تقييم ثغرات واختبار اختراق تطبيقات الويب (Web VA & PT)
ما هو؟
تحديد واستغلال نقاط الضعف الأمنية في تطبيقات الويب.
أين؟
التحقق من صحة المدخلات، ثغرات المصادقة، إدارة الجلسات، حقن SQL، XSS (تنفيذ سكربت عبر المواقع)، CSRF (تزويد طلبات عبر المواقع)، ثغرات رفع الملفات.
النتيجة
تقرير يتضمن النتائج مرتبة حسب مستوى المخاطر وإرشادات للتصحيح لتأمين تطبيق الويب.
- إعادة الاختبار (Re-Test)
- تقييم ثغرات واختبار اختراق واجهات برمجة التطبيقات (API VA & PT)
- تقييم ثغرات واختبار اختراق تطبيقات الجوال (Mobile VA & PT)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
الإضافات الموصى بها
وحدة الخدمة الفردية / أوقات العمل
- 1 تطبيق ويب
- 10 صفحات ويب
- 1 دور
- 3–6 أيام
تقييم ثغرات واختبار اختراق تطبيقات الجوال (Mobile VA & PT)
ما هو؟
تقييم أمان تطبيقات الجوال لنظامي Android و iOS وتقييم تواصلها مع أنظمة الخلفية.
أين؟
تحديد نقاط الضعف مثل: تخزين البيانات غير الآمن، الاتصالات غير الآمنة (مثل حركة مرور واجهات برمجة التطبيقات)، ثغرات في الشيفرة، الاستخدام غير الصحيح لمنصة التشغيل.
النتيجة
يضمن امتثال تطبيقات الجوال لمعايير الأمان وحماية بيانات المستخدمين من التهديدات.
الإضافات الموصى بها
- إعادة الاختبار (Re-Test)
- تقييم ثغرات واختبار اختراق واجهات برمجة التطبيقات (API VA & PT)
- تقييم ثغرات واختبار اختراق تطبيقات الويب (Web VA & PT)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- 1 تطبيق ويب
- 10 صفحات ويب
- 10 وظائف
- 3 – 5 أيام
تقييم ثغرات واختبار اختراق واجهات برمجة التطبيقات (API VA & PT)
ما هو؟
تقييم أمان واجهات برمجة التطبيقات (RESTful أو SOAP) التي تربط تطبيقات الواجهة الأمامية بخدمات الخلفية.
أين؟
يتم التركيز على نقاط الضعف مثل:
ثغرات المصادقة والتفويض، ضعف التحقق من المدخلات والمخرجات، غياب حدود المعدل (Rate Limiting)، كشف البيانات الحساسة، وضعف التحكم في الوصول.
النتيجة
التحقق من أن واجهات برمجة التطبيقات تتعامل مع الطلبات والبيانات بطريقة آمنة، مما يمنع إساءة الاستخدام أو تسرب البيانات.
الإضافات الموصى بها
- إعادة الاختبار (Re-Test)
- تقييم ثغرات واختبار اختراق تطبيقات الويب (Web VA & PT)
- تقييم ثغرات واختبار اختراق تطبيقات الجوال (Mobile VA & PT)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- 20 نقطة نهاية (Endpoints)
- طريقة مصادقة واحدة
- 1 دور
- 3 – 5 أيام
تقييم ثغرات واختبار اختراق داخلي (Internal VA & PT)
ما هو؟
محاكاة تهديدات داخلية أو حركة جانبية داخل البنية التحتية لتكنولوجيا المعلومات الداخلية.
أين؟
محطات العمل، الخوادم، Active Directory، التطبيقات الداخلية، كلمات المرور الضعيفة، تقسيم الشبكة (Network Segmentation).
النتيجة
تسليط الضوء على نقاط الضعف داخل المؤسسة التي يمكن أن يستغلها مُسرِبون داخليون أو برمجيات خبيثة.
الإضافات الموصى بها
- إعادة الاختبار (Re-Test)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- 25 عنوان IP
- 1 موقع
- 5 – 7 أيام
تقييم الامتثال لمعايير الهيئة الوطنية للأمن السيبراني (NCA Compliance Assessment)
ما هو؟
تقييم مدى التزام المؤسسة بضوابط الأمن السيبراني الأساسية (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية.
أين؟
الحوكمة، إدارة الأصول، التحكم في الوصول، إدارة التهديدات، استمرارية الأعمال، أمن الأطراف الثالثة.
النتيجة
تحديد الفجوات في الامتثال وتقديم خارطة طريق لتلبية المتطلبات التنظيمية الوطنية للأمن السيبراني.
الإضافات الموصى بها
- جرد وتصنيف الأصول (Asset Inventory & Classification)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- وحدة تنظيمية واحدة (Organization Unit)
- بيئتان فيزيائيتان (Physical Environment)
- بيئتان سحابيتان (Cloud Environment)
- 5 – 7 أيام
تقييم الامتثال لمعايير ISO (ISO Compliance Assessment)
ما هو؟
تقييم جاهزية المؤسسة ومدى توافقها مع المعايير الدولية مثل ISO/IEC 27001 لإدارة أمن المعلومات.
أين؟
إدارة المخاطر، السياسات، حماية الأصول، الاستجابة للحوادث، عمليات التدقيق، والتحسين المستمر.
النتيجة
تمكين المؤسسات من الحصول على شهادة ISO أو الحفاظ عليها، وتحسين حوكمة أمن المعلومات بشكل عام.
الإضافات الموصى بها
- جرد وتصنيف الأصول (Asset Inventory & Classification)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- وحدة تنظيمية واحدة (Organization Unit)
- 3 أقسام/وظائف (Department-Functions)
- بيئتان (محلية وسحابية) (On-Prem, Cloud-Based)
- 5 – 7 أيام
SAMA Compliance Assessment
ما هو؟
ضمان الامتثال لإطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي، وهو إلزامي للمؤسسات المالية التي ينظمها البنك المركزي السعودي
أين؟
حوكمة الأمن السيبراني، العمليات، إدارة المخاطر، الامتثال، إدارة الأطراف الثالثة، والمرونة السيبرانية.
النتيجة
يدعم الكيانات المالية في تلبية المتطلبات التنظيمية وتعزيز الأمن بما يتماشى مع توقعات مؤسسة النقد العربي السعودي (SAMA)
الإضافات الموصى بها
- جرد وتصنيف الأصول (Asset Inventory & Classification)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- 1 Regulated entity
- 2 departments
- 5 – 7 أيام
تقييم الامتثال لقانون حماية البيانات الشخصية (PDPL Compliance Assessment)
ما هو؟
تقييم ضوابط خصوصية البيانات وفقًا لقانون حماية البيانات الشخصية السعودي (PDPL) لحماية حقوق الأفراد في البيانات.
أين؟
جمع البيانات، إدارة الموافقات، المعالجة، المشاركة، حقوق أصحاب البيانات، ونقل البيانات عبر الحدود.
النتيجة
مساعدة المؤسسات على تحديد الفجوات في الخصوصية والاستعداد لتطبيق متطلبات PDPL من خلال إجراءات امتثال واضحة.
الإضافات الموصى بها
- جرد وتصنيف الأصول (Asset Inventory & Classification)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- وحدة أعمال واحدة (Business Unit)
- نظام داخلي واحد (Internal System)
- قناة واحدة متاحة للجمهور (External-Facing Channel)
- 5 – 7 أيام
تقييم المخاطر (Risk Assessment)
ما هو؟
تحديد وتقييم وترتيب أولويات مخاطر الأمن السيبراني بناءً على بيئة المؤسسة ومشهد التهديدات.
أين؟
تحديد التهديدات، تصنيف الأصول، تحليل الأثر، تقدير الاحتمالية، وخطة معالجة المخاطر.
النتيجة
تقديم سجل واضح للمخاطر واستراتيجية للتخفيف منها لدعم اتخاذ القرارات المستنيرة وتخصيص الموارد.
الإضافات الموصى بها
- جرد وتصنيف الأصول (Asset Inventory & Classification)
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
وحدة الخدمة الفردية / أوقات العمل
- 20 أصل معلوماتي (Information Assets)
- موقع واحد أو بيئة سحابية (Site or Cloud)
- من 6 إلى 8 أيام
خدمة الاستجابة للحوادث السيبرانية (Incident Response – IR Retainer)
ما هو؟
ضمان الوصول الفوري إلى خبراء الأمن السيبراني أثناء الهجمات السيبرانية أو الحوادث الأمنية.
أين؟
الكشف السريع، الاحتواء، التحقيق (التحليل الجنائي الرقمي)، التعافي، وتحليل السبب الجذري.
النتيجة
تقليل فترة التوقف عن العمل، خسارة البيانات، والأضرار السمعة من خلال استجابة سريعة ومنظمة.
الإضافات الموصى بها
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
- عقد استشارات وامتثال (Advisory & Compliance Retainer)
وحدة الخدمة الفردية / أوقات العمل
- 50 ساعة
عقد اختبار دوري للأمن السيبراني (Testing Retainer)
ما هو؟
تعزيز وضع الأمان باستمرار من خلال تحديد ومعالجة المخاطر قبل وقوع الحوادث.
أين؟
تقييمات الثغرات المنتظمة، البحث عن التهديدات (Threat Hunting)، وتمارين المحاكاة (Tabletop Exercises).
النتيجة
تقليل احتمال وتأثير التهديدات السيبرانية من خلال إجراءات وقائية وخطط التخفيف من المخاطر.
الإضافات الموصى بها
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
- عقد استشارات وامتثال (Advisory & Compliance Retainer)
وحدة الخدمة الفردية / أوقات العمل
- 50 ساعة
عقد استشارات وامتثال (Advisory & Compliance Retainer)
ما هو؟
تقديم التوجيه الاستراتيجي في الأمن السيبراني ومساعدة المؤسسات على الامتثال للمعايير التنظيمية أو الصناعية.
أين؟
تقييم المخاطر، تطوير السياسات والإجراءات، تحليل الفجوات، الاستعداد للتدقيق، ودعم رئيس قسم أمن المعلومات (CISO Support).
النتيجة
بناء إطار حوكمة قوي وضمان الامتثال للمعايير مثل ISO 27001، الهيئة الوطنية للأمن السيبراني (NCA)، مؤسسة النقد العربي السعودي (SAMA)، وقانون حماية البيانات الشخصية (PDPL).
الإضافات الموصى بها
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
- عقد اختبار دوري للأمن السيبراني (Testing Retainer)
وحدة الخدمة الفردية / أوقات العمل
- 50 ساعة
خدمة احتفاظ الأمن السيبراني (Cybersecurity Services Retainer)
ما هو؟
خدمة مخصصة لمساعدة مؤسستكم في نشر وتكوين وتحسين تقنيات وأدوات الأمن السيبراني، لضمان حماية قوية ضد التهديدات.
أين؟
إدارة وتحسين جدار الحماية (Firewall)
نشر أمن الأجهزة الطرفية (Endpoint Security)
إعداد نظام إدارة المعلومات والأحداث الأمنية (SIEM)
تنفيذ إدارة الهوية والوصول (IAM) والمصادقة متعددة العوامل (MFA)
استراتيجيات منع تسرب البيانات (DLP)
حلول التشفير (Encryption)
تكوينات آمنة للأنظمة
مراجعات البنية الأمنية لضمان المرونة والاستقرار
النتيجة
تنفيذ حلول أمنية بشكل صحيح وفعال
تقليل الثغرات ونقاط الضعف في الضوابط
تعزيز مستوى الحماية الشاملة للمؤسسة
الإضافات الموصى بها
- عقد احتفاظ لخدمات الأمن السيبراني (Cyber services retainer)
- عقد استشارات وامتثال (Advisory & Compliance Retainer)
وحدة الخدمة الفردية / أوقات العمل
- 50 ساعة
