Аудиты безопасности и тесты на проникновение
Отрасль: Потребительская электроника
Страна: США
Описание проекта:
Крупная компания по производству потребительской электроники в США обратилась к нам для проведения тестирования на проникновение (пентеста) их IT-инфраструктуры и партнёрских интеграций. Основная цель проекта заключалась в оценке общего уровня информационной безопасности компании и определении возможности компрометации цепочки поставок.
Проект включал следующие основные этапы:
- Разведка и сбор информации. Проведение внешнего анализа и сбор информации о целевой системе без предварительных знаний о её внутреннем устройстве.
- Анализ уязвимостей. Использование различных методов и инструментов для поиска уязвимостей в IT-инфраструктуре компании, а также в процессах снабжения и партнёрских интеграциях.
- Эксплуатация уязвимостей. Проверка возможности эксплуатации найденных уязвимостей для оценки их реальной опасности.
- Отчет и рекомендации. Подготовка детального отчета с описанием всех выявленных уязвимостей, степенью их критичности и рекомендациями по их устранению.
Результаты:
- Были выявлены несколько критических уязвимостей, которые могли бы привести к серьёзным последствиям при эксплуатации, включая крупный ущерб компании от атаки “продвинутая постоянная угроза” (APT), вплоть до полной утраты ноу-хау и банкротства компании.
- Клиент получил подробный отчет с рекомендациями по устранению найденных уязвимостей.
- Проведенный пентест позволил значительно повысить уровень безопасности IT-инфраструктуры и разработок компании.
Особенности проекта:
Подразделение исследований и разработки нашего заказчика хранило ноу-хау об изделиях компании. Поэтому мы сосредоточили наши усилия на анализе безопасности компьютеров и сотрудников именно этого подразделения. Руководство компании полностью контролировало наш процесс тестирования.
Нам удалось найти уязвимость в сервисе удалённого доступа, проэксплуатировать её и проникнуть в DMZ компании. Далее мы нашли уязвимость в файловом сервере и Active Directory, и проникли на сервер Jira подразделения исследований и разработки. В результате эскалации привилегий мы получили доступ, который позволял внедрение скрытых закладок на критически важные серверы компании, а также скрытное извлечение из них конфиденциальной информации.
Наши действия не были обнаружены техническими сотрудниками компании, пока руководство компании не распорядилось прекратить эскалацию привилегий, признав полное и безоговорочное достижение целей проекта.
Отрасль: Staffing & Recruiting
Страна: Австрия
Описание проекта:
Крупная австрийская компания в сфере рекрутинга обратилась к нам для проведения тестирования безопасности веб-приложений и пентеста. Основная цель проекта заключалась в выявлении и устранении уязвимостей в их веб-приложениях для обеспечения защиты данных и повышения общей безопасности.
Проект включал следующие основные этапы:
- Анализ безопасности веб-приложений. Проведение комплексного анализа безопасности веб-приложений, используемых компанией.
- Тестирование на проникновение. Проведение пентеста для выявления уязвимостей и проверка их на возможность эксплуатации.
- Подготовка отчета и рекомендаций. Разработка детального отчета с описанием всех выявленных уязвимостей и предоставление рекомендаций по их устранению.
Результаты:
- Были выявлены несколько критических уязвимостей, которые могли бы привести к компрометации данных пользователей.
- Компания получила детальный отчет с рекомендациями по устранению найденных уязвимостей.
- Внедрение предложенных мер позволило значительно повысить уровень безопасности веб-приложений компании.
Особенности проекта:
Проект отличался высокой степенью ответственности, так как компания обрабатывала большое количество персональных данных пользователей разных стран. Наши эксперты использовали передовые методы и инструменты для тестирования безопасности. Это позволило выявить и устранить все критические уязвимости, обеспечив защиту данных пользователей, повысив их доверие к компании и кардинально снизив риск высоких штрафов за нарушения безопасности.
Отрасль: Банковское дело
Страна: Кыргызстан
Описание проекта:
Крупный банк в Кыргызстане обратился к нам для проведения тестирования максимальной нагрузки и отказа в обслуживании (Performance and Volumetric DDoS Testing) их IT-систем. Основная цель проекта заключалась в проверке устойчивости банковской системы к высоким нагрузкам, а также в обеспечении её стабильности и безопасности.
Проект включал следующие основные этапы:
- Подготовка тестовой среды. Настройка и конфигурация тестовой среды для моделирования максимальных нагрузок на систему.
- Проведение тестирования максимальной нагрузки на банковскую систему для выявления её слабых мест и оценки устойчивости к атакам Volumetric DDoS.
- Отчет и рекомендации. Разработка детального отчета с описанием результатов тестирования и предоставление рекомендаций по улучшению устойчивости системы к высоким нагрузкам.
Результаты:
- Были выявлены несколько уязвимых мест в системе, которые могли бы привести к нестабильной работе при высоких нагрузках.
- Клиент получил подробный отчет с рекомендациями по улучшению устойчивости системы.
- Внедрение предложенных мер позволило значительно повысить стабильность и безопасность IT-систем банка при высоких нагрузках.
Особенности проекта:
Наши специалисты не сразу смогли достичь отказа целевой системы даже при приобретении максимально мощного облачного сервера и запуске разнообразных атак.
По согласованию с заказчиком мы арендовали реальный ботнет и возобновили тестирование на новом уровне. Это позволило нам достичь отказа в обслуживании системы по нескольким сетевым протоколам. Наши эксперты продемонстрировали высокий уровень профессионализма и использовали передовые методики нагрузочного тестирования, DDoS-тестирования и хаос-инжиниринга. Это позволило успешно выявить все критические уязвимости, определить предельные нагрузки по нескольким параметрам, а также обеспечить стабильность и безопасность систем клиента.
Отрасль: Информационные технологии и услуги
Страна: США
Описание проекта:
Лидирующая американская компания в области SaaS обратилась к нам с целью проведения пентеста в режиме “чёрный ящик”. Основной задачей проекта было выявление уязвимостей в IT-инфраструктуре клиента и обеспечение её защиты от потенциальных угроз.
Проект включал следующие основные этапы:
- Разведка и сбор информации. Проведение разведки по открытым источникам (OSINT), внешнего анализа и сбор информации о целевых системах без знаний об их внутреннем устройстве.
- Анализ уязвимостей. Использование различных методов и инструментов для поиска уязвимостей в системах.
- Эксплуатация уязвимостей. Проверка возможности эксплуатации найденных уязвимостей для оценки их реальной опасности.
- Отчет и рекомендации. Подготовка детального отчета с описанием всех найденных уязвимостей, степенью их критичности и рекомендациями по их устранению.
Результаты:
- Были определены типы используемого ПО, и выявлены конфиденциальные данные компании во внешних источниках, не входящих в её инфраструктуру.
- Были выявлены и подтверждены несколько критических уязвимостей, которые могли бы привести к серьёзным последствиям при эксплуатации.
- Клиент получил подробный отчет с рекомендациями по устранению найденных уязвимостей, устранил их своими силами, и затем мы для проверки выполнили ретест (post-assessment).
- Проведённый пентест позволил значительно повысить уровень безопасности IT-инфраструктуры компании.
Особенности проекта:
Этот проект был примечателен своей сложностью, объёмом инфраструктуры и необходимостью проведения полного тестирования без предварительной информации об инфраструктуре или системах. Заказчик не предоставил никакой информации, кроме диапазона IP-адресов. Тем не менее наши специалисты продемонстрировали высокий уровень профессионализма и использовали передовые методики, что позволило успешно выявить все критические уязвимости и утечки информации, а также обеспечить безопасность клиента от внешних угроз.
В ходе инвентаризации ИТ- и ОТ-активов большого пивзавода мы помогли ему составить полный реестр активных устройств (компьютеры, ПЛК, панели оператора, преобразователи частоты, управляемые и неуправляемые коммутаторы и т. д.). Затем мы проверили режим доступа к системам и обнаружили серьёзные нарушения. Затем мы выполнили проверку наличия паролей на всех устройствах, которые его поддерживают.
В ходе аудита мы проверили наличие исходных кодов для всех программируемых устройств. Некоторые исходные коды хранились в ненадежном состоянии. Мы проверили соответствие их оффлайн и онлайн версий, и провели синхронизацию нескольких версий. После этого мы проверили версии прошивок ПЛК (Siemens S7-315, S7-416, S7-1215, S7-1515, Schneider Electric Quantum, M251) и версий программного обеспечения HMI/SCADA (WinCC SCADA, Citect SCADA) на предмет наличия критических обновлений. Также на этом этапе мы изучили наличие и стойкость шифрования всех сетей, которые его поддерживают.
Затем мы проверили все системы на предмет наличия вирусов, шифровальщиков, криптомайнеров и прочего вредоносного ПО, а также на предмет технических уязвимостей систем.
Наконец, мы оценили риски и дали рекомендации по устранению недостатков и снижению рисков. Все результаты были оформлены в виде подробного отчёта по оценке безопасности.
Узнать больше об услугах безопасности промышленных ИТ и ОТ, а также о безопасности SCADA.
Телеком-компания среднего размера, мотивированная выполнять внешние требования безопасности, запросила у нас построение комплексной системы защиты информации и проведение общей оценки безопасности. В качестве режимов пентеста заказчиком были выбраны «серый ящик» и «белый ящик». Целевые объекты пентеста: внешние сервера, DMZ, Web-приложения, а также внутренние узлы локальной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:
- Ошибки конфигурации сети, отсутствие сегментации (отсутствие отдельного VLAN для управляющих интерфейсов устройств iLO, IMPI, IP KVM и т. д.).
- Слабые пароли в активном сетевом оборудовании.
- Доступность скрытых ресурсов (ADMIN$, C$, D$ и др.).
В результате эксплуатации уязвимостей были получены документы, содержащие конфиденциальные данные. Таким образом, был смоделирован несанкционированный доступ злоумышленников. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.
Узнайте больше о тестировании на проникновение.
Небольшая финансовая организация, подключенная к международным платёжным системам Visa и Mastercard, столкнулась с необходимостью выполнять требования стандарта PCI DSS. Среди них есть требование регулярного проведения внешнего и внутреннего тестирования на проникновение. В результате анализа области охвата инфраструктуры (среды данных держателей карт) с заказчиком были согласованы подробные параметры внешнего пентеста, включая режимы «серый ящик» и «чёрный ящик», а также перечень целевых объектов, которые представляли собой сервисы и веб-приложения, опубликованные в Интернет.
В результате пентеста были обнаружены множественные уязвимости в веб-приложениях (инъекции PHP, межсайтовый скриптинг, прямые ссылки на объекты, отсутствующие механизмы обновления ПО, конфигурации веб-сервера по умолчанию, отсутствие контроля доступа на уровне функций, переполнения буфера и ошибки в коде веб-приложений).
По результатам проекта не было обнаружено реальных путей проникновения, а только потенциальные. Заказчик получил исчерпывающий отчёт о данных путях и способах повышения защищённости инфраструктуры. Отчёт был выполнен в соответствии с требованиями PCI DSS, включая описание методики тестирования на проникновение, которая применялась в ходе работы.
Узнайте больше о тестировании на проникновение.
Одна из сетей аптек национального масштаба заказала у нас внешний пентест своей компьютерной сети. Заказчиком был выбран режим «чёрный ящик».
В ходе проекта было обнаружено, что вся критическая инфраструктура ИТ находится за файрволом (межсетевым экраном). Казалось, нет шансов проникнуть. Тогда мы решили проверить точки продаж, и проверили несколько аптек. В одной из них был маршрутизатор Microtik с паролем по умолчанию. У этого типа маршрутизаторов пустые пароли по умолчанию, поэтому маршрутизатор был «скомпрометирован». Маршрутизатор имел OpenVPN, хранил сертификаты локально и позволял сниффинг. Мы перехватили сетевой трафик и нашли конфиденциальную информацию системы учёта продаж и бухгалтерской системы. Затем мы извлекли сертификаты из маршрутизатора, создали ложную точку продаж и соединились с сервером VPN. Мы представились обычной аптекой и таким образом проникли во внутреннюю инфраструктуру заказчика, которая была защищена файрволом и казалась непробиваемой. Мы изучили внутреннюю сеть Active Directory, нашли сервер SQL с доменной аутентификацией и проникли в него, используя пароль, предварительно извлечённый с помощью утилиты mimikatz.
Проект был выполнен с заключением, что проникновение возможно, и уровень информационной безопасности заказчика низкий. Заказчик получил результаты оценки рисков, информацию об уязвимостях и рекомендации о том, как их устранить, а также как усилить безопасность инфраструктуры ИТ.
Узнайте больше о тестировании на проникновение.
Крупному заводу с персоналом до 10 000 сотрудников понадобилось оценить соответствие внутренней инфраструктуры ИТ требованиям безопасности. Завод заказал у нас тест на проникновение в режимах «серый ящик» и «белый ящик». В качестве целевых объектов пентеста были выбраны сервера локальной вычислительной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:
- Недостатки в процессах мониторинга событий и реагирования на инциденты безопасности (отсутствие мер предотвращения вторжений и восстановления после инцидентов).
- Недостатки управления конфигурациями (бесконтрольные тестовые и гостевые узлы в корпоративном домене).
- Недостатки управления доступом и привилегиями (открыт вход по ssh для стандартной учётной записи root; единая учётная запись администратора для управления DC, сетевым оборудованием и пользовательскими рабочими станциями).
- Другие технические уязвимости (разрешено авто-обнаружение прокси для ПО).
В ходе проекта был смоделирован несанкционированный доступ инсайдеров. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.
Узнайте больше о тестировании на проникновение.
У ритейлера среднего размера были внедрены внутренние и внешние требования информационной безопасности. Данные требования предписывали выполнение полного анализа инфраструктуры предприятия, включая тесты на проникновение в режимах «серый ящик» и «белый ящик». В ходе пентеста были обнаружены следующие уязвимости и недостатки:
- Уязвимости в веб-приложениях (отсутствие проверок валидности запросов в приложениях, передача данных по незашифрованному каналу HTTP).
- Недостатки управления привилегиями (доменные учётные записи различных сервисов и приложений имели слишком высокие привилегии).
- Возможность подделки электронной корреспонденции (отсутствие систем подписи DKIM/DMARC на почтовых серверах).
- Недостатки процесса мониторинга событий безопасности (отсутствие настройки «auditd» по событиям).
- Возможность несанкционированного подключения устройств в сети (DHCP snooping, отсутствие port security).
В ходе пентеста в качестве демонстрации уязвимостей был смоделирован несанкционированный доступ к сетевому оборудованию. Заказчик получил полный отчёт об уязвимостях и способах их ликвидации.
Узнайте больше о тестировании на проникновение.
К нам обратилась компания, которая планировала выйти на перспективный рынок криптовалют. Для осуществления этой цели в компании было разработано Web-приложение с функционалом криптовалютной биржи. Перед публикацией приложения в публичном доступе компанией было принято решение выполнить для него аудит информационной безопасности методами тестирования на проникновение по методологии OWASP. С этим запросом они обратились к нам.
Тестирование проводилось в режиме «черный ящик»: на начальном этапе аудиторы имели в своём распоряжении лишь адрес URL тестируемого приложения.
В ходе проведения пентеста были выявлены и подтверждены следующие действия, которые могли совершить злоумышленники:
- Воспользоваться отсутствием фильтрации входных данных в функционале «комнаты переговоров» и провести атаку XSS на пользователя или администратора. Это было успешно подтверждено при открытии диалога тестовой жертвой (пользователем или администратором, которому было передано сообщение). Функционал скрипта мог быть любым, например, скрытый майнинг, поддельная форма аутентификации и т. п., вплоть до полного контроля над компьютером жертвы.
- Воспользоваться недостатками функционала загрузки файлов в web-приложение и получить доступ к файловой системе сервера (возможность читать, загружать, удалять файлы), выполнять на сервере произвольные команды, выполнять запросы SQL, выполнять соединения с интерфейса сервера к другим системам, т. е. фактически злоумышленник получил бы полный контроль над сервером и возможность полной компрометации данных.
- После получения контроля над сервером, воспользоваться недостатками криптографической защиты, в частности, отсутствием контроля целостности данных проведения транзакций в приложении, и вносить изменения в баланс счёта.
- Обойти проверку при отправке сообщений и выдать себя за другого пользователя или администратора, таким образом, ввести жертву в заблуждение и совершить мошеннические действия.
- Идентифицировать зарегистрированных пользователей.
- Совершать атаки на пароли пользователей.
- Получать несанкционированный доступ к файлам, которые загрузили другие пользователи.
Заказчик получил исчерпывающий отчёт об уязвимостях и способах их устранения. После устранения уязвимостей аудиторами была проведена проверка устранения недостатков, обнаруженных ранее. И только после этого web-приложение было опубликовано в Интернет.
Таким образом, проведение аудита методами тестирования на проникновение избавило заказчика от возможных репутационных проблем и финансовых убытков.
Узнайте больше о тестировании на проникновение.