق بالاختبارات الأمنية لتكنولوجيا المعلومات أن يقدم للزملاء إدراك افضل لمتى ينبغي اختبار بعض التطبيقات والبنى التحتية لتكنولوجيا المعلومات بأي تردد وبأي طريقة. وإلى جانب هذه الاختبارات الدورية، ينبغي النظر أيضًا في اختبار

تواصل معنا
Scroll down

الاتصال

حماية البيانات الثمينة



العنوان

 
Zuid Hollandlaan 7,
2596 AL The Hague,
The Netherlands
هاتف
+31 70 240 08 30
بريد إلكتروني
info@vasc.international