ENDEUA

Бизнес-кейсы проектов, выполненных нами

Аудиты безопасности и тесты на проникновение

• Пентест функционала криптовалютной биржи

К нам обратилась компания, которая планировала выйти на перспективный рынок криптовалют. Для осуществления этой цели в компании было разработано Web-приложение с функционалом криптовалютной биржи. Перед публикацией приложения в публичном доступе компанией было принято решение выполнить для него аудит информационной безопасности методами тестирования на проникновение по методологии OWASP. С этим запросом они обратились к нам.

Тестирование проводилось в режиме «черный ящик»: на начальном этапе аудиторы имели в своём распоряжении лишь адрес URL тестируемого приложения.

В ходе проведения пентеста были выявлены и подтверждены следующие действия, которые могут совершить злоумышленники:

  • Воспользоваться отсутствием фильтрации входных данных в функционале «комнаты переговоров» и провести атаку XSS на пользователя или администратора. Это было успешно подтверждено при открытии диалога тестовой жертвой (пользователем или администратором, которому было передано сообщение). Функционал скрипта может быть любым, например скрытый «майнинг», поддельная форма аутентификации и т. п., вплоть до полного контроля над компьютером жертвы.
  • Воспользоваться недостатками функционала загрузки файлов в web-приложение и получить доступ к файловой системе сервера (возможность читать, загружать, удалять файлы), выполнять на сервере произвольные команды, выполнять запросы SQL, выполнять соединения с интерфейса сервера к другим системам, т. е. фактически злоумышленник получают полный контроль над сервером и возможность полной компрометации данных.
  • После получения контроля над сервером, воспользоваться недостатками криптографической защиты, в частности, отсутствием контроля целостности данных проведения транзакций в приложении, и вносить изменения в баланс счёта.
  • Обойти проверку при отправке сообщений и выдать себя за другого пользователя или администратора, таким образом, ввести жертву в заблуждение и совершить мошеннические действия.
  • Идентифицировать зарегистрированных пользователей.
  • Совершать атаки на пароли пользователей.
  • Получать несанкционированный доступ к файлам, которые загрузили другие пользователи.

Заказчик получил исчерпывающий отчёт об уязвимостях и способах их устранения. После устранения уязвимостей аудиторами была проведена проверка устранения недостатков, обнаруженных ранее. И только после этого web-приложение было опубликовано в Интернет.

Таким образом, проведение аудита методами тестирования на проникновение избавило заказчика от возможных репутационных и финансовых убытков.

Узнать больше о пентестах.



• Внешний тест на проникновение национальной сети аптек

Одна из сетей аптек национального масштаба заказала у нас внешний пентест своей компьютерной сети. Заказчиком был выбран режим «чёрный ящик».

В ходе проекта было обнаружено, что вся критическая инфраструктура ИТ находится за файрволом (межсетевым экраном). Казалось, нет шансов проникнуть. Тогда мы решили проверить точки продаж, и проверили несколько аптек. В одной из них был маршрутизатор Microtik с паролем по умолчанию. У этого типа маршрутизаторов пустые пароли по умолчанию, поэтому маршрутизатор был «скомпрометирован». Маршрутизатор имел OpenVPN, хранил сертификаты локально и позволял сниффинг. Мы перехватили сетевой трафик и нашли конфиденциальную информацию системы учёта продаж и бухгалтерской системы. Затем мы извлекли сертификаты из маршрутизатора, создали ложную точку продаж и соединились с сервером VPN. Мы представились обычной аптекой и таким образом проникли во внутреннюю инфраструктуру заказчика, которая была защищена файрволом и казалась непробиваемой. Мы изучили внутреннюю сеть Active Directory, нашли сервер SQL с доменной аутентификацией и проникли в него, используя пароль, предварительно извлечённый с помощью утилиты mimikatz.

Проект был выполнен с заключением, что проникновение возможно, и уровень информационной безопасности заказчика низкий. Заказчик получил результаты оценки рисков, информацию об уязвимостях и рекомендации о том, как их устранить, а также как усилить безопасность инфраструктуры ИТ.

Узнать больше о пентестах.



• Тест на проникновение в режимах «серый ящик» и «белый ящик» телеком-компании

Телеком-компания среднего размера, мотивированная выполнять внешние требования безопасности, запросила у нас построение комплексной системы защиты информации и проведение общей оценки безопасности. В качестве режимов пентеста заказчиком были выбраны «серый ящик» и «белый ящик». Целевые объекты пентеста: внешние сервера, DMZ, Web-приложения, а также внутренние узлы локальной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Ошибки конфигурации сети, отсутствие сегментации (отсутствие отдельного VLAN для управляющих интерфейсов устройств iLO, IMPI, IP KVM и т. д.).
  • Слабые пароли в активном сетевом оборудовании.
  • Доступность скрытых ресурсов (ADMIN$, C$, D$ и др.).

В результате эксплуатации уязвимостей были получены документы, содержащие конфиденциальные данные. Таким образом, был смоделирован несанкционированный доступ злоумышленников. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

Узнать больше о пентестах.



• Внутренний пентест большого промышленного производства

Крупному заводу с персоналом до 10 000 сотрудников понадобилось оценить соответствие внутренней инфраструктуры ИТ требованиям безопасности. Завод заказал у нас тест на проникновение в режимах «серый ящик» и «белый ящик». В качестве целевых объектов пентеста были выбраны сервера локальной вычислительной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Недостатки в процессах мониторинга событий и реагирования на инциденты безопасности (отсутствие мер предотвращения вторжений и восстановления после инцидентов).
  • Недостатки управления конфигурациями (бесконтрольные тестовые и гостевые узлы в корпоративном домене).
  • Недостатки управления доступом и привилегиями (открыт вход по ssh для стандартной учётной записи для root; единая учётная запись администратора для управления DC, сетевым оборудованием и пользовательскими рабочими станциями).
  • Другие технические уязвимости (разрешено авто-обнаружение прокси для ПО).

В ходе проекта был смоделирован несанкционированный доступ инсайдеров. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

Узнать больше о пентестах.



• Анализ инфраструктуры предприятия розничной торговли

У ритейлера среднего размера были внедрены внутренние и внешние требования информационной безопасности. Данные требования предписывали выполнение полного анализа инфраструктуры предприятия, включая тесты на проникновение в режимах «серый ящик» и «белый ящик». В ходе пентеста были обнаружены следующие уязвимости и недостатки:

  • Уязвимости в веб-приложениях (отсутствие проверок валидности запросов в приложениях, передача данных по незашифрованному каналу HTTP).
  • Недостатки управления привилегиями (доменные учётные записи различных сервисов и приложений имели слишком высокие привилегии).
  • Возможность подделки электронной корреспонденции (отсутствие систем подписи DKIM/DMARC на почтовых серверах).
  • Недостатки процесса мониторинга событий безопасности (отсутствие настройки «auditd» по событиям).
  • Возможность несанкционированного подключения устройств в сети (DHCP snooping, отсутствие port security).

В ходе пентеста в качестве демонстрации уязвимостей был смоделирован несанкционированный доступ к сетевому оборудованию. Заказчик получил полный отчёт об уязвимостях и способах их ликвидации.

Узнать больше о пентестах.



• Пентест финансовой организации для соответствия требованиям PCI DSS

Небольшая финансовая организация, подключенная к международным платёжным системам Visa и Mastercard, столкнулась с необходимостью выполнять требования стандарта PCI DSS. Среди них есть требование регулярного проведения внешнего и внутреннего тестирования на проникновение. В результате анализа области охвата инфраструктуры (среды данных держателей карт) с заказчиком были согласованы подробные параметры внешнего пентеста, включая режимы «серый ящик» и «чёрный ящик», а также перечень целевых объектов, которые представляли собой сервисы и веб-приложения, опубликованные в Интернет.

В результате пентеста были обнаружены множественные уязвимости в веб-приложениях (инъекции PHP, межсайтовый скриптинг, прямые ссылки на объекты, отсутствующие механизмы обновления ПО, конфигурации веб-сервера по умолчанию, отсутствие контроля доступа на уровне функций, переполнения буфера, ошибки в коде веб-приложений).

По результатам проекта не было обнаружено реальных путей проникновения, а только потенциальные. Заказчик получил исчерпывающий отчёт о данных путях и способах повышения защищённости инфраструктуры. Отчёт был выполнен в соответствии с требованиями PCI DSS, включая описание методики тестирования на проникновение, которая применялась в ходе работы.

Узнать больше о пентестах.



Управляемая безопасность и комплаенс: внедрение ISO 27001, TISAX и т. д.

• Внедрение ISO 27001 в компании-разработчике медицинского программного обеспечения

Небольшая компания-разработчик программного обеспечения в медицинской сфере столкнулась с требованиями своих клиентов. Они хотели, чтобы компания была сертифицирована по ISO 27001. При этом сертифицирующий орган должен иметь высший международный уровень аккредитации UKAS.

Ранее в компании принимались только поверхностные меры и велись лишь эпизодические работы, связанные с информационной безопасностью, и только в области защиты серверов и рабочих станций. Мы незамедлительно начали работу по анализу области охвата и детализации плана работ по первичному аудиту и гэп-анализу. Мы выполнили эту работу для клиента бесплатно. После этого компания увидела, что мы понимаем её проблематику, и умеем строить реальные планы, и подписала с нами договор на аудит, гэп-анализ и разработку плана внедрения. За 3 недели мы завершили эту работу. Заказчик очередной раз убедился, что наш опыт и скорость работы превышают его ожидания.

После этого заказчик заключил с нами договор на внедрение ISO 27001. За 6 месяцев мы разработали все контроли, требуемые стандартом, описали их в 18 нормативных документах, внедрили ряд реестров по управлению безопасностью, провели обучение персонала. Особое внимание мы уделили безопасному жизненному циклу разработки программного обеспечения.

Затем стал вопрос о выборе независимого аудитора. Мы порекомендовали нашему клиенту одну из крупнейших немецких аудиторских компаний. Мы связались с этой аудиторской компанией, а также заблаговременно провели с ним обсуждение и подготовку к сертификации нашего клиента. Клиент заключил с компанией-аудитором договор на аудит и сертификацию.

В ходе аудита мы защищали нашего клиента и построенную нами систему управления информационной безопасностью перед аудиторами. Они сделали незначительные замечания, как это бывает обычно. Мы учли эти замечания, и через 2 недели наш клиент получил официальный сертификат ISO 27001.

С целью поддержки внедрённой системы и ежегодного подтверждения сертификата, компания воспользовалась нашей услугой «Удалённый менеджер безопасности».

Также нашего клиента заинтересовали наши компетенции не только в процессном управлении, но и в ИТ-безопасности. Компания заказала у нас расширенные услуги безопасности приложений, анализа безопасности исходных кодов и тестирования на проникновение своих программных продуктов.

Полученные сертификаты соответствия ISO 27001 и успешного прохождения оценки безопасности компания разместила на своём веб-сайте и в маркетинговых материалах. Свой новый статус компания прорекламировала и получила значительные конкурентные преимущества, которые выразились в увеличении количества заказов и продаж.

Узнать больше о стандарте ISO 27001.



• Внедрение ISO 27001 и TISAX в компании, разрабатывающей автомобильные системы

Представитель немецкой автомобильной промышленности, занимающийся разработкой бортовых автомобильных систем, обратился к нам с целью внедрения соответствия ISO 27001 и Trusted Information Security Assessment Exchange (TISAX) в сжатые сроки. Высокая конкуренция на рынке автомотив-систем (систем безопасности, пилотирования, навигационных и развлекательных систем и т. д.) заставляет ведущих производителей автомобилей и их подрядчиков (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch и т.д.) форсировать выведение новых продуктов на рынок при сохранении уровня качества и безопасности. Это обусловило высокую мотивацию нашего клиента.

До этого клиент пытался самостоятельно заполнять формы соответствия TISAX, но отсутствие необходимых компетенций не позволило ему даже начать процесс внедрения должным образом.

Соответствие TISAX, хотя и построено на основе ISO 27001, имеет свою специфику. Например, в отличие от аудита ISO 27001, который может проходить несколько дней, аудитор TISAX проводит всего один день в офисе заказчика. Зато потом около 3 месяцев требует и собирает доказательства по каждому процессу безопасности. Аудиторская отчётность TISAX подразумевает высокую степень автоматизации с использованием современных систем класса GRC (Governance, Risk management and Compliance).

В течение первых 3 месяцев после подписания договора с нашим клиентом мы детально изучили его бизнес-процессы и разработали около 50 документов, необходимых для соответствия ISO 27001 и TISAX. В ходе внедрения и аудиторской отчётности мы использовали системы Redmine и Goriscon.

Всего от момента старта проекта до получения метки соответствия TISAX прошло 6 месяцев напряжённой совместной работы наших консультантов и персонала нашего клиента. Мы провели несколько тренингов, выполнили ряд оценок безопасности серверов и приложений, усилили сетевую безопасность, безопасность жизненного цикла систем, внедрили управление рисками, ключевые индикаторы эффективности (KPI) безопасности, процессы управления изменениями, инцидентами и т. д.

Внедрённые процессы, операции и системы безопасности необходимо поддерживать постоянно, чтобы они не теряли эффективность, и поэтому наш клиент заказал у нас услугу «Удалённый менеджер информационной безопасности». Мы продолжили проводить регулярные тренинги у клиента, отслеживать события информационной безопасности, реагировать на инциденты безопасности, выполнять ежеквартальное сканирование уязвимостей, проводить аудит исходного кода программного обеспечения, отчитываться аудиторам и клиентам нашего заказчика и т. д. То есть, полностью выполнять функции менеджера информационной безопасности.

Наш заказчик отметил не только повышение уровня безопасности в результате выполнения этого проекта. В ходе управления активами, доступом и техническими уязвимостями было обнаружено неэффективное использование систем, избыточный доступ, ошибки конфигурации, снижающие производительность сети и т. д. В качестве побочного эффекта проекта заказчик оптимизировал некоторые свои ИТ-операции.

Получение официального статуса соответствия ISO 27001 и TISAX позволило нашему клиенту получить новые долговременные контракты у одного из гигантов немецкого автопрома.

Узнать больше о VDA и TISAX.



Реагирование на инциденты информационной безопасности и их расследование

• Хакерская атака на правительство восточно-европейской страны

Представитель крупной правительственной организации одной из восточно-европейских стран обратился к нам с запросом о помощи в реагировании на хакерскую атаку и в её расследовании. С 5 утра субботы официальный сайт этой организации был недоступен из-за хакерской атаки Drupalgeddon 2, осуществлявшуюся в автоматическом режиме вредоносными скриптами по всей сети Интернет.

В результате анализа было выявлено, что атака на сайт не коснулась важных данных и не нанесла иного вреда, кроме простоя веб-сайта. Данный простой нанёс некоторый ущерб работе и репутации организации, а также взаимодействию с пользователями её сервисов.

Мы оперативно очистили сайт от вредоносных файлов и восстановили его, при этом собрав журналы событий и другие доказательства для передачи в полицию.

Расследование велось нами путём анализа файлов журналов событий различных серверных служб. Было установлено, что с определённого IP-адреса был последний удачный запрос с кодом возврата 200, после чего никакой информации не было. Далее были проанализированы скрипты сайта, и было установлено, что в начало всех исполняемых файлов был вставлен фрагмент кода PHP, который прежде всего отключал логирование и далее закодированным способом запускал шелл, который мог принимать удалённые команды на исполнение. В базе данных также были найдены вредоносные вставки.

После очистки сайта и сбора доказательств был выполнен харденинг (конфигурирование безопасности) сервера, обновлена версия CMS Drupal, введены дополнительные средства контроля предварительного тестирования, установки обновлений безопасности, а также внедрен файрвол веб-приложений (Web Application Firewall, WAF) для защиты сайта в реальном времени и система обнаружения вторжений на уровне хоста (Host-based Intrusion Detection System, HIDS) для ежедневного мониторинга целостности критичных файлов. Также мы предложили организации наши расширенные услуги Непрерывной защиты веб-сайтов, включающие, кроме прочего, защиту от DDoS-атак. Организация подписалась на этот сервис.

Несмотря на то, что полиция так и не нашла виновных в инциденте, государственная организация, благодаря нам, получила новый уровень защищённости своего сервера, что позволило ей успешно обнаруживать вторжения и противостоять как мелким, так и масштабным вредоносным атакам на протяжении последующих нескольких месяцев, вплоть до настоящего времени.

Узнать больше об инцидентах информационной безопасности.



Анализ безопасности исходных кодов программного обеспечения

• Аудит исходного кода международной платёжной системы

Краткое описание системы. Система электронных кошельков, позволяющая пополнять баланс с помощью банковских платёжных карт (данные о картах не передаются и не хранятся), PerfectMoney, WebMoney, LiqPay, SWIFT и других методов. Этими же методами возможен и вывод денег. Кошельки мультивалютные, возможен обмен одной валюты на другую внутри системы по внутренним курсам. Имеет API для интеграции с мерчантами. Основная целевая категория пользователей – клиенты форекс-брокеров. Кроме форекс-брокеров, к платёжной системе подключены операторы мобильной связи, а также электронные магазины по продаже мобильных телефонов и аксессуаров.

Технологии: модульная распределённая клиент-серверная архитектура, облачный хостинг, СУБД PostgreSQL, MySQL, GT.M, языки программирования C++, PHP, Go, Hack, Python, M, Java, JavaScript, Perl.

Общее количество строк исходного кода: 1,8 млн.

Задача. В режиме white-box найти недостатки архитектуры, небезопасное использование кода, уязвимости системы и способы проникновения.

Решение. В процессе аудита использовался сначала автоматизированный, затем ручной анализ кода. Выявлено большое количество неинициализированных переменных, устаревшие и небезопасные функции по работе с памятью, недостаточная проверка ввода. В некоторых местах кода параметры пользовательских запросов без валидации использовались в SQL-запросах, что позволило осуществить успешную атаку типа SQL-injection и скомпрометировать персональные данные клиентов. Между некоторыми модулями выявлена незащищённая передача данных между фронтендом и бэкендом через прокси, что могло привести к успешной реализации атаки типа MitM. Выявлены слабые места в защите административной панели системы, приводящие к повышению полномочий авторизованных пользователей с ролями верификатора и финансиста. Выявлены логические ошибки, приводящие к возможности банкротства системы через манипуляции с внутренними процессами обмена валют. Выявлены ошибки логирования транзакций. Выявлены логические ошибки контрольных просчётов цепочек транзакций для контроля целостности системы. Сформированы детальные отчёты с описанием всех обнаруженных проблем и рекомендациями по их устранению, для уровня топ-менеджмента, IT-директора и технических специалистов.

Срок выполнения работ: 3 месяца.

Выводы. Платёжная система получила от нас незаменимую помощь по полному построчному анализу исходного кода её систем за период времени, несопоставимо меньший, чем разработка этого кода. Благодаря нашей услуге анализа кода, компания смогла успешно пройти аудит PCI DSS, получить официальный сертификат, опубликовать систему в общем доступе и успешно начать свою финансовую деятельность.

Узнать больше об анализе безопасности исходных кодов.



• Аудит исходного кода криптовалютной биржи

Краткое описание системы. Децентрализованная биржа, позволяющая торговать криптовалютами и токенами на основе смарт-контракта Ethereum.

Технологии: независимые фронтенд и бэкенд, административная часть в виде приложения на iOS, СУБД: PostgreSQL, языки программирования: Go, Python, JS, Objective C, Java.

Общее количество строк исходного кода: 960 тыс.

Задача: в режиме white-box найти уязвимости системы и возможности её взлома.

Решение: Статический анализ кода на первом этапе выявил ошибки в использовании повторяющегося кода, что было чревато серьёзными отложенными логическими проблемами, а также ошибочные параметры, ошибки в моделях зависимости переменных, недостаточный охват реализованных тестовых сценариев. Дальнейший ручной анализ исходного кода помог выявить скрытые проблемы с некорректной валидацией входных данных, логические проблемы с источниками котировок криптовалют и котировками для пар криптовалют, а также возможности инъекций некорректных данных для записи в смарт-контракт. Сформированы детальные отчёты с описанием всех обнаруженных проблем и рекомендациями по их устранению, для уровня ТОП-менеджмента и технических специалистов.

Срок выполнения работ: 2 месяца.

Выводы. С нашей помощью криптовалютная биржа устранила существенные проблемы безопасности, которые ставили под угрозу успешность работы организации. Мы успели провести аудит до официального старта биржи, тем самым она не была подвергнута рискам при публикации веб-приложений и начале работы реальных пользователей.

Узнать больше об анализе безопасности исходных кодов.



• Аудит исходного кода системы VoIP-телефонии

Краткое описание системы. Коммерческая система защищённой VoIP-связи, получившая сертификат безопасности Министерства обороны Израиля.

Технологии: модульная архитектура, веб-сервер, VoIP-сервер, клиентские приложения под Windows, iOS, Android, СУБД: Oracle, языки программирования: .NET, C/C#, Objective C, Java.

Общее количество строк исходного кода: 1,2 млн.

Задача: в режиме white-box провести независимый аудит безопасности исходного кода системы.

Решение: автоматизированный статический анализ был выполнен заказчиком самостоятельно, поэтому для аудита безопасности использовался исключительно ручной метод. В коде на языке С были выявлены небезопасные функции по работе с памятью, допускающие переполнение буфера и утечку памяти. В мобильных приложениях выявлены логические ошибки, позволяющие перехватывать ключи шифрования с помощью атаки MitM. Также выявлены архитектурные ошибки, позволяющие с помощью DoS-атаки заблокировать абонента. Сформированы детальные отчёты с описанием всех обнаруженных проблем и рекомендациями по их устранению, для уровня топ-менеджмента и технических специалистов.

Срок выполнения работ: 2 месяца.

Выводы. Несмотря на значительные усилия заказчика по поиску с помощью современных лицензионных сканеров безопасности кода проблем безопасности в его системе, независимый построчный аудит кода, проведённый нами, позволил выявить дополнительные проблемы, не обнаруженные заказчиком. Решение этих проблем позволило заказчику поднять безопасность его решения на качественно новый уровень и избежать компрометации конфиденциальной информации клиентов.

Узнать больше об анализе безопасности исходных кодов.



• Анализ кода для мирового производителя бытовой и промышленной техники

Мировой производитель бытового и промышленного оборудования собирался внедрить новые модули для своих систем ERP, CRM, финансовой и электронной коммерции.

Модули были написаны с использованием Java, C ++ и SAP UI5.

Заказчик просканировал исходные коды с помощью сканеров безопасности исходного кода программного обеспечения, выполнил пентест, обнаружил проблемы с безопасностью, исправил их и попросил нас сделать проверку безопасности исходного кода вручную.

Общий объем работы составил около 2 миллионов строк, и примерно через 3 месяца мы представили подробный отчет, показывающий критические проблемы безопасности, которые были пропущены даже сканерами безопасности и тестом на проникновение в режиме «серый ящик».

Например, мы обнаружили критические уязвимости состояния гонки, которые могут появляться не часто, но могут нанести огромный ущерб.

Другим примером был бэкдор в программном коде, позволяющий разработчикам программного обеспечения получать несанкционированный доступ к производственной системе. Разработчики объяснили, что им нужен этот доступ для законных целей отладки, однако это представляло риск, и мы настояли на закрытии этого бэкдора.

Выводы. Заказчик принял правильное решение доверить нам независимую проверку результатов собственных работ по обеспечению безопасности и получил важную информацию по упущениям, которые могли бы на нести серьезный финансовый ущерб. Исправления в системах были выполнены, их безопасность была обеспечена, и риски потерь сведены к минимуму.

Узнать больше об анализе безопасности исходных кодов.



Кейсы по внедрению центра безопасности (Security Operations Center)

• Внедрение непрерывной защиты сайта университета

Сайты украинского университета информационных технологий страдали от регулярных атак. Главным образом, обиженные студенты взламывали свою alma mater, а также будущие ИТ-специалисты проникали на сайты и портили их вид просто для развлечения. Персонал университета не мог противостоять атакам, и руководство университета решило делегировать защиту сайтов нам.

Сначала мы выполнили первичное усиление безопасности. В частности, был проведен аудит безопасности 6 сайтов и нескольких технологических процессов. Затем мы проанализировали активы, определили политики и процедуры безопасности, укрепили веб-серверы с использованием стандартов CIS Benchmark и обновили несколько слабых компонентов. Кроме того, мы внедрили комплексные процедуры резервного копирования, сервисы сбора журналов событий, строгий ролевой доступ, двухфакторную аутентификацию и другие меры безопасности. Следуя политике университета, мы использовали несколько решений безопасности с открытым исходным кодом, а именно: брандмауэр веб-приложений (WAF) ModSecurity, систему обнаружения вторжений на основе хоста (HIDS) Tripwire и некоторые другие продукты.

Затем мы внедрили постоянную защиту для сайтов. Мы использовали максимальную защиту от DDoS-атак с использованием сервисов Cloudflare. Проверка доступности сайтов запускалась каждую минуту. Мы включили проверки транзакций – эмуляцию браузера пользователя для мониторинга важных функций веб-сайтов, например, входа в систему / регистрации и т. д. Кроме того, мы использовали проверки Real-User Monitoring (RUM) для мониторинга времени загрузки веб-сайтов с точки зрения реального пользователя. Системы университета были подключены нами к нашей системе мониторинга безопасности SIEM. Были получены некоторые другие положительные побочные эффекты и улучшения, такие как глобальная CDN для оптимизации статического контента, оптимизация и ускорение трафика для мобильных устройств.

Наконец, мы распределили обязанности по обеспечению безопасности между сотрудниками службы безопасности университета и нашими сотрудниками. Наши выделенные специалисты начали круглосуточно следить за безопасностью сайтов. Наконец, мы провели несколько тренингов для инженеров университета: по уязвимостям безопасности, тестированию безопасности, мониторингу событий безопасности и реагированию на инциденты.

В конце концов, мы даже посоветовали университету объявить программу поощрения за нахождение ошибок, поощряющую студентов сообщать об уязвимостях и пытаться взломать сайты в качестве практической работы. Таким образом, мы превратили наших противников в наших союзников без дополнительных затрат и, в то же время, демотивировали всех, кто не хотел сотрудничать.

В результате внедрения непрерывной защиты веб-сайтов количество инцидентов с сайтами снизилось до незначительного уровня. Проникновения и «дефейсы» прекратились полностью. Репутация IT-университета как безопасной организации была сохранена и значительно улучшена.

Узнать больше о непрерывной защите веб-сайтов.



• Внедрение центра безопасности (SOC) и системы управления событиями безопасности SIEM в банке

Банк средней величины обратился к нам с целью внедрения SIEM в их собственном дата-центре. Этот банк имел некоторые элементы центра операций по безопасности (SOC), и попросил нас усовершенствовать его, привести к современным стандартам и взять на себя его поддержку.

Из нескольких доступных моделей SOC/SIEM (on-premise SOC, облачное внедрение, полный аутсорсинг и т. д.), клиентом была выбрана комбинированная модель, предусматривавшая работу нашего персонала с системами мониторинга, физически находящимся в банке.

Вначале мы провели инвентаризацию информационных активов клиента, определили источники событий от более чем 5000 хостов , расположенных в 12 офисах и дата-центрах банка, в том числе более 50 серверов баз данных. Далее мы определили профили инцидентов, процедуры реагирования и поддержки, а также оценили ёмкость потока инцидентов, которая составила около 1500 EPS.

На базе кластера высокой доступности IBM QRadar в дата-центре банка мы реализовали следующие функции и компоненты: управление журналами, управление событиями безопасности, аналитику угроз, управление рисками и уязвимостями, анализ поведения пользователя и сущностей, машинное обучение, оркестровку и реагирование, приманки и поиск угроз, цифровую криминалистику.

Наши специалисты разработали правила и процедуры, написали недостающие кастомные парсеры и оперативно подключили источники событий от Microsoft Server Family, Microsoft System Center, RedHat Enterprise Linux, Hitachi, IBM AIX, IBM Storage Manager, Cisco IOS/NX-OS, Check Point NGX, SAP, Citrix XenServer, XenDesktop, XenApp, Microsoft SQL, Oracle, Microsoft Exchange, SharePoint, UAG и многих других типов систем.

Мы защитили компоненты системы файрволами, а потоки данных – Site-to-Site VPN, определили матрицы ролевого доступа к системе, настроили непрерывное обновление, а также выполнили тонкую настройку правил и протестировали определение аномалий и угроз.

Непосредственно перед переводом в продакшн мы распределили роли и обязанности по безопасности между нашим персоналом и штатом заказчика, провели его обучение и запустили систему в промышленную эксплуатацию.

Внедрение системы заняло у нас 8 месяцев.

Выводы. В результате внедрения банк получил современный центр безопасности на базе системы мониторинга событий и реагирования на угрозы безопасности в реальном времени. Кроме прочего, мы оптимизировали некоторые технологические процессы заказчика, обнаружили устаревшие активы, улучшили управление доступом к серверам, наладили сбор и хранение протоколов событий безопасности в соответствии с требованиями PCI DSS и национальными требованиями к сбору доказательств, приемлемых в суде. Банк успешно прошёл несколько внешних независимых аудитов и выполнил требования соответствия нормам и стандартам. Общий годовой ущерб от инцидентов безопасности снизился в несколько раз.

Узнать больше о непрерывной защите веб-сайтов.



(Названия компаний и организаций закрыты по соглашениям о неразглашении)

 

Наши довольные клиенты

Наши клиенты – продуктовые и аутсорсинговые ИТ-компании, а также компании, работающие в строительстве, автомобильной индустрии, электронной коммерции, промышленности, медицине, фармацевтике, телекоммуникациях, торговле, страховании, банки, государственные организации и т. д. Некоторые наши довольные клиенты:

 

Отзывы

"Мы очень рады, что нам удалось поработать с такой командой профессионалов, как H-X Technologies. У нас остались только положительные впечатления. Работать с командой H-X было приятно и интересно. Все было отработано согласно оговоренным в техническом заданиями условиям и точно по графику. Как сам процесс оценки безопасности, так и предоставленная отчетность показали высокий уровень профессионализма. Мы не пожалели, что решили сотрудничать именно с H-X Technologies. Надеемся на дальнейшее сотрудничество".

Сергей Кривич, начальник управления информационной безопасности, BI Group
Алтынай Лебакина, руководитель информационного и аналитического департамента, BI Group

"Команда H-X провела детальное планирование проекта по оценке безопасности нашей инфраструктуры, проявив творческий подход, и хорошо реализовала план. Оценка безопасности дала важную информацию по приоритетам усиления безопасности в компании, стратегическим целям и тактическим задачам".

Дмитрий Днепровский, менеджер информационной безопасности, Intecracy Group

"Мы столкнулись с серьёзными вызовами, связанным с требованиями наших клиентов по формальному соответствию международным и отраслевым стандартам информационной безопасности. Команда H-X очень быстро помогла нам оценить и восполнить текущие организационные и технические недостатки, и продолжает помогать".

Артём Савотин, директор, Ameria

"Команда H-X выполнила техническую оценку безопасности одного из наших продуктов, и нас удивило высокое качество результатов. Специалисты H-X предоставили нам подробные консультации по безопасной разработке, которые позволили улучшить качество наших процессов разработки и тестирования".

Виктория Погребняк, ИТ-менеджер, FluentPro

А насколько защищены вы?
Почитайте больше о тестах на проникновение и проверьте вашу защиту.


О нас и о наших новостях.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI