Сучасний кіберпростір – не таке вже й безпечне місце. Цифрові сервіси, до яких ми звикли, і якими користуємось щодня, дедалі частіше стають ціллю для хакерів та кіберзлочинців. Як свідчить нещодавнє дослідження Thales, жертвами витоків даних на сьогодні так чи інакше стали 33% споживачів онлайн-сервісів. Водночас дані IBM свідчать, що кожен такий виток в середньому завдає організації збитків на 4,35 млн доларів. На його виявлення і локалізацію в середньому необхідно 277 днів.
Саме тому до нас звернулась велика закордонна диджитал-компанія, що працює на ринку оренди індивідуального транспорту. Клієнт хотів перевірити вразливість своєї цифрової інфраструктури, захистити чутливі дані своїх користувачів. Нижче ми розповімо, як перевіряли системи компанії на міцність.
З якою проблемою до нас звернувся клієнт
Ми не можемо назвати вам бренд нашого клієнта через NDA. Але варто сказати, що ця компанія надає послуги безконтактної оренди особистого транспорту, співпрацює з магазинами по всьому світу та надає можливості прокату поруч з найпопулярнішими світовими туристичними маршрутами. Тож через диджитал-сервіс клієнта проходять дані десятки тисяч користувачів з різних країн.
Власник бізнесу звернувся до нас, бо почав підозрювати, що в компанії міг статися виток даних (не виключалось, що він був інсайдерським). Відтак веб-платформу компанії потрібно було перевірити на предмет вразливостей, що можуть тягнути за собою втрату даних клієнтів, порушення конфіденційності або неправомірний доступ до системи.
Цілі й завдання проекту
Ключова мета полягала в тому, аби відпрацювати усі аспекти внутрішньої безпеки, унеможливити витоки даних із системи. В межах цієї мети нам потрібно було вирішити низку завдань:
-
ідентифікувати потенційні вразливості системи;
-
перевірити налаштування мережевої безпеки й виявити можливі витоки даних;
-
оцінити рівень оновлення системи та її компонентів;
-
протестувати стійкість сайту до навантаження та атак відмови в обслуговуванні.
Відтак нам потрібно було зібрати всю інформацію про корпоративне середовище клієнта, включно із застосовуваними технологіями, доступом до даних та мережевої інфраструктури. В цьому середовищі потрібно було знайти будь-які вразливості та усунути їх, а також опрацювати заходи для запобігання появи нових проблем з безпекою в майбутньому.
Стандарти перевірки
У процесах тестування веб-платформ наші фахівці керуються низкою базових міжнародних стандартів:
-
OWASP (відкритий проект з надання безпеки веб-додатків);
-
NIST (рекомендації з кібербезпеки Національного інституту стандартів та технологій США);
-
ISO 27001 (Міжнародний стандарт управління інформаційною безпекою).
-
PCI DSS (Стандарт безпеки даних індустрії платіжних карток).
Можлива також перевірка на відповідність будь-якими іншим стандартам та рекомендаціям, відповідно до вимог клієнта.
В даному проекті ми проводили тестування майже за усіма названими стандартами. Однак перевірка на відповідність PCI DSS за погодженням з клієнтом залишилась поза скоупом робіт, оскільки сервіс використовує рішення стороннього платіжного провайдера.
Ознайомтеся з деталями нашого кейсу перевірки онлайн-комерції на вразливість. Важливі висновки та рекомендації!
Як ми побудували роботу
Будь-яке тестування продуктів на кіберзепеку містить у собі підготовчий етап, етапи перевірки гіпотез та формулювання рішень. На першому етапі ми обговорюємо бізнес-цілі клієнта, збираємо інформацію про його систему, визначаємо коло імовірних кіберзагроз та зону тестування. На другому етапі проводиться пен-тестування (pentest) — “тестування на проникнення”, в якому фахівці шукають вразливості в системі. На третьому етапі прораховуються рішення для усунення виявлених проблем, формулюються рекомендації та стратегія кібербезпеки.
В даному проекті ми пройшли всі ці етапи. Розкажемо про них трохи детальніше:
-
Все почалось з організаційних кроків: ми створили спільний канал комунікації для фахівців з кібербезпеки, власника ресурсу, розробників софту та команди підтримки.
-
Ми узгодили скоуп і план робіт. Перевірка мала проводитись на продуктовому оточенні, графік проекту передбачав тестування поза бізнес-часом.
-
Наступним кроком став збір інформації про веб-ресурс клієнта. Фахівці збирали інформацію про його архітектуру та компоненти, проводили активне сканування, аналізували потенційні вразливості, здійснювали ручне тестування на фолс-позитив.
-
Надалі команда перевіряла механізми автентифікації та авторизації, шукала застарілі облікові записи, що створюють додаткові ризики кібербезпеки.
-
За цим слідував тест на стійкість ресурсу до навантаження й атак на відмову сервісу.
-
За підсумком усіх технічних етапів тестування ми визначили рівні ризиків, окреслили засоби й фактори, що впливають на них. Команда сформулювала перелік невідкладних, планових і рекомендованих заходів з кіберзахисту системи.
-
У фінальних етапах проекту почалось виправлення знайдених недоліків. Для цього наші фахівці тісно взаємодіяли з командами розробників ПЗ та техпідтримкою, контролювали усунення вразливостей.
-
Врешті, ми підготували фінальний звіт та рекомендації. Команда також узгодила план реалізації цих рекомендацій на практиці.
Методологія Black Box
Однією з форм пен-тестування системи на проекті була методологія “чорної скриньки” (Black Box). У межах цієї моделі фахівці з кібербезпеки не знають внутрішньої структури чи параметрів софту, і можуть покладатися лише на зовнішні дані та власні спостереження. Фактично йдеться про максимальну імітацію роботи справжніх зловмисників, які можуть спробувати отримати доступ до системи.
Фахівці приміряють на себе роль “білих хакерів” і шукають вразливості будь-якими способами. Вони можуть вдатися до таких засобів, як фішинг або соціальна інженерія, аби отримати доступ до системи. Тут варто сказати, що три чверті усіх відомих витоків даних містять у своїй історії людський фактор: помилки, зловживання, фішинг тощо (Verizon 2023 Data Breach Investigations Report).
Ясна річ, команда клієнта має повний контроль над процесом BlackBox-тестування. Воно проводиться так, аби не нашкодити бізнес-процесам та системі. Клієнт отримує детальні звіти про всі механізми зламу, знайдені вразливості та оцінку пов'язаних з ними ризиків.
Інвестувати у власні технології набагато вигідніше, ніж у чужі продукти. Лише індивідуальне рішення зможе задовольнити усі унікальні потреби вашого бізнесу
Тестування Black Box має декілька переваг:
-
Ефективне виявлення проблем з конфігурацією сервера, збірками продукту тощо;
-
викриття ролі людського фактора у кіберзахисті, яку часто неможливо оцінити іншими методами;
-
виявлення типових вразливостей, на кшталт SQL-ін’єкцій, XSS та CSRF;
-
результати тестування мають практичний характер – це конкретні рекомендації для швидкого усунення критичних вразливостей.
Ефективний пен-тест у форматі Black Box часто дає неочікувані результати. Крім того, це швидкий шлях виявлення найочевидніших та найбанальніших вразливостей системи, якими передусім і спробують скористатися реальні зловмисники.
Результати проекту
Як показує практика, превентивні заходи кіберзахисту можуть вберегти будь-яку компанію від багатомільйонних збитків та довготривалих негативних наслідків для бізнесу – від проблем з проведенням операцій, до втрати лояльності й довіри користувачів. Втім 90% компаній усе ще приділяють увагу питанням кібербезпеки за залишковим принципом.
Рішення нашого клієнта є вкрай своєчасним, адже кількість кібератак на сектор eCommerce з кожним роком лише зростає. Щорічно зростають і глобальні втрати бізнесу від фішінгових атак, витоків даних та зараження робочих місць співробітників черговим вірусом-здирником.
В ході перевірки корпоративного середовища клієнта ми виявили декілька головних і супутніх проблем кібербезпеки. Їх було позначено за пріоритетністю, виправлено розробниками, а після цього – перевірено наново. Тестування на навантаження забезпечило усій платформі запас міцності та витривалість під DDoS-атаками.
Команда WEZOM надала власнику повний звіт і погодила додаткові заходи кіберзахисту, із розгортанням системи постійного моніторингу та повторних перевірок. Ключовий результат проекту полягає навіть не у мінімізації ризиків, а в опрацюванні нової стратегії кібербезпеки, що має захистити бізнес клієнта в осяжній перспективі. Наразі ми крок за кроком працюємо над її реалізацією.