Современное киберпространство – не такое уж безопасное место. Привычные нам цифровые сервисы, которыми пользуемся каждый день, все чаще становятся целью для хакеров и киберпреступников. Как свидетельствует недавнее исследование Thales, жертвами утечек данных на сегодняшний день так или иначе стали 33% потребителей онлайн-сервисов. В то же время данные IBM свидетельствуют, что каждая такая утечка в среднем наносит организации ущерб на 4,35 млн долларов. На ее обнаружение и локализацию в среднем нужно 277 дней.
Именно поэтому к нам обратилась иностранная диджитал-компания, работающая на рынке аренды индивидуального транспорта. Клиент хотел проверить уязвимость своей цифровой инфраструктуры, защитить чувствительные данные своих пользователей. Ниже мы расскажем, как проверяли системы компании на прочность.
С какой проблемой к нам обратился клиент
Мы не можем назвать вам бренд нашего клиента в связи с NDA. Но достаточно сказать, что компания предоставляет услуги бесконтактной аренды личного транспорта, сотрудничает с магазинами по всему миру и предоставляет возможности проката рядом с самыми популярными мировыми туристическими маршрутами. Так что через диджитал-сервис клиента проходят данные десятков тысяч пользователей из разных стран.
Владелец бизнеса обратился к нам, поскольку начал подозревать, что в компании могла произойти утечка данных (не исключалось, что она была инсайдерской). Следовательно, веб-платформу компании нужно было проверить на предмет уязвимостей, которые могут повлечь за собой потерю данных клиентов, нарушение конфиденциальности или неправомерный доступ к системе.
Цели и задачи проекта
Ключевая цель заключалась в том, чтобы отработать все аспекты внутренней безопасности, исключить утечки данных из системы. В рамках этой цели нам нужно было решить ряд задач:
-
идентифицировать потенциальные уязвимости системы;
-
проверить настройки сетевой безопасности и обнаружить возможные утечки данных;
-
оценить уровень обновления системы и ее компонентов;
-
протестировать устойчивость сайта к нагрузке и атакам отказа в обслуживании.
Следовательно, нам нужно было собрать информацию о корпоративной среде клиента, включая применяемые технологии, доступы к данным и сетевой инфраструктуре. В этой среде требовалось найти любые уязвимости и устранить их, а также разработать меры по предотвращению появления новых проблем с безопасностью в будущем.
Стандарты проверки
В процессах тестирования веб-платформ наши специалисты руководствуются рядом базовых международных стандартов:
- OWASP (открытый проект по обеспечению безопасности веб-приложений);
-
NIST (рекомендации по кибербезопасности Национального института стандартов и технологий США);
-
ISO 27001 (Международный стандарт управления информационной безопасностью).
-
PCI DSS (Стандарт безопасности данных индустрии платежных карт).
Возможна также проверка на соответствие любым прочим стандартам и рекомендациям, в соответствии с потребностями клиента.
В данном проекте мы проводили тестирование почти по всем указанным стандартам. Однако проверка на соответствие PCI DSS по согласованию с клиентом осталась за скоупом работ, поскольку сервис использует решение стороннего платежного провайдера.
Ознакомьтесь с деталями нашего кейса проверки онлайн-коммерции на уязвимость. Важные выводы и советы!
Как мы построили работу
Любое тестирование продуктов на кибербезопасность предусматривает подготовительный этап, этапы проверки гипотез и формулирование решений. На первом этапе мы обсуждаем бизнес-цели клиента, собираем информацию о его системе, определяем круг возможных киберугроз и зону тестирования. На втором этапе проводится пен-тестирование (pentest) - "тестирование на проникновение", в котором специалисты ищут уязвимости в системе. На третьем этапе просчитываются решения по устранению обнаруженных проблем, формулируются рекомендации и стратегия кибербезопасности.
В данном проекте мы прошли все эти этапы. Расскажем о них немного подробнее:
-
Все началось с организационных шагов: мы создали общий канал коммуникации для специалистов по кибербезопасности, владельца ресурса, разработчиков софта и команды поддержки.
-
Мы согласовали скоп и план работ. Проверка должна была проводиться на продуктовом окружении, график проекта предусматривал тестирование вне бизнес-времени.
-
Следующим шагом стал сбор информации о веб-ресурсе клиента. Специалисты собирали информацию о его архитектуре и компонентах, проводили активное сканирование, анализировали потенциальные уязвимости, осуществляли ручное тестирование на фолс-позитив.
-
В дальнейшем команда проверяла механизмы аутентификации и авторизации, искала устаревшие аккаунты, создающие дополнительные риски кибербезопасности.
-
За этим последовал тест на устойчивость ресурса к нагрузке и атакам на отказ сервиса.
-
По итогам всех технических этапов тестирования мы определили уровни рисков, обозначили средства и факторы, влияющие на них. Команда сформулировала перечень неотложных, плановых и рекомендованных мер по защите системы.
-
На финальных этапах проекта началась исправление найденных недостатков. Для этого наши специалисты тесно взаимодействовали с командами разработчиков ПО и техподдержкой, контролировали устранение уязвимостей.
-
В конце концов мы подготовили финальный отчет и рекомендации. Команда также согласовала план реализации этих рекомендаций на практике.
Методология Black Box
Одной из форм пен-тестирования системы на проекте была методология "черного ящика" (Black Box). В рамках этой модели специалисты по кибербезопасности не знают внутренней структуры или параметров софта, и могут полагаться только на внешние данные и собственные наблюдения. Фактически речь идет о максимальной имитации работы настоящих злоумышленников, которые могут попытаться получить доступ к системе.
Специалисты примеряют на себя роль "белых хакеров" и ищут уязвимости любыми способами. Они могут прибегнуть к таким средствам, как фишинг или социальная инженерия, чтобы получить доступ к системе. Здесь важно сказать, что три четверти всех известных утечек данных содержат в своей истории человеческий фактор: ошибки, злоупотребления, фишинг и т.д. (Verizon 2023 Data Breach Investigations Report).
Конечно, команда клиента имеет полный контроль над процессом BlackBox-тестирования. Оно проводится так, чтобы не навредить бизнес-процессам и системе. Клиент получает подробные отчеты о всех механизмах взлома, обнаруженных уязвимостях и оценках связанных с ними рисков.
Инвестировать в собственные технологии гораздо выгоднее, чем в чужие продукты. Только индивидуальное решение сможет удовлетворить все уникальные потребности вашего бизнеса.
Тестирование Black Box имеет несколько преимуществ:
- эффективное обнаружение проблем с конфигурацией сервера, сборками продукта и т.д.;
- разоблачение роли человеческого фактора в киберзащите, которую часто невозможно оценить другими методами;
- обнаружение типичных уязвимостей, вроде SQL-инъекций, XSS и CSRF;
- результаты тестирования носят практический характер – это конкретные рекомендации для быстрого устранения критических уязвимостей.
Эффективный пен-тест в формате Black Box часто дает неожиданные результаты. Кроме того, это быстрый путь выявления наиболее очевидных и банальных уязвимостей системы, которыми, прежде всего, и попытаются воспользоваться реальные злоумышленники.
Результаты проекта
Как показывает практика, превентивные меры киберзащиты могут уберечь любую компанию от многомиллионного ущерба и долгосрочных негативных последствий для бизнеса – от проблем с проведением операций, до потери лояльности и доверия пользователей. Однако 90% компаний все еще уделяют внимание вопросам кибербезопасности по остаточному принципу.
Решение нашего клиента крайне своевременно, ведь количество кибератак на сектор eCommerce с каждым годом только растет. Ежегодно растут и глобальные потери бизнеса от фишинговых атак, утечек данных и заражения рабочих мест сотрудников очередным вирусом-вымогателем.
В ходу проверки корпоративной среды клиента мы обнаружили ряд главных и сопутствующих проблем кибербезопасности. Они были обозначены по приоритетности, исправлены разработчиками, а после этого – проверены повторно. Тестирование на нагрузку обеспечило платформе запас прочности и выносливость под DDoS-атаками.
Команда WEZOM предоставила владельцу полный отчет и согласовала дополнительные меры киберзащиты, с развертыванием системы постоянного мониторинга и повторных проверок. Ключевой результат проекта заключается даже не в минимизации рисков, а в разработке новой стратегии кибербезопасности, которая должна защитить бизнес клиента в обозримой перспективе. Сегодня мы шаг за шагом работаем над ее реализацией.
