منهجيتنا
تقدم معظم أدوات الأمان قائمة بنقاط الضعف وتترك لك القدرة على فهمها. نحن نفعل العكس: نجلس مع بيئتك، ونتابع كل طلب، ونوثق كل طبقة، ونسلمك خطة ذات أولوية يمكنك العمل بها غدًا.
الهدف ليس وضع قائمة طويلة من نقاط الضعف، بل هو فهم أكثر وضوحًا للأماكن التي تتعرض لها، وسبب أهميتها، وما يجب عليك فعله أولاً. هذا هو الفرق بين المسح والتقييم.
نبدأ بتحديد ما تقوم بتشغيله بالفعل: الأنظمة، والحسابات، والمحيطات، وعمليات التكامل. لا يمكنك الدفاع عما لا يمكنك رؤيته.
الحافة، التطبيق، الشبكة، الواجهة الخلفية، البيانات. تحصل كل طبقة على تحليلها الخاص، وليس مسحًا واحدًا للمحيط.
درجة أمان مكتوبة مع أولويات باللون الأحمر/البرتقالي/الأخضر والخطوات التالية الملموسة. لك أن تحتفظ بها، وتشاركها، وتتصرف بناءً عليها.
المجال 1 - التحكم في الوصول والهويات
كل خرق يبدأ بحساب. نحن نقوم بمراجعة الهوية بشكل شامل: الأشخاص، والامتيازات، وتسجيل الدخول الموحد (SSO)، وإزالة الخدمة، والوصول في حالات الطوارئ.
يتم فرض المصادقة متعددة العوامل في كل مكان، مع وجود احتياطي لتطبيق المصادقة.
حسابات إدارية منفصلة مع تسجيل تدقيق كامل لعمليات التصعيد.
حساب الطوارئ المُخزن دون اتصال بالإنترنت حتى لا يؤدي انقطاع خدمة الدليل إلى منعك من الدخول.
الدخول الموحّد (SSO) على الأدوات الأساسية، مع استمرار تعليق أسلاك SAML/OIDC في التطبيقات الثانوية.
مدير كلمات المرور على مستوى الفريق مع خزائن لكل قسم وتدفق الواصلين.
برنامج نصي موثق للخروج من النظام لكل نظام - لا يوجد وصول معزول.
المجال 2 - استراتيجية حماية البيانات والنسخ الاحتياطي
نحن نقوم بمراجعة دورة حياة الحماية بأكملها: ما هو مشفر، وما يتم نسخه احتياطيًا، وعدد مرات اختباره، ومدى سرعة العودة.
نسخ احتياطية يومية مقترنة باختبار استعادة وضع الحماية ربع السنوي والاسترداد المحدد بوقت.
تشفير القرص على كل كمبيوتر محمول ومفاتيح مُدارة بواسطة النظام الأساسي عبر وحدات التخزين وقواعد البيانات.
السياسة الحالية الموقعة مع ملصقات حماية المعلومات النشطة قيد الاستخدام.
وقت الاسترداد الموثق وأهداف نقطة الاسترداد لكل نظام.
إيقاع ربع سنوي مع دفاتر التشغيل والمالك المسمى وأدلة التدقيق المؤرخة.
خطة DR مكتوبة مع الأولويات والتبعيات والإرشادات السنوية.
دورة النسخ الاحتياطي التي نديرها معك
لقطات يومية تلقائية، مشفرة أثناء النقل وأثناء الراحة.
استعادة ربع سنوية إلى وضع الحماية - بدون أعذار ولا استثناءات.
التعافي الحقيقي مقابل RTO حقيقي - يتم قياسه بالساعات، وليس بالوعود.
التحقق من سلامة البيانات + تسجيل الخروج، وحفظها كدليل للمدققين.
النسخ الاحتياطي ليس حدثًا، بل هو حلقة — والخطوة الوحيدة المهمة هي الاستعادة.
المجال 3 - البنية التحتية وأمن الشبكات
الحواف المواجهة للإنترنت، وشبكة WiFi المكتبية، وحدود VLAN، وإيقاع التصحيح. نحن نتابع الطلب من الإنترنت المفتوح من خلال محيطك في أعباء العمل.
نحن نرسم الهيكل الحقيقي - عناوين IP العامة، وقواعد WAF، وشبكات VLAN، والدخول - ثم نتحقق من كل قفزة مقابل تكوينها المتوقع.
أمان متطور مع تحديد المعدل وإدارة الروبوتات في النطاقات العامة.
WPA3-Enterprise مع مصادقة مدعومة بالدليل — وليست كلمة مرور WPA2 مشتركة.
شبكات VLAN منفصلة للموظفين وإنترنت الأشياء والضيوف - لا توجد شبكة LAN مسطحة للمكاتب.
تحديثات نظام التشغيل والتطبيقات خلال 30 يومًا، مع الاستثناءات الموثقة.
تصفية DNS الصادر ومجموعة قواعد جدار الحماية التي تمت مراجعتها.
الوصول المدرك للهوية إلى الخدمات الداخلية، بدون ثقة ضمنية بالشبكة.
المجال 4 - الاستجابة للحوادث والاستمرارية
إن خطة الاستجابة للحوادث هي بمثابة عضلة وليست وثيقة. نحن نتحقق من الخطة، وإيقاع الحفر، والاتصالات الخارجية، وحلقة ما بعد الحادث.
خطة IR الحالية مع الأدوار ومسارات التصعيد وشجرة اتصال واضحة.
ما نتحقق منه: الإصدار وتاريخ المراجعة الأخير والملكية وموقع التخزين - وما إذا كان الأشخاص المذكورون فيه ما زالوا يعملون هنا.
تدريبات منضدية تُجرى مرتين سنويًا مع سيناريوهات دوّارة حتى يعرف الفريق قواعد اللعبة.
ما نتحقق منه: تاريخ التدريب الأخير، وتشغيل السيناريوهات، والدروس المستفادة، والتغييرات التي تم إعادتها إلى الخطة.
CERT وشركة التأمين والمستشار القانوني والطب الشرعي مع أرقام 24/7 في خطة IR.
ما نتحقق منه: تم اختبار كل جهة اتصال من حيث العملة والنطاق المعتمد مسبقًا حتى لا تتفاوض أثناء الأزمة.
بيانات الاحتفاظ التي تمت صياغتها مسبقًا للموظفين والعملاء والمنظمين والصحافة - تمت مراجعتها قانونيًا.
ما نتحقق منه: قوالب لكل جمهور، وحدود التصعيد الموقعة، ومصدر واحد للحقيقة لتحديثات الحالة.
تشريح منظم بعد الوفاة خلال 14 يومًا، مع تتبع عناصر العمل حتى الإغلاق.
ما نتحقق منه: قالب بلا لوم وسجل إجراءات وتذكير تقويمي لإعادة التحقق من الضوابط بعد 90 يومًا من وقوع الحادث.
المجال 5 - الامتثال ومخاطر الطرف الثالث
سجلات القانون العام لحماية البيانات، ومعالجة المخزونات، والوصول إلى موضوع البيانات، ومراجعات البائعين. نحن نقوم بمراجعة السجلات وسطح مخاطر الطرف الثالث - ونتركك مع سجل حديث بالفعل.
تصفية منصة البريد الإلكتروني باستخدام سياسات الارتباط الآمن والمرفقات ومكافحة التصيد الاحتيالي المتوافقة مع نطاقاتك.
سجل محدث بكل نشاط وأساس قانوني ومدة الاحتفاظ والمالك.
عملية طلب الوصول إلى موضوع البيانات الموثقة مع المالك واتفاقية مستوى الخدمة والقوالب.
تقييم قائم على المخاطر لكل مورد لديه إمكانية الوصول إلى بيانات الإنتاج أو البيانات الشخصية.
PIA لكل نظام أو مورد جديد يمس البيانات الشخصية، ويتم أرشفتها في السجل.
أدلة الامتثال في مكان واحد يمكن البحث فيه - السياسات، والتوقيعات، وسجلات التدريب، والمراجعات.
التسليم
كل نتيجة من المجالات الخمسة المذكورة أعلاه يتم وضعها في تقرير مكتوب واحد، يتم تسجيله على نظام ثلاثي المستويات يمكنك العمل عليه بدون مترجم. هذا ما يبقى بين أيديكم بعد رحيلنا.
التحكم في الوصول، وحماية البيانات، والبنية التحتية، والاستجابة للحوادث، والامتثال - كل منها مع الحالة والنتائج والأدلة.
لكل فجوة: الأولوية، والمالك، وتقدير الجهد، والإجراء التالي الملموس - وليس "مراجعة وتحسين" غامضة.
تم تمييز المخططات المعمارية المدرجة في التقرير بـ صحي/معرض للخطر/حرج بحيث تتطابق الصورة مع النثر.
نقاط الأمان الخاصة بك
لا تحصل على كومة من الورق مليئة بالمصطلحات. تحصل على النتيجة: لكل عنصر، قم على الفور بمسح ما يعمل وما يحتاج إلى الاهتمام.
ثغرة أمنية حرجة - يلزم اتخاذ إجراء فوري. نقوم بإصلاحه خلال النهار حيثما أمكن ذلك.
يحتاج إلى اهتمام - خطط لذلك في غضون 30 يومًا. نعطيك الخطوات.
كل شيء جيد - يتم التعامل مع هذا الجزء بشكل صحيح. تم تأكيده كتابيا.
في المتوسط نجد 8-12 مشكلة لكل تقييم. مهما كان ما نجده، فإننا نصلحه - في نفس اليوم إن أمكن.
اختياري — مكاسب سريعة في نفس اليوم
إذا كان لدينا وقت بعد التقييم الكامل، فإننا نطبق التغييرات التي تستغرق دقائق - وليس أسابيع - حتى تذهب إلى السرير أكثر أمانًا من استيقاظك.
قم بتشغيل إدارة الروبوتات والتحقق من سلامة المتصفح ومستوى الأمان للمسارات التي تحتاج إليها. خمس دقائق، تأثير حقيقي.
ضع الحدود المناسبة على نموذج الاتصال وتسجيل الدخول وإعادة تعيين كلمة المرور. يقطع أسهل نواقل الإساءة قبل أن تبدأ.
تم العثور على إلغاء الموظفين السابقين وحسابات الإدارة القديمة ومفاتيح واجهة برمجة التطبيقات غير المستخدمة في المستوى 1. وهو أرخص فوز في التقرير.
انخفاض في HSTS وخيارات الإطار X وCSP الأساسي. تم ذلك في تغيير تكوين واحد على الحافة، وتم الاحتفاظ به إلى الأبد.
تحذير صادق: لا تحدث المكاسب السريعة إلا إذا انتهى التقييم الكامل مع توفر الوقت. لن نستبدل أبدًا العمق بالإصلاحات - فالتدقيق الشامل هو النتيجة، والإصلاحات هي المكافأة.
لماذا يختلف كورور
ستبيع لك الكثير من الأدوات مسحًا ضوئيًا. عدد قليل جدًا من الأشخاص سيجلسون في مكتبك لمدة يوم ويشرحون لك ما وجدوه. هنا هو الفرق.
ترى بالضبط ما نقوم به على كل المستويات - لا يوجد صندوق أسود ولا لغز ملكية. المنهجية هي النتيجة.
المخزون، الحافة، التطبيق، الشبكة، الواجهة الخلفية، البيانات، التكامل. تغطي معظم عمليات المسح طبقة واحدة؛ نحن نغطي المسار.
عندما تكون المشكلة قابلة للحل في دقائق، فإننا نحلها قبل أن نمضي قدمًا. ستغادر ومعك النتائج، وليس مجرد قائمة.
من خلال خدمة الشراكة التي نقدمها، تظل نقاط الأمان حية — حيث ترى تغيرًا في وضعك أثناء التصرف وفقًا للتوصيات.
كل ما نجده يقع في مستند يمكن لمدقق الحسابات ومدير التكنولوجيا لديك وموظفيك المستقبليين قراءته. المعرفة لا تغادر معنا.
جاهز عندما تكون
يوم واحد كامل. في الموقع. سعر ثابت. يمكنك الخروج بتقرير نقاط الأمان و- إذا كان هناك وقت - ومجموعة من التحسينات التي تم نشرها بالفعل.
