نفترض أنكم بالفعل مخترقون.
ثم نهندس لليوم التالي.
تدقيقات الأمن، اختبارات الاختراق، تقوية البنية التحتية، أُطر الامتثال. نحن لا نبيع الذعر. نهندس الأنظمة والعمليات التي تنجو من هجوم حقيقي.
كيف نؤمن الأنظمة.
ستة أنماط هجوم. ستة أوضاع دفاعية.
معظم اختراقات المؤسسات تقع في أحد ستة أنماط. نهندس ضوابط دفاعية محددة ضد كل نمط.
الفدية وتشفير البيانات
يقوم المهاجمون بتشفير بياناتكم ويطالبون بدفع للمفتاح. معظم برامج الفدية تدخل عبر التصيد، RDP، أو VPN غير محدثة.
هجمات سلسلة التوريد
يتم اختراق تبعية موثوقة (حزمة npm، صورة Docker، مورد). يستخدم المهاجم الثقة للوصول إلى إنتاجكم.
سرقة بيانات الاعتماد وهجمات الهوية
بيانات اعتماد مسروقة، تجاوز MFA، اختطاف الجلسات، إساءة استخدام OAuth. نقطة الدخول الأكثر شيوعاً في الاختراقات الحديثة.
استغلال الويب و API
OWASP Top 10 — حقن، مصادقة معطلة، IDOR، SSRF، إلغاء التسلسل. معظم التطبيقات العامة بها واحد على الأقل.
التهديدات الداخلية وإساءة استخدام الامتيازات
موظف، متعاقد، أو حساب مخترق يقوم بتسريب بيانات أو زرع بوابات خلفية. يصعب اكتشافه لأن الوصول شرعي.
إعدادات السحابة الخاطئة
حاويات S3 عامة، IAM متساهل، APIs Kubernetes مكشوفة، أسرار في الكود. السبب رقم 1 لاختراقات عصر السحابة.
ستة أُطر. نساعدكم على الوصول إلى كلها.
الامتثال هو هندسة، وليس أوراق. نبني الضوابط قبل أن يصل المدققون.
إدارة أمن المعلومات
معيار دولي لإدارة أمن المعلومات. مدفوع بالعمليات، يُدقق سنوياً. نساعد في بناء ISMS والاستعداد للشهادة.
Service Organization Control
مطلوب لمبيعات SaaS B2B في الولايات المتحدة. النوع 1 = الضوابط في مكانها؛ النوع 2 = الضوابط فعالة بمرور الوقت.
اللائحة العامة لحماية البيانات
تنظيم خصوصية الاتحاد الأوروبي بنطاق عالمي. حقوق أصحاب البيانات، إخطار الاختراق، الأساس القانوني للمعالجة.
صناعة بطاقات الدفع
مطلوب لأي نظام يتعامل مع بيانات البطاقات. تجزئة الشبكة، التشفير، عناصر التحكم في الوصول، عمليات المسح ربع السنوية.
Health Insurance Portability
تنظيم بيانات الرعاية الصحية في الولايات المتحدة. مطلوب للأنظمة التي تتعامل مع PHI.
EU Network & Information Security
أحدث توجيه للاتحاد الأوروبي — ينطبق على الكيانات الأساسية والمهمة عبر القطاعات الحرجة.
أربع مراحل. تدقيق. اختبار اختراق. تقوية. مراقبة.
التدقيق الأمني
1–2 أسبوع · سعر ثابتتحديد نطاق البيئة، نمذجة التهديدات، مراجعة الكود والبنية التحتية، تحديد المخاطر ذات أعلى تأثير. الإخراج: تقرير تدقيق مكتوب.
اختبار الاختراق
2–4 أسابيع · نطاق ثابتاختبار خصمي مرخص للويب، الجوال، API، السحابة، أو أهداف الشبكة. استغلال حقيقي، أدلة حقيقية. الإخراج: تقرير مفصل مع PoC ودرجات CVSS.
التقوية والمعالجة
4–12 أسبوعتنفيذ الضوابط المحددة. إصلاحات الكود، تغييرات البنية التحتية، تنظيف IAM، تجزئة الشبكة، تدوير الأسرار، تقوية CI/CD.
المراقبة المستمرة
مستمرSIEM، التنبيهات، on-call، تقارير شهرية، إعادة اختبار ربع سنوية. الأمن ليس مشروعاً — إنه قدرة تشغيلية.
عبر كل عميل نشغله أو قمنا بتقويته، عدد الاختراقات المؤكدة هو صفر. هذا ليس رقماً تسويقياً — إنه الرقم الوحيد الذي يهم في الأمن السيبراني.
أسئلة شائعة.
كم يكلف تدقيق الأمن أو اختبار الاختراق؟
يبدأ التدقيق الأمني بنطاق محدد من 8 آلاف يورو ويصل إلى 30 ألف يورو حسب حجم البيئة. اختبار الاختراق يُسعَّر حسب الهدف — اختبار اختراق تطبيق ويب نموذجي يقع بين 12 و 20 ألف يورو.
ما الفرق بين التدقيق واختبار الاختراق؟
التدقيق هو مراجعة منظمة لوضعكم الأمني مقابل إطار (OWASP ASVS، ISO 27001، إلخ). اختبار الاختراق هو اختبار خصمي مرخص — نحاول بنشاط استغلال النظام. معظم العملاء يحتاجون كليهما.
هل يمكنكم الحصول لنا على شهادة SOC 2 أو ISO 27001؟
نحن لا نُصدر شهادات — فقط المدققون المعتمدون يمكنهم ذلك. لكننا نهندس الضوابط، نوثق السياسات، ونعدكم للتدقيق.
هل تتعاملون مع الاستجابة للحوادث؟
نعم. نقدم retainers الاستجابة للحوادث — أوقات استجابة ملتزم بها للحوادث الأمنية المؤكدة. الفرز، الاحتواء، الطب الشرعي، المراجعة بعد الحادث.
هل تصلحون أيضاً المشاكل التي تجدونها؟
نعم. لا نؤمن بتقارير التدقيق التي تقول فقط 'أصلحوا هذا'. نقوم بالتدقيق، نكتب خطة المعالجة، و(إذا أردتم) نُنفذ الإصلاحات بأنفسنا.
هل تدربون الفرق الداخلية؟
نعم. تدريب على البرمجة الآمنة، محاكاة التصيد، تمارين الحوادث، برامج أبطال الأمن. أفضل عمل بعد التدقيق لربط التدريب بنتائجكم الحقيقية.