Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Пентесты: можно ли вас «хакнуть»?

Шокирующая новость для бизнеса – рано или поздно вас попытаются «хакнуть». И дело не только в конкурентах, нацелившихся на новые разработки, и не в злоумышленниках, вознамерившихся заняться шантажом. Любая компания может просто попасть под удар рандомной ковровой бомбардировки, например фишинга. Или вчерашние школьники найдут уязвимость нулевого дня и не упустят случая ею воспользоваться. В конце концов, никто не застрахован от очередного блэкаута, который случился в недалеком 2017 от вирусов семейства Petya.

Вот всего лишь несколько громких примеров утечек информации в США.

Финансовый сектор: Morgan Stanley, Carbanak, Experian и Scottrade потеряли данные примерно 50 миллионов пользователей. Общий урон исчисляется миллиардами. И это при том, что банковская сфера одна из самых защищенных, – всего 5% кибератак оказывается успешными. Подобный хороший показатель, во многом, достигнут благодаря внешним факторам – государственным регуляторам, вынуждающим финансовые учреждения использовать современные средства защиты.

Самый уязвимый сектор – медицинские учреждения: в общей сложности 39% атак достигают цели. И это при том, что ниша здравоохранения содержит наиболее «чувствительную» информацию. Anthem, Inc., Premera Blue Cross, CareFirst BlueCross BlueShield, Beacon Health System, UCLA Health и Excellus BlueCross BlueShield потеряли данные о более чем 110 миллионах пациентах и сотрудниках медицинских центов. Список можно продолжать дальше.

Даже медиагиганты и ИТ-сектор не застрахованы от утечек. Корпорация Sony несколько раз становилась жертвой скандалов, связанных с нарушением периметра информационной безопасности третьими лицами. В эпицентр неприятностей попадали сайты знакомств – Ashley Madison и Adult Friend Finder. И даже один из крупнейших хостингов, известный по всему миру, – GoDaddy, не смог сохранить целостность своей защиты. Атаки онлайн-сервисов оказываются успешными в 31% случаев.

Статистика нефтегазовой отрасли также неутешительна: порядка трети компаний используют устаревшее ПО и системы защиты, которые могут быть легко взломаны «народными умельцами».

У любого руководителя возникает закономерный вопрос: что делать? Как выстроить надежную систему защиты, потратив при этом не все деньги мира? Масло в огонь подливает и Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187), обязавший бизнес, владеющий критической инфраструктурой, присоединиться к ГосСОПКЕ. Но как же быстро и безболезненно найти уязвимости системы?

Решить ситуацию поможет так называемый Penetration testing, или сокращенно «pentesting» – тестирование на проникновение. При тестировании специалисты-профессионалы в области кибербезопасности используют те же методы, что и хакеры: атаки, взломы, кража паролей, фишинг, вирусы и социальную инженерию. Их цель – найти уязвимое звено и получить доступ к ИТ-системам.

Отличный результат – неудача пентеста, что свидетельствует о надежности систем защиты. Но, если периметр безопасности удалось вскрыть, собственник бизнеса получает ряд значительных преимуществ.

Первое – уязвимость найдена раньше, чем ее обнаружили хакеры. А значит, есть время на «работу над ошибками».

Второе – выявление приоритетов для инвестирования. Не стоит чинить то, что работает. Гораздо эффективнее и дешевле укреплять уязвимые места.

Третье – «особое мнение». Вы можете доверять вашим айтишникам и использовать самые дорогие программные продукты. Однако это вовсе не гарантирует 100% защиту. Всегда есть шанс, что из фокуса внимания специалистов выпала уязвимость. Результат краш-теста системы безопасности либо подтвердит ее надежность и компетенции специалистов, либо поможет предвосхитить возможные проблемы.

Тестирование на проникновение – один из новых пакетов, которые предлагают компании Softline и «Инфосекьюрити». Несмотря на относительную «молодость» услуги, у нас уже есть несколько примеров пентеста в различных компаниях.

Крупная компания «А» решила проверить на прочность свою систему безопасности. Их бизнес находится в сегменте B2B: продажи товаров реселлерам – интернет-магазинам, которые, подключившись к специальной онлайн-платформе, могут заказать оптовую партию товаров и перепродать на своем ресурсе.

Результатом пентеста оказался полный доступ к базе данных с логинами и паролями всех интернет-магазинов сервиса. А также сведения о денежных средствах, находящихся на балансе партнеров.

Завладев этой информацией, злоумышленники смогли бы закупить техники на миллионы рублей. Или вывести деньги со счетов. И антимошенническая проверка, в данной ситуации, оказалась бы бессильна. Обладая полным доступом, хакер мог переписать контактную информацию реселлера и подтвердить практически любое действие!

Среди наших услуг есть несколько видов тестирования: внешний, внутренний и социотехнический. И именно с первого начинается кейс номер два.

Компания «Б», разработчик программного обеспечения, решила проверить внешнюю линию обороны. Результатом стало проникновение наших специалистов во внутреннюю сеть. Руководство вознамерилось пойти дальше и узнать, как далеко может зайти реальный хакер, и с этого момента началось внутреннее тестирование.

Структура сети заказчика состояла из трех доменов: для разработчиков, для тестеров и основной домен. Однако получить доступ ко всей инфраструктуре можно было из каждого. 

Наши специалисты проанализировали весь серверный сегмент, обнаружили уязвимости, повысили свои права до уровня Администратора и получили доступ к интернет-банку, файловому хранилищу с коммерческой информацией и новым разработкам.

Попади такая информация в руки злоумышленнику – ущерб был бы колоссальным!

В третьем кейсе тестированию подверглась очень крупная компания со штатом в несколько тысяч человек. Внешняя сеть оказалась серьезно защищенной, а найденные небольшие уязвимости не влияли на работу компании и безопасность информации.

Специалисты Softline и «Инфосекьюрити» приступили к внутреннему тестированию и выехали на место, для того чтобы попробовать подключиться к внутренней сети физически, через Wi-Fi или по витой паре.

При анализе было найдено огромное количество уязвимостей на серверных и клиентских сегментах, а также обнаружено отсутствие фильтрации интернет-трафика и передачи данных в локальной сети.

Если бы подобными уязвимостями в защите воспользовались конкуренты, они могли бы легко получить доступ ко всей корреспонденции, документации и критической информации, тем самым полностью остановив и обанкротив международный бизнес.

Чем больше технических и человеческих ресурсов в компании, тем выше шанс утечки данных. Сложная система была, есть и остается скоплением «слепых зон», обнаружить которые не так просто.

Даже «школьник» представляет угрозу. Однако серьезные атаки всегда являются целенаправленным заказом от конкурентов.

Тестирование на проникновение обходится гораздо дешевле, чем убытки от утечки данных и ликвидация последствий.

Новости, истории и события
Смотреть все
Академия АйТи (кластер FabricaONE.AI ГК Softline) и CoMind запускают практико-ориентированную программу обучения ИИ для бизнеса
Новости

Академия АйТи (кластер FabricaONE.AI ГК Softline) и CoMind запускают практико-ориентированную программу обучения ИИ для бизнеса

30.06.2025

ПАО «Софтлайн» стало эталоном IR-рейтинга Smart-lab
Новости

ПАО «Софтлайн» стало эталоном IR-рейтинга Smart-lab

30.06.2025

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса
Новости

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса

27.06.2025

 ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс
Новости

ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс

27.06.2025

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)
Новости

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)

26.06.2025

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025
Новости

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025

26.06.2025

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс
Новости

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс

25.06.2025

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений
Новости

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений

25.06.2025

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»
Новости

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»

25.06.2025

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025
Новости

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025

24.06.2025

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга
Новости

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга

24.06.2025

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025
Новости

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025

24.06.2025

ГК Softline примет участие во встрече HR-клуба РУССОФТ
Новости

ГК Softline примет участие во встрече HR-клуба РУССОФТ

23.06.2025

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК
Новости

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК

23.06.2025

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге
Новости

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге

20.06.2025

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
Новости

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК

20.06.2025

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)
Новости

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)

19.06.2025

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025
Новости

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025

18.06.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться