Василий
Василий
IT Sales Manager
26.09.2023

Киберзащита онлайн-коммерции: как мы стали “белыми хакерами” и проверили сервис клиента на уязвимость

Василий
Василий
IT Sales Manager
26.09.2023
26.09.2023
1406
12 минут
0

Современное киберпространство – не такое уж безопасное место. Привычные нам цифровые сервисы, которыми пользуемся каждый день, все чаще становятся целью для хакеров и киберпреступников. Как свидетельствует недавнее исследование Thales, жертвами утечек данных на сегодняшний день так или иначе стали 33% потребителей онлайн-сервисов. В то же время данные IBM свидетельствуют, что каждая такая утечка в среднем наносит организации ущерб на 4,35 млн долларов. На ее обнаружение и локализацию в среднем нужно 277 дней.

Именно поэтому к нам обратилась иностранная диджитал-компания, работающая на рынке аренды индивидуального транспорта. Клиент хотел проверить уязвимость своей цифровой инфраструктуры, защитить чувствительные данные своих пользователей. Ниже мы расскажем, как проверяли системы компании на прочность.

С какой проблемой к нам обратился клиент

Мы не можем назвать вам бренд нашего клиента в связи с NDA. Но достаточно сказать, что компания предоставляет услуги бесконтактной аренды личного транспорта, сотрудничает с магазинами по всему миру и предоставляет возможности проката рядом с самыми популярными мировыми туристическими маршрутами. Так что через диджитал-сервис клиента проходят данные десятков тысяч пользователей из разных стран.

Владелец бизнеса обратился к нам, поскольку начал подозревать, что в компании могла произойти утечка данных (не исключалось, что она была инсайдерской). Следовательно, веб-платформу компании нужно было проверить на предмет уязвимостей, которые могут повлечь за собой потерю данных клиентов, нарушение конфиденциальности или неправомерный доступ к системе.

Цели и задачи проекта

Ключевая цель заключалась в том, чтобы отработать все аспекты внутренней безопасности, исключить утечки данных из системы. В рамках этой цели нам нужно было решить ряд задач:

  • идентифицировать потенциальные уязвимости системы;

  • проверить настройки сетевой безопасности и обнаружить возможные утечки данных;

  • оценить уровень обновления системы и ее компонентов;

  • протестировать устойчивость сайта к нагрузке и атакам отказа в обслуживании.

Следовательно, нам нужно было собрать информацию о корпоративной среде клиента, включая применяемые технологии, доступы к данным и сетевой инфраструктуре. В этой среде требовалось найти любые уязвимости и устранить их, а также разработать меры по предотвращению появления новых проблем с безопасностью в будущем.

Стандарты проверки

В процессах тестирования веб-платформ наши специалисты руководствуются рядом базовых международных стандартов:

  1. OWASP (открытый проект по обеспечению безопасности веб-приложений);
  2. NIST (рекомендации по кибербезопасности Национального института стандартов и технологий США);

  3. ISO 27001 (Международный стандарт управления информационной безопасностью).

  4. PCI DSS (Стандарт безопасности данных индустрии платежных карт).

Возможна также проверка на соответствие любым прочим стандартам и рекомендациям, в соответствии с потребностями клиента.

В данном проекте мы проводили тестирование почти по всем указанным стандартам. Однако проверка на соответствие PCI DSS по согласованию с клиентом осталась за скоупом работ, поскольку сервис использует решение стороннего платежного провайдера.

Как мы построили работу

Любое тестирование продуктов на кибербезопасность предусматривает подготовительный этап, этапы проверки гипотез и формулирование решений. На первом этапе мы обсуждаем бизнес-цели клиента, собираем информацию о его системе, определяем круг возможных киберугроз и зону тестирования. На втором этапе проводится пен-тестирование (pentest) - "тестирование на проникновение", в котором специалисты ищут уязвимости в системе. На третьем этапе просчитываются решения по устранению обнаруженных проблем, формулируются рекомендации и стратегия кибербезопасности.

В данном проекте мы прошли все эти этапы. Расскажем о них немного подробнее:

  • Все началось с организационных шагов: мы создали общий канал коммуникации для специалистов по кибербезопасности, владельца ресурса, разработчиков софта и команды поддержки.

  • Мы согласовали скоп и план работ. Проверка должна была проводиться на продуктовом окружении, график проекта предусматривал тестирование вне бизнес-времени.

  • Следующим шагом стал сбор информации о веб-ресурсе клиента. Специалисты собирали информацию о его архитектуре и компонентах, проводили активное сканирование, анализировали потенциальные уязвимости, осуществляли ручное тестирование на фолс-позитив.

  • В дальнейшем команда проверяла механизмы аутентификации и авторизации, искала устаревшие аккаунты, создающие дополнительные риски кибербезопасности.

  • За этим последовал тест на устойчивость ресурса к нагрузке и атакам на отказ сервиса.

  • По итогам всех технических этапов тестирования мы определили уровни рисков, обозначили средства и факторы, влияющие на них. Команда сформулировала перечень неотложных, плановых и рекомендованных мер по защите системы.

  • На финальных этапах проекта началась исправление найденных недостатков. Для этого наши специалисты тесно взаимодействовали с командами разработчиков ПО и техподдержкой, контролировали устранение уязвимостей.

  • В конце концов мы подготовили финальный отчет и рекомендации. Команда также согласовала план реализации этих рекомендаций на практике.

Методология Black Box

Одной из форм пен-тестирования системы на проекте была методология "черного ящика" (Black Box). В рамках этой модели специалисты по кибербезопасности не знают внутренней структуры или параметров софта, и могут полагаться только на внешние данные и собственные наблюдения. Фактически речь идет о максимальной имитации работы настоящих злоумышленников, которые могут попытаться получить доступ к системе.

Специалисты примеряют на себя роль "белых хакеров" и ищут уязвимости любыми способами. Они могут прибегнуть к таким средствам, как фишинг или социальная инженерия, чтобы получить доступ к системе. Здесь важно сказать, что три четверти всех известных утечек данных содержат в своей истории человеческий фактор: ошибки, злоупотребления, фишинг и т.д. (Verizon 2023 Data Breach Investigations Report).

Конечно, команда клиента имеет полный контроль над процессом BlackBox-тестирования. Оно проводится так, чтобы не навредить бизнес-процессам и системе. Клиент получает подробные отчеты о всех механизмах взлома, обнаруженных уязвимостях и оценках связанных с ними рисков.

Рекомендуем почитать
Какие преимушества дает индивидуальный софт?

Инвестировать в собственные технологии гораздо выгоднее, чем в чужие продукты. Только индивидуальное решение сможет удовлетворить все уникальные потребности вашего бизнеса.

Узнайте больше о разработке ПО

Тестирование Black Box имеет несколько преимуществ:

  • эффективное обнаружение проблем с конфигурацией сервера, сборками продукта и т.д.;
  • разоблачение роли человеческого фактора в киберзащите, которую часто невозможно оценить другими методами;
  • обнаружение типичных уязвимостей, вроде SQL-инъекций, XSS и CSRF;
  • результаты тестирования носят практический характер – это конкретные рекомендации для быстрого устранения критических уязвимостей.

Эффективный пен-тест в формате Black Box часто дает неожиданные результаты. Кроме того, это быстрый путь выявления наиболее очевидных и банальных уязвимостей системы, которыми, прежде всего, и попытаются воспользоваться реальные злоумышленники.

Результаты проекта

Как показывает практика, превентивные меры киберзащиты могут уберечь любую компанию от многомиллионного ущерба и долгосрочных негативных последствий для бизнеса – от проблем с проведением операций, до потери лояльности и доверия пользователей. Однако 90% компаний все еще уделяют внимание вопросам кибербезопасности по остаточному принципу.

Решение нашего клиента крайне своевременно, ведь количество кибератак на сектор eCommerce с каждым годом только растет. Ежегодно растут и глобальные потери бизнеса от фишинговых атак, утечек данных и заражения рабочих мест сотрудников очередным вирусом-вымогателем.

В ходу проверки корпоративной среды клиента мы обнаружили ряд главных и сопутствующих проблем кибербезопасности. Они были обозначены по приоритетности, исправлены разработчиками, а после этого – проверены повторно. Тестирование на нагрузку обеспечило платформе запас прочности и выносливость под DDoS-атаками.

Команда WEZOM предоставила владельцу полный отчет и согласовала дополнительные меры киберзащиты, с развертыванием системы постоянного мониторинга и повторных проверок. Ключевой результат проекта заключается даже не в минимизации рисков, а в разработке новой стратегии кибербезопасности, которая должна защитить бизнес клиента в обозримой перспективе. Сегодня мы шаг за шагом работаем над ее реализацией.

Василий
Про автора
Василий
IT Sales Manager
Опыт работы 6 лет
Эксперт по IT-продуктам в области логистики и девелопмента, помогает потенциальным клиентам WEZOM подбирать оптимальные платформы и технологии для решения задач бизнеса.
Больше статей от автора
Как вам статья?
Давайте обсудим Ваш проект
Нажимая на кнопку “Отправить”, вы даете согласие на обработку личных данных. Подробнее
Комментарии
(0)
Будьте первыми, кто оставит комментарий
wezom logo
Остались вопросы?
Оставьте ваши контактные данные. Наш менеджер свяжется и проконсультирует вас.
Подписывайтесь на рассылку Айтыжблог
blog subscriber decor image
Хотите получать интересные статьи?
Нажимая на кнопку “Отправить”, вы даете согласие на обработку личных данных. Подробнее
Следите за нами в социальных сетях
Этот сайт использует cookie-файлы для более комфортной работы пользователя. Продолжая просматривать сайт, Вы соглашаетесь на использование cookie.