ENDERU

Бізнес-кейси проектів, що ми виконали

Аудити безпеки та тести на проникнення

• Пентест функціоналу криптовалютної біржі

До нас звернулася компанія, яка планувала вийти на перспективний ринок криптовалюти. Для здійснення цієї мети у компанії було розроблено Web-додаток з функціоналом криптовалютної біржі. Перед публікацією додатку в публічному доступі компанією було прийнято рішення виконати для нього аудит інформаційної безпеки методами тестування на проникнення за методологією OWASP. З цим запитом вони звернулися до нас.

Тестування проводилося в режимі «чорний ящик»: на початковому етапі аудитори мали в своєму розпорядженні лише адреси URL додатку, що тестується.

В ході проведення пентесту було виявлено та підтверджено наступні дії, які можуть зробити зловмисники:

  • Скористатися відсутністю фільтрації вхідних даних у функціоналі «кімнати переговорів» та провести атаку XSS на користувача або адміністратора. Це було успішно підтверджено при відкритті діалогу тестовою жертвою (користувачем або адміністратором, якому було передано повідомлення). Функціонал скрипта може бути будь-яким, наприклад, прихований «майнінг», підроблена форма аутентифікації, тощо, аж до повного контролю над комп'ютером жертви.
  • Скористатися недоліками функціоналу завантаження файлів у web-додаток і отримати доступ до файлової системи сервера (можливість читати, завантажувати, видаляти файли), виконувати на сервері довільні команди, виконувати запити SQL, виконувати з'єднання з інтерфейсу сервера до інших систем, тобто, фактично зловмисник отримує повний контроль над сервером і можливість повної компрометації даних.
  • Після отримання контролю над сервером, скористатися недоліками криптографічного захисту, зокрема, відсутністю контролю цілісності даних проведення транзакцій в додатку, і вносити зміни в баланс рахунку.
  • Обійти перевірку при відправленні повідомлень і видати себе за іншого користувача або адміністратора, таким чином, ввести жертву в оману та здійснити шахрайські дії.
  • Ідентифікувати зареєстрованих користувачів.
  • Здійснювати атаки на паролі користувачів.
  • Отримувати несанкційований доступ до файлів, які завантажили інші користувачі.

Замовник отримав вичерпну звіт про уразливості та способи їхнього усунення. Після усунення вразливостей аудиторами була проведена перевірка усунення недоліків, виявлених раніше. І тільки після цього web-додаток було опубліковано в Інтернет.

Таким чином, проведення аудиту методами тестування на проникнення позбавило замовника від можливих репутаційних і фінансових збитків.

Дізнатися більше про пентести.



• Зовнішній тест на проникнення національної мережі аптек

Одна з мереж аптек національного масштабу замовила в нас зовнішній пентест своєї комп'ютерної мережі. Замовником було обрано режим «чорний ящик».

В ході проекту було виявлено, що вся критична інфраструктура ІТ знаходиться за фаєрволом (мережевим екраном). Здавалося, немає шансів проникнути. Тоді ми вирішили перевірити точки продажів, та перевірили кілька аптек. В одній з них був маршрутизатор Microtik зі стандартним паролем. У цього типу маршрутизаторів порожні стандартні паролі, тому маршрутизатор було «зкомпрометовано». Маршрутизатор мав OpenVPN, зберігав сертифікати локально та дозволяв сніфінг. Ми перехопили мережевий трафік та знайшли конфіденційну інформацію системи обліку продажів та бухгалтерської системи. Потім ми витягли сертифікати з маршрутизатора, створили фальшиву точку продажів та з'єдналися з сервером VPN. Ми представилися звичайною аптекою, і таким чином проникли у внутрішню інфраструктуру замовника, яка була захищена фаєрволом та здавалася непробивною. Ми вивчили внутрішню мережу Active Directory, знайшли сервер SQL з доменною аутентифікацією та проникли у нього, використовуючи пароль, попередньо витягнутий за допомогою утиліти mimikatz.

Проект було виконано з висновком, що проникнення можливе, та рівень інформаційної безпеки замовника низький. Замовник отримав результати оцінки ризиків, інформацію про уразливості та рекомендації про те, як їх усунути, а також як посилити безпеку інфраструктури ІТ.

Дізнатися більше про пентести.



• Тест на проникнення в режимах «сірий ящик» та «білий ящик» телеком-компанії

Телеком-компанія середнього розміру, мотивована виконувати зовнішні вимоги безпеки, запросила у нас побудову комплексної системи захисту інформації та проведення загальної оцінки безпеки. В якості режимів пентесту замовником було обрано «сірий ящик» та «білий ящик». Цільові об'єкти пентесту: зовнішні сервери, DMZ, Web-додатки, а також внутрішні вузли локальної мережі. В ході проекту було виявлено наступні уразливості та недоліки:

  • Помилки конфігурації мережі, відсутність сегментації (відсутність окремого VLAN для керуючих інтерфейсів пристроїв iLO, IMPI, IP KVM, тощо).
  • Слабкі паролі в активному мережевому обладнанні.
  • Доступність прихованих ресурсів (ADMIN$, C$, D$, тощо).

В результаті експлуатації вразливостей були отримані документи, що містять конфіденційні дані. Таким чином, було змодельовано несанкціонований доступ зловмисників. Замовник отримав вичерпний звіт про уразливості та способи їхньої ліквідації.

Дізнатися більше про пентести.



• Внутрішній пентест великого промислового виробництва

Великому заводу з персоналом до 10 000 співробітників знадобилося оцінити відповідність внутрішньої інфраструктури ІТ вимогам безпеки. Завод замовив у нас тест на проникнення в режимах «сірий ящик» та «білий ящик». В якості цільових об'єктів пентесту було обрано сервери локальної обчислювальної мережі. В ході проекту було виявлено наступні уразливості та недоліки:

  • Недоліки у процесах моніторингу подій та реагування на інциденти безпеки (відсутність заходів запобігання вторгнень та відновлення після інцидентів).
  • Недоліки управління конфігураціями (безконтрольні тестові та гостьові вузли в корпоративному домені).
  • Недоліки управління доступом та привілеями (відкритий вхід по ssh для стандартного облікового запису для root; єдиний обліковий запис адміністратора для управління DC, мережевим обладнанням та робочими станціями користувачів).
  • Інші технічні уразливості (дозволено авто-виявлення проксі для ПЗ).

В ході проекту було змодельовано несанкціонований доступ інсайдерів. Замовник отримав вичерпний звіт про уразливості та способи їх ліквідації.

Дізнатися більше про пентести.



• Аналіз інфраструктури підприємства роздрібної торгівлі

У рітейлера середнього розміру було впроваджено внутрішні та зовнішні вимоги інформаційної безпеки. Дані вимоги передбачали виконання повного аналізу інфраструктури підприємства, включаючи тести на проникнення в режимах «сірий ящик» та «білий ящик». В ході пентесту було виявлено наступні уразливості та недоліки:

  • Уразливості у веб-додатках (відсутність перевірок валідності запитів в додатках, передача даних по незашифрованому каналу HTTP).
  • Недоліки управління привілеями (доменні облікові записи різних сервісів та додатків мали занадто високі привілеї).
  • Можливість підробки електронної кореспонденції (відсутність систем підпису DKIM / DMARC на поштових серверах).
  • Недоліки процесу моніторингу подій безпеки (відсутність налаштувань «auditd» по подіях).
  • Можливість несанкціонованого підключення пристроїв у мережі (DHCP snooping, відсутність port security).

В ході пентесту в якості демонстрації вразливостей було змодельовано несанкціонований доступ до мережевого обладнання. Замовник отримав повний звіт про уразливості та способи їхньої ліквідації.

Дізнатися більше про пентести.



• Пентест фінансової організації для відповідності вимогам PCI DSS

Невелика фінансова організація, підключена до міжнародних платіжних систем Visa і Mastercard, зіткнулася з необхідністю виконувати вимоги стандарту PCI DSS. Серед них є вимога регулярного проведення зовнішнього та внутрішнього тестування на проникнення. В результаті аналізу обсягу охоплення інфраструктури (середовища даних власників карток) з замовником були узгоджені детальні параметри зовнішнього пентесту, включаючи режими «сірий ящик» та ««чорний ящик», а також перелік цільових об'єктів, які представляли собою сервіси і веб-додатки, опубліковані в Інтернет.

В результаті пентесту були виявлені множинні уразливості в веб-додатках (ін'єкції PHP, міжсайтовий скриптинг, прямі посилання на об'єкти, відсутність механізмів оновлення ПЗ, стандартні конфігурації веб-сервера, відсутність контролю доступу на рівні функцій, переповнення буфера, помилки в коді веб-додатків).

За результатами проекту не було виявлено реальних шляхів проникнення, а тільки потенційні. Замовник отримав вичерпний звіт про дані шляхи та способи підвищення захищеності інфраструктури. Звіт був виконаний відповідно до вимог PCI DSS, включаючи опис методики тестування на проникнення, яка застосовувалася в ході роботи.

Дізнатися більше про пентести.



Керована безпека та комплаєнс: впровадження ISO 27001, TISAX, тощо

• Впровадження ISO 27001 у компанії-розробника медичного програмного забезпечення

Невелика компанія-розробник програмного забезпечення в медичній сфері зіткнулася з вимогами своїх клієнтів. Вони хотіли, щоб компанія була сертифікована з ISO 27001. При цьому сертифікуючий орган повинен мати вищий міжнародний рівень акредитації UKAS.

Раніше в компанії виконувалися тільки поверхневі заходи та велися лише епізодичні роботи, пов'язані з інформаційною безпекою, та тільки в області захисту серверів і робочих станцій. Ми негайно розпочали роботу з аналізу області охоплення та деталізації плану робіт з первинного аудиту та геп-аналізу. Ми виконали цю роботу для клієнта безкоштовно. Після цього компанія побачила, що ми розуміємо її проблематику, та вміємо будувати реальні плани, тому підписала з нами договір на аудит, геп-аналіз і розробку плану впровадження. За 3 тижні ми завершили цю роботу. Замовник черговий раз переконався, що наш досвід і швидкість роботи перевищують його очікування.

Після цього замовник уклав з нами договір на впровадження ISO 27001. За 6 місяців ми розробили всі контролі, необхідні за стандартом, описали їх у 18 нормативних документах, впровадили ряд реєстрів з управління безпекою, провели навчання персоналу. Особливу увагу ми приділили безпечному життєвому циклу розробки програмного забезпечення.

Потім постало питання про вибір незалежного аудитора. Ми порекомендували нашому клієнту одну з найбільших німецьких аудиторських компаній. Ми зв'язалися з цією аудиторською компанією, а також завчасно провели з ним обговорення та підготовку до сертифікації нашого клієнта. Клієнт уклав з компанією-аудитором договір на аудит і сертифікацію.

В ході аудиту ми захищали нашого клієнта та побудовану нами систему управління інформаційною безпекою перед аудиторами. Вони зробили незначні зауваження, як це буває зазвичай. Ми врахували ці зауваження, і через 2 тижні наш клієнт отримав офіційний сертифікат ISO 27001.

З метою підтримки впровадженої системи та щорічного підтвердження сертифіката, компанія скористалася нашою послугою «Віддалений менеджер безпеки».

Також нашого клієнта зацікавили наші компетенції не тільки в процесному управлінні, а й в ІТ-безпеці. Компанія замовила в нас розширені послуги безпеки додатків, аналізу безпеки вихідних кодів та тестування на проникнення своїх програмних продуктів.

Отримані сертифікати відповідності ISO 27001 та успішного проходження оцінки безпеки компанія розмістила на своєму веб-сайті та в маркетингових матеріалах. Свій новий статус компанія прорекламувала та отримала значні конкурентні переваги, які виразилися в збільшенні кількості замовлень і продажів.

Детальніше про стандарт ISO 27001.



• Впровадження ISO 27001 та TISAX в компанії, що розробляє автомобільні системи

Представник німецької автомобільної промисловості, який займається розробкою бортових автомобільних систем, звернувся до нас з метою впровадження відповідності ISO 27001 та Trusted Information Security Assessment Exchange (TISAX) у стислі терміни. Висока конкуренція на ринку автомотів-систем (систем безпеки, пілотування, навігаційних і розважальних систем, тощо) змушує провідних виробників автомобілів та їх підрядників (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch, тощо) форсувати виведення нових продуктів на ринок при збереженні рівня якості та безпеки. Це зумовило високу мотивацію нашого клієнта.

До цього клієнт намагався самостійно заповнювати форми відповідності TISAX, але відсутність необхідних компетенцій позбавила його змоги навіть почати процес впровадження належним чином.

Відповідність TISAX, хоча й побудована на основі ISO 27001, має свою специфіку. Наприклад, на відміну від аудиту ISO 27001, який може проходити кілька днів, аудитор TISAX проводить всього один день в офісі замовника. Зате потім близько 3 місяців вимагає та збирає докази з кожного процесу безпеки. Аудиторська звітність TISAX передбачає високий ступінь автоматизації з використанням сучасних систем класу GRC (Governance, Risk management and Compliance).

Протягом перших 3 місяців після підписання договору з нашим клієнтом ми детально вивчили його бізнес-процеси та розробили близько 50 документів, необхідних для відповідності ISO 27001 та TISAX. В ході впровадження та аудиторської звітності ми використовували системи Redmine та Goriscon.

Всього від моменту старту проекту до отримання мітки відповідності TISAX пройшло 6 місяців напруженої спільної роботи наших консультантів і персоналу нашого клієнта. Ми провели кілька тренінгів, виконали ряд оцінок безпеки серверів і додатків, посилили мережеву безпеку, безпеку життєвого циклу систем, впровадили управління ризиками, ключові індикатори ефективності (KPI) безпеки, процеси управління змінами, інцидентами, тощо.

Побудовані процеси, операції та системи безпеки необхідно підтримувати постійно, щоб вони не втрачали ефективність, і тому наш клієнт замовив у нас послугу «Віддалений менеджер інформаційної безпеки». Ми продовжили проводити регулярні тренінги у клієнта, відслідковувати події інформаційної безпеки, реагувати на інциденти безпеки, виконувати щоквартальне сканування вразливостей, проводити аудит вихідного коду програмного забезпечення, звітувати аудиторам і клієнтам нашого замовника, тощо. Тобто, повністю виконувати функції менеджера інформаційної безпеки.

Наш замовник відзначив не тільки підвищення рівня безпеки в результаті виконання цього проекту. В ході управління активами, доступом і технічними вразливостями було виявлено неефективне використання систем, надмірний доступ, помилки конфігурації, що знижують продуктивність мережі, тощо. В якості побічного ефекту проекту замовник оптимізував деякі свої ІТ-операції.

Отримання офіційного статусу відповідності ISO 27001 та TISAX дозволило нашому клієнту отримати нові довготривалі контракти в одного з гігантів німецького автопрому.




Реагування на інциденти інформаційної безпеки та їхнє розслідування

• Хакерська атака на уряд східно-європейської країни

Представник великої урядової організації однієї зі східно-європейських країн звернувся до нас із запитом про допомогу в реагуванні на хакерську атаку та в її розслідуванні. З 5-ї ранку суботи офіційний сайт цієї організації був недоступний через хакерську атаку Drupalgeddon 2, що здійснювалася в автоматичному режимі шкідливими скриптами по всій мережі Інтернет.

В результаті аналізу було виявлено, що атака на сайт не торкнулася важливих даних і не завдала іншої шкоди, крім простою веб-сайту. Даний простій завдав деякий збиток роботі та репутації організації, а також взаємодії з користувачами її сервісів.

Ми оперативно очистили сайт від шкідливих файлів і відновили його, при цьому зібравши журнали подій та інші докази для передачі у поліцію.

Розслідування велося нами шляхом аналізу файлів журналів подій різних серверних служб. Було встановлено, що зі вказаної IP-адреси був останній вдалий запит з кодом повернення 200, після чого ніякої інформації не було. Далі було проаналізовано скрипти сайту, та було встановлено, що на початок всіх виконуваних файлів був вставлений фрагмент коду PHP, який перш за все відключав логування та далі закодованим способом запускав шел, який міг приймати віддаленні команди на виконання. У базі даних також було знайдено шкідливі вставки.

Після очищення сайту та збору доказів було виконано харденінг (конфігурування безпеки) сервера, оновлено версію CMS Drupal, введено додаткові засоби контролю попереднього тестування, встановлено оновлення безпеки, а також запроваджено файрвол веб-додатків (Web Application Firewall, WAF) для захисту сайту в реальному часу та впроваджено систему виявлення вторгнень на рівні хоста (Host-based Intrusion Detection System, HIDS) для щоденного моніторингу цілісності критичних файлів. Також ми запропонували організації наші розширені послуги Безперервною захисту веб-сайтів, що включають, крім іншого, захист від DDoS-атак. Організація підписалася на цей сервіс.

Незважаючи на те, що поліція так і не знайшла винних в інциденті, державна організація, завдяки нам, отримала новий рівень захищеності свого сервера, що дозволило їй успішно виявляти вторгнення та протистояти як дрібним, так і масштабним шкідливим атакам протягом наступних декількох місяців, аж до теперішнього часу.

Дізнатися більше про інциденти інформаційної безпеки.



Анализ безпеки вихідного коду

• Аудит вихідного коду міжнародної платіжної системи

Короткий опис систем. Система електронних гаманців, що дозволяє поповнювати баланс за допомогою банківських платіжних карт (дані про карту не передаються і не зберігаються), PerfectMoney, WebMoney, LiqPay, SWIFT та інші методи. Цими ж методами можливо і виводити гроші. Гаманці мультивалютні, що дозволяє обміняти одну валюту на іншу всередені системи за внутрішнім курсом. Має API для інтеграції з мерчантами. Основна цільова категорія користувачів – клієнти форекс-брокерів. Окрім форекс-брокерів, до платіжної платформи підключені оператори мобільного зв'язку, а також електронні магазини, що продають мобільні телефони та аксесуари.

Технології: модульна розподілена кліент-серверна архітектура, облачний хостинг, СУБД PostgreSQL, MySQL, GT.M, мови программування C ++, PHP, Go, Hack, Python, M, Java, JavaScript, Perl.

Загальна кількість рядків вихідного коду: 1,8 млн.

Завдання. У режимі white-box знайти недоліки архітектури, небезпечне використання коду, вразливості системи і способи проникнення.

Рішення. В процесі аудиту використовувався спочатку автоматизований, потім ручний аналіз коду. Виявлено велику кількість неініціалізованих змінних, застарілі і небезпечні функції по роботі з пам'яттю, недостатня перевірка введення. У деяких місцях коду параметри запитів користувачів без валідації використовувалися в SQL-запитах, що дозволило здійснити успішну атаку типу SQL-injection та скомпрометувати персональні дані клієнтів. Між деякими модулями виявлена незахищена передача даних між фронтендом і бекендом через проксі, що могло призвести до успішної реалізації атаки типу MitM. Виявлено слабкі місця в захисті адміністративної панелі системи, що призводять до підвищення повноважень авторизованих користувачів з ролями верифікатори і фінансиста. Виявлено логічні помилки, що призводять до можливості банкрутства системи через маніпуляції з внутрішніми процесами обміну валют. Виявлено помилки логування транзакцій. Виявлено логічні помилки контрольних прорахунків ланцюжків транзакцій для контролю цілісності системи. Сформовано детальні звіти з описом всіх виявлених проблем та рекомендаціями щодо їх усунення, для рівня топ-менеджменту, IT-директора та технічних фахівців.

Термін виконання робіт: 3 місяці.

Висновки. Платіжна система отримала від нас незамінну допомогу по повному порядковому аналізу вихідного коду її систем за період часу, незрівнянно менший, ніж розробка цього коду. Завдяки нашій послузі аналізу безпеки вихідних кодів, компанія змогла успішно пройти аудит PCI DSS, отримати офіційний сертифікат, опублікувати систему в загальному доступі і успішно почати свою фінансову діяльність.

Дізнатися більше про аналіз безпеки вихідних кодів.



• Аудит вихідного коду кріптовалютной біржі

Короткий опис системи. Децентралізована біржа, що дозволяє торгувати криптовалютами і токенами на основі смарт-контракту Ethereum.

Технології: незалежні фронтенд і бекенд, адміністративна частина у вигляді додатку на iOS, СУБД: PostgreSQL, мови програмування: Go, Python, JS, Objective C, Java.

Загальна кількість рядків вихідного коду: 960 тис.

Завдання: в режимі white-box знайти уразливості системи і можливості її злому.

Рішення: Статичний аналіз коду на першому етапі виявив помилки у використанні повторюваного коду, що загрожувало серйозними відкладеними логічними проблемами, а також помилкові параметри, помилки в моделях залежності змінних, недостатнє охоплення реалізованих тестових сценаріїв. Подальший ручний аналіз вихідного коду допоміг виявити приховані проблеми з некоректною валідацією вхідних даних, логічні проблеми з джерелами котирувань криптовалют і котируваннями для пар криптовалюта, а також можливості ін'єкцій некоректних даних для запису в смарт-контракт. Сформовано детальні звіти з описом всіх виявлених проблем та рекомендаціями щодо їх усунення, для рівня ТОП-менеджменту і технічних фахівців.

Термін виконання робіт: 2 місяці.

Висновки. З нашою допомогою кріптовалютная біржа усунула істотні проблеми безпеки, які ставили під загрозу успішність роботи організації. Ми встигли провести аудит вихідних кодів до офіційного старту біржі, тим самим вона не була піддана ризикам при публікації веб-додатків і початку роботи реальних користувачів.

Дізнатися більше про аналіз безпеки вихідних кодів.



• Аудит вихідного коду системи VoIP-телефонії

Короткий опис системи. Комерційна система захищеного VoIP-зв'язку, що отримала сертифікат безпеки Міністерства оборони Ізраїлю.

Технології: модульна архітектура, веб-сервер, VoIP-сервер, клієнтські програми під Windows, iOS, Android, СУБД: Oracle, мови програмування: .NET, C / C #, Objective C, Java.

Загальна кількість рядків вихідного коду: 1,2 млн.

Завдання: в режимі white-box провести незалежний аудит безпеки вихідного коду системи.

Рішення: автоматизований статичний аналіз був виконаний замовником самостійно, тому для аудиту безпеки використовувався виключний ручний метод. У коді на мові С були виявлені небезпечні функції по роботі з пам'яттю, що допускають переповнення буфера і витік пам'яті. У мобільних додатках виявлені логічні помилки, що дозволяють перехоплювати ключі шифрування за допомогою атаки MitM. Також виявлені архітектурні помилки, що дозволяють за допомоги DoS-атаки заблокувати абонента. Сформовано детальні звіти з описом всіх виявлених проблем та рекомендаціями щодо їх усунення, для рівня топ-менеджменту і технічних фахівців.

Термін виконання робіт: 2 місяці.

Висновки. Незважаючи на значні зусилля замовника з пошуку проблем безпеки в його системі за допомогою сучасних ліцензійних сканерів безпеки коду, незалежний порядковий аудит коду, проведений нами, дозволив виявити додаткові проблеми, не виявлені замовником. Вирішення цих проблем дозволило замовнику підняти безпеку його рішення на якісно новий рівень і уникнути компрометації конфіденційної інформації клієнтів.

Дізнатися більше про аналіз безпеки вихідних кодів.



• Аналіз коду для світового виробника побутової та промислової техніки

Світовий виробник побутового і промислового устаткування збирався впровадити нові модулі для своїх систем ERP, CRM, фінансової та електронної комерції.

Модулі було написано з використанням Java, C ++ і SAP UI5.

Замовник просканував вихідні коди за допомогою сканерів безпеки вихідного коду програмного забезпечення, виконав пентест, виявив проблеми з безпекою, виправив їх і попросив нас зробити перевірку безпеки вихідного коду вручну.

Загальний обсяг роботи становив близько 2 мільйонів рядків, і приблизно через 3 місяці ми представили детальний звіт, що показував критичні проблеми безпеки, які були пропущені навіть сканерами безпеки і тестом на проникнення в режимі «сірий ящик».

Наприклад, ми виявили критичні уразливості стану гонки, які можуть з'являтися не часто, але можуть завдати величезної шкоди.

Іншим прикладом був бекдор в програмному коді, що дозволяв розробникам програмного забезпечення отримувати несанкціонований доступ до виробничої системи. Розробники пояснили, що їм потрібен цей доступ для законних цілей налагодження, однак це представляло ризик, і ми наполягли на закритті цього бекдора.

Висновки. Замовник прийняв правильне рішення довірити нам незалежну перевірку результатів власних робіт з забезпечення безпеки і отримав важливу інформацію про упущеннч, які могли б на нести серйозних фінансових збитків. Виправлення в системах були виконані, їх безпека була забезпечена, і ризики втрат зведені до мінімуму.

Дізнатися більше про аналіз безпеки вихідних кодів.



Кейси про Центр безпеки (Security Operations Center)

• Впровадження постійного захисту сайту університету

Сайти українського університету інформаційних технологій потерпали від регулярних атак. Головним чином, ображені студенти зламували свою alma mater, а також майбутні ІТ-фахівці проникали на сайти і псували їх вид просто для розваги. Персонал університету не міг протистояти атакам, і керівництво університету вирішило делегувати захист сайту нам.

Спочатку ми виконали базове посилення безпеки. Зокрема, було проведено аудит безпеки 6 сайтів і кількох технологічних процесів. Потім ми проаналізували активи, визначили політики і процедури безпеки, зміцнили веб-сервери з використанням стандартів CIS Benchmark і оновили кілька слабких компонентів. Окрім того, ми впровадили комплексні процедури резервного копіювання, сервіси збору журналів подій, суворий рольової доступ, двофакторну аутентифікацію та інші заходи безпеки. Дотримуючись політики університету, ми використовували кілька рішень безпеки з відкритим вихідним кодом, а саме: брандмауер веб-додатків (WAF) ModSecurity, систему виявлення вторгнень на основі хоста (HIDS) Tripwire і деякі інші продукти.

Потім ми впровадили постійний захист для сайтів. Ми використовували максимальний захист від DDoS-атак з використанням сервісів Cloudflare. Перевірка доступності сайту запускалася кожну хвилину. Ми додали перевірки транзакцій – емуляцію браузера користувача для моніторингу важливих функцій веб-сайтів, наприклад, входу в систему/ реєстрації і т. їн. Крім того, ми використовували перевірки Real-User Monitoring (RUM) для моніторингу часу завантаження веб-сайтів з точки зору реального користувача. Системи університету були підключені нами до нашої системи моніторингу безпеки SIEM. Були отримані деякі інші позитивні побічні ефекти і поліпшення, такі як глобальна CDN для оптимізації статичного контенту, оптимізація та прискорення трафіка для мобільних пристроїв.

Нарешті, ми розподілили обов'язки щодо забезпечення безпеки між співробітниками служби безпеки університету і нашими співробітниками. Наші долучені фахівці почали цілодобово стежити за безпекою сайту. Нарешті, ми провели кілька тренінгів для інженерів університету: по вразливостям безпеки, тестуванню безпеки, моніторингу подій безпеки і реагуванню на інциденти.

Зрештою, ми навіть порадили університету оголосити програму заохочення за виявлення помилок, яка заохочує студентів повідомляти про уразливост і і намагатися зламати сайти в якості практичної роботи. Таким чином, ми перетворили наших супротивників в наших союзників без додаткових витрат і, в той же час, демотивували всіх, хто не хотів співпрацювати.

В результаті впровадження постійного захисту веб-сайтів кількість інцидентів із сайтами знизилась до незначного рівня. Проникнення та «дефейси» припинилися повністю. Репутація IT-університету як безпечної організації була збережена та значно покращена.

Дізнатися більше про безперервний захист веб-сайтів.



• Впровадження центру безпеки (SOC) і системи моніторингу безпеки SIEM у банку

Банк середньої величини звернувся до нас з метою впровадження SIEM в їх власному дата-центрі. Цей банк мав деякі елементи центру операцій з безпеки (SOC), і попросив нас вдосконалити його, привести до сучасних стандартів і взяти на себе його підтримку.

З декількох доступних моделей SOC/SIEM (on-premise SOC, хмарне впровадження, повний аутсорсинг, тощо), клієнтом була обрана комбінована модель, що передбачала роботу нашого персоналу з системами моніторингу, які фізично знаходяться в банку.

Спочатку ми провели інвентаризацію інформаційних активів клієнта, визначили джерела подій від більш ніж 5000 хостів, розташованих в 12 офісах і дата-центрах банку, в тому числі понад 50 серверів баз даних. Далі ми визначили профілі інцидентів, процедури реагування і підтримки, а також оцінили об’єм потоку інцидентів, яка склала близько 1500 EPS.

На базі кластера високої доступності IBM QRadar в дата-центрі банку ми реалізували такі функції і компоненти: управління журналами, управління подіями безпеки, аналітику загроз, управління ризиками та уразливостями, аналіз поведінки користувача і сутностей, машинне навчання, оркестровку і реагування, приманки і пошук загроз, цифрову криміналістику.

Наші фахівці розробили правила і процедури, написали відсутні кастомні парсери і оперативно підключили джерела подій від Microsoft Server Family, Microsoft System Center, RedHat Enterprise Linux, Hitachi, IBM AIX, IBM Storage Manager, Cisco IOS / NX-OS, Check Point NGX, SAP, Citrix XenServer, XenDesktop, XenApp, Microsoft SQL, Oracle, Microsoft Exchange, SharePoint, UAG і багатьох інших типів систем.

Ми захистили компоненти системи файрволами, а потоки даних – Site-to-Site VPN, визначили матриці рольового доступу до системи, налаштували безперервне оновлення, а також виконали тонке налаштування правил і протестували визначення аномалій і загроз.

Безпосередньо перед переведенням в “продакшн” ми розподілили ролі та обов'язки з безпеки між нашим персоналом і штатом замовника, провели його навчання і запустили систему в промислову експлуатацію.

Впровадження системи зайняло у нас 8 місяців.

Висновки. В результаті впровадження банк отримав сучасний центр безпеки на базі системи моніторингу подій і реагування на загрози безпеки в реальному часі. Крім того, ми оптимізували деякі технологічні процеси замовника, виявили застарілі активи, покращили управління доступом до серверів, налагодили збір і зберігання протоколів подій безпеки відповідно до вимог PCI DSS і національним вимогам до збору доказів, прийнятних для суду. Банк успішно пройшов кілька зовнішніх незалежних аудитів і виконав вимоги, що відповідають нормам і стандартам. Загальний річний збиток від інцидентів безпеки знизився в кілька разів.

Дізнатися більше про безперервний захист веб-сайтів.



(Назви компаній закрито за угодами про нерозголошення)

 

Наші задоволені клієнти

Наші клієнти – продуктові та аутсорсингові ІТ-компанії, а також компанії, що працюють у будівництві, автомобільний індустрії, електронній комерції, промисловості, медицині, фармацевтиці, телекомунікаціях, торгівлі, страхуванні, банки та державні організації, тощо. Деякі наші задоволені клієнти:

 

Відгуки

"Ми дуже раді, що нам вдалося попрацювати з такою командою професіоналів, як H-X Technologies. У нас залишилися тільки позитивні враження. Працювати з командою H-X було приємно та цікаво. Все було відпрацьовано згідно з обумовленими в технічному завданнями умовами та точно за графіком. Як сам процес оцінки безпеки, так і надана звітність показали високий рівень професіоналізму. Ми не пошкодували, що вирішили співпрацювати саме з H-X Technologies. Сподіваємося на подальшу співпрацю".

Сергій Кривич, начальник управління інформаційної безпеки, BI Group
Алтинай Лебакіна, керівник інформаційного та аналітичного департаменту, BI Group

"Команда H-X провела детальне планування проекту з оцінки безпеки нашої інфраструктури, проявивши творчий підхід, і добре реалізувала план. Оцінка безпеки дала важливу інформацію щодо пріоритетів посилення безпеки у компанії, стратегічним цілей і тактичних завдань".

Дмитро Дніпровський, менеджер інформаційної безпеки, Intecracy Group

"Ми зіткнулися з серйозними викликами, пов'язаними з вимогами наших клієнтів з формальної відповідності міжнародним і галузевим стандартам інформаційної безпеки. Команда H-X дуже швидко допомогла нам оцінити та усунути поточні організаційні та технічні недоліки, та продовжує допомагати".

Артем Савотин, директор, Ameria

"Команда H-X виконала технічну оцінку безпеки одного з наших продуктів, і нас здивувала висока якість результатів. Фахівці H-X надали нам докладні консультації щодо безпечної розробки, які дозволили поліпшити якість наших процесів розробки та тестування".

Вікторія Погребняк, ІТ-менеджер, FluentPro

А наскільки захищені ви?
Почитайте більше Про тести на проникнення та перевірте ваш захист.


Про нас та про наші новини.


Наші сертифікати:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI