Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Пентесты: можно ли вас «хакнуть»?

Шокирующая новость для бизнеса – рано или поздно вас попытаются «хакнуть». И дело не только в конкурентах, нацелившихся на новые разработки, и не в злоумышленниках, вознамерившихся заняться шантажом. Любая компания может просто попасть под удар рандомной ковровой бомбардировки, например фишинга. Или вчерашние школьники найдут уязвимость нулевого дня и не упустят случая ею воспользоваться. В конце концов, никто не застрахован от очередного блэкаута, который случился в недалеком 2017 от вирусов семейства Petya.

Вот всего лишь несколько громких примеров утечек информации в США.

Финансовый сектор: Morgan Stanley, Carbanak, Experian и Scottrade потеряли данные примерно 50 миллионов пользователей. Общий урон исчисляется миллиардами. И это при том, что банковская сфера одна из самых защищенных, – всего 5% кибератак оказывается успешными. Подобный хороший показатель, во многом, достигнут благодаря внешним факторам – государственным регуляторам, вынуждающим финансовые учреждения использовать современные средства защиты.

Самый уязвимый сектор – медицинские учреждения: в общей сложности 39% атак достигают цели. И это при том, что ниша здравоохранения содержит наиболее «чувствительную» информацию. Anthem, Inc., Premera Blue Cross, CareFirst BlueCross BlueShield, Beacon Health System, UCLA Health и Excellus BlueCross BlueShield потеряли данные о более чем 110 миллионах пациентах и сотрудниках медицинских центов. Список можно продолжать дальше.

Даже медиагиганты и ИТ-сектор не застрахованы от утечек. Корпорация Sony несколько раз становилась жертвой скандалов, связанных с нарушением периметра информационной безопасности третьими лицами. В эпицентр неприятностей попадали сайты знакомств – Ashley Madison и Adult Friend Finder. И даже один из крупнейших хостингов, известный по всему миру, – GoDaddy, не смог сохранить целостность своей защиты. Атаки онлайн-сервисов оказываются успешными в 31% случаев.

Статистика нефтегазовой отрасли также неутешительна: порядка трети компаний используют устаревшее ПО и системы защиты, которые могут быть легко взломаны «народными умельцами».

У любого руководителя возникает закономерный вопрос: что делать? Как выстроить надежную систему защиты, потратив при этом не все деньги мира? Масло в огонь подливает и Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187), обязавший бизнес, владеющий критической инфраструктурой, присоединиться к ГосСОПКЕ. Но как же быстро и безболезненно найти уязвимости системы?

Решить ситуацию поможет так называемый Penetration testing, или сокращенно «pentesting» – тестирование на проникновение. При тестировании специалисты-профессионалы в области кибербезопасности используют те же методы, что и хакеры: атаки, взломы, кража паролей, фишинг, вирусы и социальную инженерию. Их цель – найти уязвимое звено и получить доступ к ИТ-системам.

Отличный результат – неудача пентеста, что свидетельствует о надежности систем защиты. Но, если периметр безопасности удалось вскрыть, собственник бизнеса получает ряд значительных преимуществ.

Первое – уязвимость найдена раньше, чем ее обнаружили хакеры. А значит, есть время на «работу над ошибками».

Второе – выявление приоритетов для инвестирования. Не стоит чинить то, что работает. Гораздо эффективнее и дешевле укреплять уязвимые места.

Третье – «особое мнение». Вы можете доверять вашим айтишникам и использовать самые дорогие программные продукты. Однако это вовсе не гарантирует 100% защиту. Всегда есть шанс, что из фокуса внимания специалистов выпала уязвимость. Результат краш-теста системы безопасности либо подтвердит ее надежность и компетенции специалистов, либо поможет предвосхитить возможные проблемы.

Тестирование на проникновение – один из новых пакетов, которые предлагают компании Softline и «Инфосекьюрити». Несмотря на относительную «молодость» услуги, у нас уже есть несколько примеров пентеста в различных компаниях.

Крупная компания «А» решила проверить на прочность свою систему безопасности. Их бизнес находится в сегменте B2B: продажи товаров реселлерам – интернет-магазинам, которые, подключившись к специальной онлайн-платформе, могут заказать оптовую партию товаров и перепродать на своем ресурсе.

Результатом пентеста оказался полный доступ к базе данных с логинами и паролями всех интернет-магазинов сервиса. А также сведения о денежных средствах, находящихся на балансе партнеров.

Завладев этой информацией, злоумышленники смогли бы закупить техники на миллионы рублей. Или вывести деньги со счетов. И антимошенническая проверка, в данной ситуации, оказалась бы бессильна. Обладая полным доступом, хакер мог переписать контактную информацию реселлера и подтвердить практически любое действие!

Среди наших услуг есть несколько видов тестирования: внешний, внутренний и социотехнический. И именно с первого начинается кейс номер два.

Компания «Б», разработчик программного обеспечения, решила проверить внешнюю линию обороны. Результатом стало проникновение наших специалистов во внутреннюю сеть. Руководство вознамерилось пойти дальше и узнать, как далеко может зайти реальный хакер, и с этого момента началось внутреннее тестирование.

Структура сети заказчика состояла из трех доменов: для разработчиков, для тестеров и основной домен. Однако получить доступ ко всей инфраструктуре можно было из каждого. 

Наши специалисты проанализировали весь серверный сегмент, обнаружили уязвимости, повысили свои права до уровня Администратора и получили доступ к интернет-банку, файловому хранилищу с коммерческой информацией и новым разработкам.

Попади такая информация в руки злоумышленнику – ущерб был бы колоссальным!

В третьем кейсе тестированию подверглась очень крупная компания со штатом в несколько тысяч человек. Внешняя сеть оказалась серьезно защищенной, а найденные небольшие уязвимости не влияли на работу компании и безопасность информации.

Специалисты Softline и «Инфосекьюрити» приступили к внутреннему тестированию и выехали на место, для того чтобы попробовать подключиться к внутренней сети физически, через Wi-Fi или по витой паре.

При анализе было найдено огромное количество уязвимостей на серверных и клиентских сегментах, а также обнаружено отсутствие фильтрации интернет-трафика и передачи данных в локальной сети.

Если бы подобными уязвимостями в защите воспользовались конкуренты, они могли бы легко получить доступ ко всей корреспонденции, документации и критической информации, тем самым полностью остановив и обанкротив международный бизнес.

Чем больше технических и человеческих ресурсов в компании, тем выше шанс утечки данных. Сложная система была, есть и остается скоплением «слепых зон», обнаружить которые не так просто.

Даже «школьник» представляет угрозу. Однако серьезные атаки всегда являются целенаправленным заказом от конкурентов.

Тестирование на проникновение обходится гораздо дешевле, чем убытки от утечки данных и ликвидация последствий.

Новости, истории и события
Смотреть все
Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний
Новости

Bell Integrator FabricaONE.AI (акционер - ГК Softline) разработал собственное решение для управления API компаний

18.07.2025

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке
Новости

Подтверждена совместимость платформ Octo и Test IT («Девелоника», кластер FabricaONE.AI ГК Softline): решения для тестирования ПО работают в связке

17.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) выпустила новую версию Citeck CRM

17.07.2025

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft
Новости

«Инферит ОС» (ГК Softline) и «БПМСофт» подтвердили совместимость ОС «МСВСфера Сервер» 9 и платформы BPMSoft

16.07.2025

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Международная финансовая организация выбрала систему хранения электронных клиентских досье «Цитрос» компании SL Soft FabricaONE.AI (акционер — ГК Softline)

16.07.2025

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга
Новости

«Инферит» (ГК Softline) сообщает о включении ноутбука INFERIT Mercury в реестр отечественной продукции Минпромторга

15.07.2025

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представила интеллектуальный сервис нормализации НСИ для корпоративных систем

14.07.2025

ГК Softline и компания TData стали партнерами
Новости

ГК Softline и компания TData стали партнерами

14.07.2025

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT
Новости

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT

11.07.2025

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа
Новости

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа

11.07.2025

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании
Новости

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании

10.07.2025

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»
Новости

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»

10.07.2025

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform
Новости

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform

09.07.2025

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже
Новости

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже

08.07.2025

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)

08.07.2025

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»
Новости

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»

07.07.2025

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач
Новости

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач

07.07.2025

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач
Новости

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач

04.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться