Built with DocStarكيف يتم إجراء اختبار أمان التطبيق لديك؟ داخلي، من طرف ثالث أو كلاهما؟ إذا كان الأمر كذلك، ما هو الإيقاع؟ قم بشرح منهجيتك
يخضع تطبيقنا حاليًا لاختبار جودة يدوية قياسية من قبل فريقنا الداخلي، والذي يتضمن قائمة آلة فحص الأمان موجهة نحو الثغرات الشائعة مثل المصادقة المكسورة، والتحقق من المدخلات (XSS، حقن SQL)، إدارة الجلسات، التحكم في الوصول، ومعالجة الأخطاء بشكل آمن.
بالإضافة إلى ذلك، نستخدم Cloudflare لفرض HTTPS، حماية ضد هجمات DDoS، تطبيق تحديد معدلات الدخول، وتمكين قواعد جدار حماية تطبيقات الويب (WAF) - كل ذلك يساعد في التخفيف من مجموعة واسعة من التهديدات الخارجية.
في هذه المرحلة، لم نقم بعد بتنفيذ اختبار أمان آلي رسمي أو تدقيق من طرف ثالث. ومع ذلك، نحن في عملية تقييم أدوات مثل Snyk (لتحليل الاعتمادات) وOWASP ZAP (لتحليل الثغرات الأساسية) للتكامل في خط أنابيب CI/CD لدينا. ستتيح لنا هذه الأدوات التعرف الآلي على الثغرات في كل نشر.
بينما ننمو، نخطط لبدء العمل مع شركة أمان طرف ثالث لتقييمات أعمق، بما في ذلك اختبارات الاختراق ومراجعات الكود الآمن. الأمن هو أولوية متزايدة بالنسبة لنا، ونحن ملتزمون بتحسين عملياتنا مع نمو منتجنا وقاعدة عملائنا.
يرجى تلخيص أو إرفاق عمليات وإجراءات إدارة ثغرات الشبكة الخاصة بك؟
لدينا عملية منظمة للتعرف على الثغرات وتقييمها ومعالجتها على مستوى الشبكة واستضافة الخدمات ضمن بنية تحتية لدينا.
تحليل الثغرات:
نستخدم Google Cloud Security Command Center (SCC) لإجراء تحليلات دورية للثغرات على مستوى الشبكة والاستضافة. يتم إجراء هذه التحليلات شهريًا لتحديد تكوينات غير صحيحة، خدمات مكشوفة، وثغرات معروفة عبر بنيتنا التحتية، بما في ذلك خدمات GCP المدارة وعقد Kubernetes (GKE).المخابرات والتهديدات والمراقبة:
نستند إلى التغذيات الأمنية المتكاملة والتنبيهات من GCP SCC وCloudflare وAtatus للبقاء على علم بالثغرات المتعلقة ببيئتنا. توفر هذه الأدوات مراقبة مستمرة لأشكال التهديدات الجديدة والنشاط المشبوه، خاصة على مستوى الشبكة وطبقات التطبيق.المراجعة والتخفيف:
يتم تصنيف الثغرات التي تم التعرف عليها ومراجعتها من قبل عدة أعضاء من الفريق، بما في ذلك المهندسين ومديري الإصدارات، لتحديد العلاج المناسب. يتم تحديد أولويات قرارات التصحيح بناءً على شدة الثغرة، وقابلية الاستغلال، وتأثيرها على أحمال العمل الإنتاجية.التتبع والمساءلة:
نحتفظ بأداة داخلية، Db Dash، لتتبع وإدارة وحل الثغرات. يضمن ذلك رؤية حول حالة كل قضية ومساءلة بشأن العلاج في الوقت المناسب.إدارة التصحيح:
بينما لا نستخدم حاليًا نظام تصحيح آلي، يتم تقييم جميع التصحيحات المتعلقة بالثغرات التي تم تحديدها من خلال التحليلات أو التنبيهات يدويًا وتطبيقها عند الحاجة، مع مراجعة من الأقران واختبار الانحدار في بيئة الاختبار المخصصة قبل نشرها في الإنتاج.
تضمن هذه العملية أننا نتعرف وندير المخاطر بشكل استباقي في بنية تحتية مستضافة سحابياً ومعبأة في حاويات، مع الحفاظ أيضاً على الاستقرار التشغيلي والامتثال بمعايير النظافة الأمنية الأساسية.
ما الأدوات التي تستخدمها لإدارة الثغرات؟
نستضيف بنيتنا التحتية على منصة Google Cloud (GCP) ونشغل تطبيقنا على Kubernetes. شبكتنا محمية بواسطة Cloudflare، التي توفر جدار حماية تطبيقات الويب، وفرض HTTPS، وحماية ضد DDoS، وتحديد معدلات الدخول، وغيرها من الضوابط الأمنية الحرجة على الحافة.
فيما يتعلق بإدارة الثغرات، نعالج حاليًا أخطر المخاطر الأساسية على النحو التالي:
يتعامل Cloudflare مع الحماية على مستوى الحافة بما في ذلك فرض HTTPS، تكوين TLS، تخفيف الروبوتات، وقواعد جدار حماية تطبيقات الويب (WAF).
يوفر GCP معايير أمان البنية التحتية، وإدارة IAM، وتكوين جدار الحماية. نعتمد على تكوينات آمنة افتراضية ونقيد الوصول العام إلى خدماتنا السحابية.
نحن نقيم استخدام الأدوات التالية لتحسين إدارة الثغرات على مستوى الخدمة والحاويات:
Google Cloud Security Command Center (SCC) — لتنبيهات حول البنية التحتية و سوء التكوين
Trivy — لفحص صور الحاويات وثغرات عقد Kubernetes
kube-bench — للتأكد من أن مجموعة Kubernetes لدينا تتوافق مع معايير أمان CIS
Nmap — لإجراء مسح دوري للمنافذ العامة وسطح الشبكة
لتأمين الاعتمادات الأمنية والتحليل الساكن، نستكشف Snyk وGitHub Dependabot لفحص الثغرات المعروفة في الحزم المصدر المفتوح.
الورقة
إدارة ثغرات التطبيقات
يرجى تلخيص أو إرفاق عمليات وإجراءات إدارة ثغرات التطبيق لديك؟
في Viasocket، يعطي نهجنا في إدارة الثغرات الأولوية للحماية على مستويات الشبكة والتطبيق والشفرة، مستفيدين من أحدث منصات السحاب والأمان. تشمل عمليتنا:
حماية المحيط: نستخدم جدار حماية تطبيقات الويب Cloudflare للتخفيف من الثغرات الحرجة مثل حقن SQL وبرمجة النصوص عبر المواقع (XSS) وهجمات رفض الخدمة الموزعة (DDoS). يتم تمكين تحديد المعدلات وضوابط سمعة IP للدفاع ضد حركة المرور المسيئة.
أمان السحابة: يعمل خلفيتنا على منصة Google Cloud (GCP) في محرك Kubernetes من Google (GKE)، مع عدم وجود عناوين IP داخلية عامة، وعزل VPC، وإدارة أدوار IAM. يحدد مركز أمان GCP سوء التكوينات أو المخاطر الأمنية.
المصادقة: نستخدم OAuth للمصادقة بشكل آمن، وجميع الاتصالات عبر واجهة برمجة التطبيقات مشفرة عبر HTTPS.
المراقبة: توفر أدوات Atatus وCloudflare وGCP مراقبة في الوقت الفعلي للأداء والأخطاء والأمان، مما يساعدنا في اكتشاف الشذوذ والتحقيق في المشكلات الأمنية بسرعة.
استجابة الحوادث: نقوم بمراقبة أنظمة التشغيل المستمرة ونتحرك بناءً على قواعد تنبيه محددة مسبقًا. يستخدم فريقنا سجلات GCP وAtatus للاستجابة للسلوكيات المشبوهة أو أحداث الأمان.
تحسينات مستمرة:
نقوم حاليًا بدمج أدوات آلية لتحسين التعامل لدينا مع:
الاعتماديات الضعيفة (SCA) – أدوات مثل Snyk أو Trivy
الثغرات في الشفرة الساكنة (SAST) – أدوات مثل Semgrep
ستضمن هذه الترقيات أننا نكتشف الثغرات في وقت مبكر من التطوير وتعزيز الامتثال مع توقعات الصناعة الشائعة.
ما الأدوات التي تستخدمها لإدارة ثغرات التطبيق؟
✅ قيد الاستخدام حاليًا:
الأداة | الغرض |
|---|---|
Cloudflare (WAF) | يمنع SQLi وXSS وDDoS وهجمات الروبوتات |
مركز أمان GCP | يراقب سوء التكوينات وانتهاكات IAM |
GKE (Kubernetes) | بيئات حاوية معزولة، لا يوجد عناوين IP داخلية عامة |
Atatus | مراقبة التطبيق، التنبيهات، تتبع القضايا في وقت التشغيل |
🔧 قيد التقدم / مخطط:
الأداة | الغرض |
|---|---|
Snyk / Trivy | فحص الاعتمادات مفتوحة المصدر للثغرات المعروفة (SCA) |
Semgrep | فحص الشفرة المصدرية بحثًا عن ثغرات الحقن، الأنماط غير الآمنة (SAST) |
Gitleaks / TruffleHog | الكشف عن الأسرار/رموز محجوزة في تاريخ Git |
تصحيح الإنتاج
كيف تقوم بتقييم التصحيحات والتحديثات على نحو دوري لبنيتك التحتية؟
تتبع Viasocket عملية تصحيح منظمة واستباقية لضمان الأمان والموثوقية في بيئة الإنتاج لدينا:
تحديثات المكتبات والاعتماديات: نقوم بمراجعة وتحديث المكتبات والأطر المستخدمة في قاعدة الشفرة الخاصة بنا بانتظام. يتم إعطاء الأولوية للتصحيحات الأمنية الحرجة ونشرها بسرعة.
فصل البيئة: نحافظ على بيئات اختبار وإنتاج منفصلة. جميع التصحيحات والتحديثات يتم تطبيقها أولًا على بيئة الاختبار، حيث نقوم بإجراء اختبار الانحدار واختبار الاستقرار قبل نشرها في الإنتاج.
النشر في الحاويات: تعمل خدماتنا الخلفية على محرك Google Kubernetes (GKE). يتم إعادة بناء حاويات التطبيقات بانتظام باستخدام صور الأساس المحدّثة وإعادة نشرها عبر خطوط أنابيب CI/CD.
نشر CI/CD: تستخدم النشر باستخدام خطوط أنابيب CI/CD محكومة مع دعم التحديثات المتدحرجة وآليات التراجع، مما يقلل من المخاطر أثناء التصحيح.
البنية التحتية السحابية: يتم إدارة التصحيحات الأساسية للبنية التحتية تلقائيًا من قبل منصة Google Cloud (للموارد الحاسوبية) وCloudflare (لخدمات الحافة وWAF)، مما يضمن تحديثات الأمان في الوقت المناسب على مستويات نظام التشغيل والشبكة.
تضمن هذه التركيبة من التصحيح الآلي وتحكم النسخة وممارسات النشر الآمنة أننا نتعامل باستمرار مع الثغرات الحرجة مع الحد الأدنى من التأثير على العمليات الإنتاجية.
هل جميع أجهزة الكمبيوتر المحمولة الخاصة بالنقاط النهائية التي تتصل مباشرة بشبكات الإنتاج تتم إدارتها مركزيًا؟ في Viasocket، يعمل جميع الموظفين من بيئة آمنة داخل المكتب. يتحمل كل عضو في الفريق مسؤولية إدارة محطة العمل الخاصة به. بينما لا نستخدم حاليًا حلاً لإدارة النقاط النهائية مركزيًا، يتم تقيد الوصول إلى أنظمة الإنتاج بشكل صارم ويتم التحكم فيه من خلال طرق آمنة. لا تتصل محطات العمل مباشرة بالبنية التحتية للإنتاج. يتم توجيه جميع الوصول عبر بيئات سحابية آمنة (GCP/GKE) ويتم حجزها عبر مفاتيح SSH، والشبكات الافتراضية الخاصة (VPNs)، وأذونات قائمة على الأدوار. |
صف الإعدادات/ الميزات الأمنية القياسية للأجهزة الصادرة للموظفين. (كلمة مرور تسجيل الدخول، برامج مكافحة البرمجيات الضارة، تشفير القرص بالكامل، الامتيازات الإدارية، جدار الحماية، القفل التلقائي، إلخ.) على الرغم من أن تكوينات الجهاز ليست مفروضة مركزيًا، فنحن نحافظ على معايير داخلية ونشجع جميع الموظفين على اتباع أفضل الممارسات الأمنية، بما في ذلك:
كما يتم تدريب الموظفين على النظافة الأمنية العامة وممارسات تطور البرمجيات الآمنة. تحدث جميع تدفقات العمل الخاصة بالتطوير والعمليات ضمن بيئات مؤمنة، مثل الحاويات المستضافة على GCP، مما يضمن الحد الأدنى من الاعتماد على التنفيذ المحلي أو التخزين المحلي الحساس. |
هل توجد بيانات حساسة أو خاصة على أجهزة نقاط النهاية؟ كيف يتم تطبيق هذه السياسة؟ نحن نحتفظ بسياسة صارمة تنص على أن لا يتم تخزين أي بيانات حساسة أو خاصة بالعملاء على أجهزة نقاط النهاية. يتم إجراء جميع العمليات الحساسة من خلال بنية تحتية سحابية آمنة، وتبقى بيانات العملاء مشفرة ومحتواة ضمن خدمات GCP المدارة.
يتم تطبيق هذه السياسة من خلال التصميم الفني — نقوم بعمارة الأنظمة بحيث لا تتعرض البيانات الحساسة على مستوى النقاط النهائية. بالت结合 مع الافتراضية الآمنة في بنية تحتية السحابية لدينا والمبادئ التوجيهية الداخلية الواضحة، وهذا يضمن أن خطر تعرض البيانات المستندة إلى النقاط النهائية يتم تخفيفه بشكل فعال. |
إدارة التكوين |
هل يتم تكوين_hosts حيث تعمل الخدمة بشكل موحد؟ نعم، جميع الأجهزة والحاويات التي تشغل خدمات Viasocket يتم تكوينها بشكل موحد. تستند بنيتنا التحتية إلى محرك Google Kubernetes (GKE)، مما يسمح لنا بإدارة الأحمال باستخدام صور حاوية موحدة وملفات الإعداد المتحكم بها بالإصدار. يتماشى كل نشر مع تكوين أساسي محدد، مما يضمن اتساقًا عبر البيئات (الاختبار والإنتاج). يتم الاحتفاظ بتعريفات البنية التحتية والمتغيرات البيئية والمعلمات الزمنية في التحكم بالمصدر وتتبنى ممارسات البنية التحتية ككود (IaC) لتقليل الانجراف وسوء التكوين. |
هل يتم مراجعة التغييرات على بيئة الإنتاج من قبل مهندسين/موظفي عمليات على الأقل؟ نعم، جميع التغييرات على بيئة الإنتاج تتم مراجعتها من قبل ما لا يقل عن اثنين من أعضاء الفريق. لدينا مدراء إصدار مخصصون يقومون بمراجعة واعتماد كل نشر بعد مراجعة الرمز من الأقران، مما يضمن إشرافًا صحيحًا قبل تطبيق أي تغييرات على الإنتاج. |
إدارة الأسرار |
صف استراتيجيتك في إدارة الأسرار: (رموز المصادقة، كلمات المرور، اعتمادات واجهة برمجة التطبيقات، الشهادات) في Viasocket، نتبع نهجًا آمنًا ومركزيًا لإدارة الأسرار مثل رموز المصادقة، ومفاتيح واجهة برمجة التطبيقات، وكلمات المرور، والشهادات. تشمل ممارساتنا الرئيسية:
يقلل هذا النهج من التعرض، ويعزز التحكم، ويضمن التعامل بشكل آمن مع جميع الاعتمادات الحساسة عبر بنيتنا التحتية. |
السجلات |
هل يتم تسجيل جميع الأحداث الأمنية (أحداث المصادقة، أوامر جلسة SSH، ارتفاع الامتيازات) في الإنتاج؟ نعم، يتم تسجيل جميع الأحداث الأمنية الحرجة في بيئة الإنتاج لدينا بشكل شامل ومراقبتها. يتضمن ذلك:
تُخزن السجلات بأمان، مختومة بالتاريخ، ومحتفظ بها وفقًا لسياساتنا الداخلية. يتم مراجعتها بانتظام وتستخدم لمراقبة الأمان، والاستجابة لحوادث، والتحقق من الامتثال. يتم تعليم الأحداث الشاذة والمريبة من خلال نظام المشاهدة لدينا، الذي يتضمن Atatus وCloudflare وأدوات المراقبة الخاصة بـ GCP. |
أمان الشبكة |
هل تم تقسيم شبكة الإنتاج إلى مناطق مختلفة بناءً على مستويات الأمان؟ نعم، تستضيف بيئتنا الإنتاجية ضمن VPC من Google Cloud، التي توفر بيئة شبكة آمنة ومعزولة. بينما نستخدم VPC واحدة لكل من الاختبار والإنتاج، يتم فصل الخدمات منطقياً ويكون الوصول مقيدًا بشدة من خلال قواعد جدار الحماية، وسياسات IAM، وعزل على مستوى الأسماء ضمن Google Kubernetes Engine (GKE). لا توجد واجهات برمجة التطبيقات الداخلية، أو قواعد بيانات، أو خدمات خلفية معرضة للجمهور. جميع هذه المكونات تُعطى فقط عناوين IP خاصة، ويتم تقييد الاتصال داخل التجمع أو VPC باستخدام سياسات الشبكة في Kubernetes وقواعد جدار الحماية في GCP، مما يضمن الوصول الآمن والمقسم حتى ضمن شبكة مشتركة. |
ما هي العملية لإجراء تغييرات على تكوين الشبكة؟ تتم جميع تغييرات تكوين الشبكة (مثل التحديثات على قواعد VPC، إعدادات جدار الحماية، أو قوائم التحكم في الوصول لعنوان IP) يدويًا ولكن تخضع لعدة طبقات من المراجعة قبل التنفيذ. تتم مراجعة التغييرات من قبل المهندسين المعنيين ومديري الإصدارات، مما يضمن عدم تطبيق أي تعديلات بدون إشراف صحيح وتقييم للمخاطر. تضمن عملية المراجعة هذه أن تتماشى تغييرات الشبكة مع معايير الأمان والتشغيل لدينا. |
هل يتم إرسال كل حركة الشبكة عبر الشبكات العامة إلى بنية الإنتاج عبر اتصالات مشفرة آمنة من الناحية التشفيرية؟ (TLS، VPN، IPSEC، إلخ). إذا كانت هناك اتصالات نص عادي، ماذا يتم إرساله بدون تشفير؟
|
التصميم التشفيري |
ما هي الأطر التشفيرية المستخدمة لتأمين البيانات أثناء النقل عبر الشبكات العامة؟ |
ما هي الأطر التشفيرية المستخدمة لتأمين البيانات في السكون؟ نستخدم التشفير الافتراضي من Google Cloud في السكون، والذي يعتمد على تشفير AES-256 لجميع البيانات المخزنة على الأقراص وقواعد البيانات والخدمات المدارة سحابيًا (مثل GKE وCloud Storage وCloud SQL، إلخ). للحصول على حماية إضافية، يتم تشفير المعلومات الحساسة المخزنة في قواعد بياناتنا بشكل صريح على مستوى التطبيق باستخدام AES-256، مما يضمن حماية مزدوجة تتجاوز الافتراضات التحتية. |
ما هي الأطر التشفيرية المستخدمة لتخزين كلمات المرور؟ ندعم طرق مصادقة متعددة، بما في ذلك Google OAuth وتسجيل الدخول عبر البريد الإلكتروني/كلمة المرور التقليدي. بالنسبة للمستخدمين الذين يقومون بالتحقق عبر البريد الإلكتروني وكلمة المرور، نضمن أمان كلمة المرور من خلال تطبيق تقنيات تجزئة وتشفير قياسية صناعية باستخدام المكتبات الموثوقة داخل وحدة Node.js. لا يتم تخزين كلمات المرور بنص عادي، وتتم تصميم طريقة التجزئة لمقاومة هجمات القوة الغاشمة وهجمات قوام قوس قزح. بالإضافة إلى حماية كلمة المرور، يتم تشفير جميع بيانات المستخدم الحساسة المخزنة في قواعد بياناتنا أثناء السكون باستخدام تشفير AES-256، مما يوفر طبقة قوية من الأمان للمعلومات السرية. تضمن هذه النهج المشترك آليات تحكم قوية حول بيانات الاعتماد للمستخدم والبيانات الحساسة، مستفيدة من كل من موفري المصادقة الخارجية الآمنة وأفضل ممارسات الحماية التشفيرية داخليًا. |
هل تُستخدم أي أطر/تنفيذات تشفير مخصصة؟ إذا كان الأمر كذلك، هل خضعت أي أطر تشفير مخصصة لمراجعة من طرف ثالث مستقل؟ |
إدارة المفاتيح |
كيف يتم إدارة المفاتيح التشفيرية (نظام إدارة المفاتيح، إلخ) داخل نظامك؟ ندير المفاتيح التشفيرية والأسرار باستخدام مدير الأسرار من Google Cloud، الذي يوفر تخزينًا آمنًا وتحكمًا في الوصول لجميع المفاتيح والرموز والاعتمادات الحساسة. يتم التحكم في الوصول إلى الأسرار بدقة باستخدام سياسات IAM الخاصة بـ Google Cloud، مما يضمن أن عددًا محدودًا جدًا من الأفراد المصرح لهم يمكنهم استرداد أو إدارة هذه المفاتيح. يتم تسجيل وتدقيق جميع الوصول إلى الأسرار، مما يمكّن من تتبع الاستخدام والمساءلة. بينما لا نملك حاليًا سياسة تدوير أوتوماتيكية للمفاتيح، فإننا نعتمد على بنية Google Cloud Secret Manager الآمنة لحماية المفاتيح أثناء السكون وفي النقل. نحن لا نستخدم الوحدات الأمنية المخصصة (HSMs) في الوقت الحالي ولكن نستفيد من ميزات الأمان المدارة من Google Cloud وأفضل الممارسات لحماية المفاتيح، بما في ذلك التخزين المشفر وضوابط الوصول الآمنة. |
كيف تبقى على علم بالثغرات الأمنية والتهديدات المحتملة التي قد تؤثر على خدمتك؟ نحن نعتمد على الميزات الأمنية ومعلومات التهديدات التي يقدمها مزود الخدمة السحابية لدينا (GCP) والشركاء الأمنيين مثل Cloudflare، التي تحدد بشكل استباقي التهديدات الناشئة والثغرات. نحن نحافظ على الوعي المستمر بالثغرات الأمنية والتهديدات المحتملة من خلال المراقبة والتنبيه المستمران. |
كيف تسجل وتنبّه بشأن الأحداث الأمنية ذات الصلة؟ (يشمل ذلك الشبكة وطبقة التطبيق)؟ يمتد إطار التسجيل والتنبيه لدينا عبر كل من طبقات التطبيق والشبكة. نحن نستخدم Atatus لمراقبة الطبقة التطبيقية بشكل مفصل، وتتبع الأداء، وتسجيل الأحداث الأمنية. على مستوى الشبكة، نعتمد على Cloudflare لمراقبة حركة المرور، ومنع التهديدات، وتسجيل الأحداث من خلال جدار حماية تطبيقات الويب (WAF) وميزات تحديد معدلات الدخول. يتم جمع السجلات من كلا النظامين مركزيًا ومراقبتها. يتم تكوين التنبيهات المولدة من الأحداث الأمنية، مثل الأنماط المريبة في حركة المرور أو الأخطاء التطبيقية، لإخطار فرق الأمان والعمليات لدينا عبر Slack والبريد الإلكتروني، مما يتيح التحقيق والاستجابة في الوقت المناسب. تضمن هذه المراقبة ذات الطبقتين تغطية شاملة للأحداث الأمنية عبر بنيتنا التحتية. |
صف أو أرفق برنامج استجابة الحوادث الأمنية الخاص بك؟ تم تصميم برنامج استجابة الحوادث الأمنية لدينا لضمان الاكتشاف في الوقت المناسب، والاحتواء، وإصلاح الحوادث الأمنية لتقليل التأثير على خدماتنا وعملائنا. يتضمن البرنامج:
|
كيف يتم اختبار خطة استجابة الحوادث لديك؟ بما في ذلك التردد. نختبر خطة استجابة الحوادث لدينا من خلال تمارين دورية محاكية وسيناريوهات تتضمن أعضاء رئيسيين من فرق الأمان والعمليات والتطوير. تحدث هذه التمارين على الأقل مرتين سنويًا وتهدف إلى التحقق من فعالية إجراءاتنا، والاتصال، والتنسيق تحت ظروف واقعية. علاوة على ذلك، نقوم بمراجعة وتحديث الخطة بعد أي حادث كبير أو تغيير في بنيتنا التحتية لضمان أنها تبقى حديثة وفعالة. |
هل لديك اتفاقية مستوى خدمة رسمية (SLA) للاستجابة للحوادث؟ https://viasocket.com/faq/others/service-level-agreement-sla |
هل لديك معايير محددة رسمية لإخطار العميل أثناء حادث قد يؤثر على أمان بياناته أو أنظمته؟ ما هي SLAs الخاصة بك للإخطار؟ نعم، لدينا نهج محدد لإخطار العملاء في حالة وقوع حادث أمني قد يؤثر بشكل محتمل على بياناتهم أو أنظمتهم.
تُكمل هذه العملية التزاماتنا الأوسع SLA بشأن توفر الخدمة، والصيانة، والشفافية التشغيلية، وتعكس أولويتنا لحماية بيانات العملاء والحفاظ على الثقة. |
كيف تحد من نقل البيانات من أجهزة نقاط الإنتاج النهائية؟ يتم التحكم بصرامة في نقل البيانات من بيئة الإنتاج. يتم تقييد الوصول SSH إلى الخوادم الإنتاجية من خلال تحكم الوصول بناءً على IAM، ولا يُمنح الإذن إلا لمجموعة محدودة للغاية من المهندسين المصرح لهم. يتم تسجيل كل الوصول ومراقبته. بالإضافة إلى ذلك، يتم تكوين بيئات الإنتاج ل منع استخراج الملفات أو نقل البيانات الخارجية، ويكون الوصول إلى الإنترنت الخارجي معطلًا بشكل افتراضي حيث لا يكون مطلوبًا صراحة. تضمن هذه التدابير بشكل جماعي أن حركة البيانات من الأنظمة الإنتاجية منظمة بشكل مشدد. |
ما الأنظمة التي لديك لتخفيف فئات من الثغرات في تطبيقات الويب؟ (مثل: WAF، البروكسيات، إلخ) نستخدم جدار حماية تطبيقات الويب Cloudflare (WAF)، الذي تم تكوينه بالكامل لرفض مجموعة واسعة من ثغرات تطبيقات الويب، بما في ذلك التهديدات في قائمة OWASP لأعلى 10 مثل حقن SQL، XSS، وRCE. بالإضافة إلى ذلك، نستفيد من تحديد المعدلات Cloudflare، حماية الروبوتات، وقواعد جدران الحماية المخصصة لمنع إساءة الاستخدام وتقليل السطح المستهدف. تتدفق كل الحركة العامة إلى التطبيق عبر Cloudflare، مما يضمن حماية شاملة على مستوى الحافة. |
هل لديك أنظمة كشف انتهاكات أو كشف شذوذ مع تنبيه؟ نعم، نستخدم Cloudflare وAtatus للكشف عن الانتهاكات والشذوذ. تراقب هذه الأدوات كل من حركة الشبكة على المستوى وسلوك التطبيق على المستوى. لدينا تنبيهات مُعدّة عبر البريد الإلكتروني، والتي تُخطر الفريق بأي أنشطة غير طبيعية مثل محاولات تسجيل دخول مشبوهة، أو ارتفاعات في الحركة، أو شذوذ في أنماط الوصول. تتيح هذه التنبيهات تحقيقًا واستجابة في الوقت المناسب للحوادث المحتملة. |
