Наші бізнес-кейси

• Зовнішній тест на проникнення національної мережі аптек

Одна з мереж аптек національного масштабу замовила в нас зовнішній пентест своєї комп'ютерної мережі. Замовником було обрано режим «чорний ящик».

В ході проекту було виявлено, що вся критична інфраструктура ІТ знаходиться за фаєрволом (мережевим екраном). Здавалося, немає шансів проникнути. Тоді ми вирішили перевірити точки продажів, та перевірили кілька аптек. В одній з них був маршрутизатор Microtik зі стандартним паролем. У цього типу маршрутизаторів порожні стандартні паролі, тому маршрутизатор було «зкомпрометовано». Маршрутизатор мав OpenVPN, зберігав сертифікати локально та дозволяв сніфінг. Ми перехопили мережевий трафік та знайшли конфіденційну інформацію системи обліку продажів та бухгалтерської системи. Потім ми витягли сертифікати з маршрутизатора, створили фальшиву точку продажів та з'єдналися з сервером VPN. Ми представилися звичайною аптекою, і таким чином проникли у внутрішню інфраструктуру замовника, яка була захищена фаєрволом та здавалася непробивною. Ми вивчили внутрішню мережу Active Directory, знайшли сервер SQL з доменною аутентифікацією та проникли у нього, використовуючи пароль, попередньо витягнутий за допомогою утиліти mimikatz.

Проект було виконано з висновком, що проникнення можливе, та рівень інформаційної безпеки замовника низький. Замовник отримав результати оцінки ризиків, інформацію про уразливості та рекомендації про те, як їх усунути, а також як посилити безпеку інфраструктури ІТ.

• Тест на проникнення в режимах «сірий ящик» та «білий ящик» телеком-компанії

Телеком-компанія середнього розміру, мотивована виконувати зовнішні вимоги безпеки, запросила у нас побудову комплексної системи захисту інформації та проведення загальної оцінки безпеки. В якості режимів пентеста замовником було обрано «сірий ящик» та «білий ящик». Цільові об'єкти пентесту: зовнішні сервери, DMZ, Web-додатки, а також внутрішні вузли локальної мережі. В ході проекту було виявлено наступні уразливості та недоліки:

  • Помилки конфігурації мережі, відсутність сегментації (відсутність окремого VLAN для керуючих інтерфейсів пристроїв iLO, IMPI, IP KVM, тощо).
  • Слабкі паролі в активному мережевому обладнанні.
  • Доступність прихованих ресурсів (ADMIN$, C$, D$, тощо).

В результаті експлуатації вразливостей були отримані документи, що містять конфіденційні дані. Таким чином, було змодельовано несанкціонований доступ зловмисників. Замовник отримав вичерпний звіт про уразливості та способи їхньої ліквідації.

• Внутрішній пентест великого промислового виробництва

Великому заводу з персоналом до 10 000 співробітників знадобилося оцінити відповідність внутрішньої інфраструктури ІТ вимогам безпеки. Завод замовив у нас тест на проникнення в режимах «сірий ящик» та «білий ящик». В якості цільових об'єктів пентесту було обрано сервери локальної обчислювальної мережі. В ході проекту було виявлено наступні уразливості та недоліки:

  • Недоліки у процесах моніторингу подій та реагування на інциденти безпеки (відсутність заходів запобігання вторгнень та відновлення після інцидентів).
  • Недоліки управління конфігураціями (безконтрольні тестові та гостьові вузли в корпоративному домені).
  • Недоліки управління доступом та привілеями (відкритий вхід по ssh для стандартного облікового запису для root; єдиний обліковий запис адміністратора для управління DC, мережевим обладнанням та робочими станціями користувачів).
  • Інші технічні уразливості (дозволено авто-виявлення проксі для ПЗ).

В ході проекту було змодельовано несанкціонований доступ інсайдерів. Замовник отримав вичерпний звіт про уразливості та способи їх ліквідації.

• Аналіз інфраструктури підприємства роздрібної торгівлі

У рітейлера середнього розміру було впроваджено внутрішні та зовнішні вимоги інформаційної безпеки. Дані вимоги передбачали виконання повного аналізу інфраструктури підприємства, включаючи тести на проникнення в режимах «сірий ящик» та «білий ящик». В ході пентеста було виявлено наступні уразливості та недоліки:

  • Уразливості у веб-додатках (відсутність перевірок валідності запитів в додатках, передача даних по незашифрованому каналу HTTP).
  • Недоліки управління привілеями (доменні облікові записи різних сервісів та додатків мали занадто високі привілеї).
  • Можливість підробки електронної кореспонденції (відсутність систем підпису DKIM / DMARC на поштових серверах).
  • Недоліки процесу моніторингу подій безпеки (відсутність налаштувань «auditd» по подіях).
  • Можливість несанкціонованого підключення пристроїв у мережі (DHCP snooping, відсутність port security).

В ході пентесту в якості демонстрації вразливостей було змодельовано несанкціонований доступ до мережевого обладнання. Замовник отримав повний звіт про уразливості та способи їхньої ліквідації.

• Пентест фінансової організації для відповідності вимогам PCI DSS

Невелика фінансова організація, підключена до міжнародних платіжних систем Visa і Mastercard, зіткнулася з необхідністю виконувати вимоги стандарту PCI DSS. Серед них є вимога регулярного проведення зовнішнього та внутрішнього тестування на проникнення. В результаті аналізу області охоплення інфраструктури (середовища даних власників карток) з замовником були узгоджені детальні параметри зовнішнього пентеста, включаючи режими «сірий ящик» та ««чорний ящик», а також перелік цільових об'єктів, які представляли собою сервіси і веб-додатки, опубліковані в Інтернет.

В результаті пентеста були виявлені множинні уразливості в веб-додатках (ін'єкції PHP, міжсайтовий скриптинг, прямі посилання на об'єкти, відсутність механізмів оновлення ПЗ, стандартні конфігурації веб-сервера, відсутність контролю доступу на рівні функцій, переповнення буфера, помилки в коді веб-додатків).

За результатами проекту не було виявлено реальних шляхів проникнення, а тільки потенційні. Замовник отримав вичерпний звіт про дані шляхи та способи підвищення захищеності інфраструктури. Звіт був виконаний відповідно до вимог PCI DSS, включаючи опис методики тестування на проникнення, яка застосовувалася в ході роботи.

(Назви компаній закрито за угодами про нерозголошення)

Інші наші задоволені клієнти

А наскільки захищені ви?
Почитайте більше про тести на проникнення та перевірте ваш захист.


Про нас та про наші новини.