Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Пентесты: можно ли вас «хакнуть»?

Шокирующая новость для бизнеса – рано или поздно вас попытаются «хакнуть». И дело не только в конкурентах, нацелившихся на новые разработки, и не в злоумышленниках, вознамерившихся заняться шантажом. Любая компания может просто попасть под удар рандомной ковровой бомбардировки, например фишинга. Или вчерашние школьники найдут уязвимость нулевого дня и не упустят случая ею воспользоваться. В конце концов, никто не застрахован от очередного блэкаута, который случился в недалеком 2017 от вирусов семейства Petya.

Вот всего лишь несколько громких примеров утечек информации в США.

Финансовый сектор: Morgan Stanley, Carbanak, Experian и Scottrade потеряли данные примерно 50 миллионов пользователей. Общий урон исчисляется миллиардами. И это при том, что банковская сфера одна из самых защищенных, – всего 5% кибератак оказывается успешными. Подобный хороший показатель, во многом, достигнут благодаря внешним факторам – государственным регуляторам, вынуждающим финансовые учреждения использовать современные средства защиты.

Самый уязвимый сектор – медицинские учреждения: в общей сложности 39% атак достигают цели. И это при том, что ниша здравоохранения содержит наиболее «чувствительную» информацию. Anthem, Inc., Premera Blue Cross, CareFirst BlueCross BlueShield, Beacon Health System, UCLA Health и Excellus BlueCross BlueShield потеряли данные о более чем 110 миллионах пациентах и сотрудниках медицинских центов. Список можно продолжать дальше.

Даже медиагиганты и ИТ-сектор не застрахованы от утечек. Корпорация Sony несколько раз становилась жертвой скандалов, связанных с нарушением периметра информационной безопасности третьими лицами. В эпицентр неприятностей попадали сайты знакомств – Ashley Madison и Adult Friend Finder. И даже один из крупнейших хостингов, известный по всему миру, – GoDaddy, не смог сохранить целостность своей защиты. Атаки онлайн-сервисов оказываются успешными в 31% случаев.

Статистика нефтегазовой отрасли также неутешительна: порядка трети компаний используют устаревшее ПО и системы защиты, которые могут быть легко взломаны «народными умельцами».

У любого руководителя возникает закономерный вопрос: что делать? Как выстроить надежную систему защиты, потратив при этом не все деньги мира? Масло в огонь подливает и Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187), обязавший бизнес, владеющий критической инфраструктурой, присоединиться к ГосСОПКЕ. Но как же быстро и безболезненно найти уязвимости системы?

Решить ситуацию поможет так называемый Penetration testing, или сокращенно «pentesting» – тестирование на проникновение. При тестировании специалисты-профессионалы в области кибербезопасности используют те же методы, что и хакеры: атаки, взломы, кража паролей, фишинг, вирусы и социальную инженерию. Их цель – найти уязвимое звено и получить доступ к ИТ-системам.

Отличный результат – неудача пентеста, что свидетельствует о надежности систем защиты. Но, если периметр безопасности удалось вскрыть, собственник бизнеса получает ряд значительных преимуществ.

Первое – уязвимость найдена раньше, чем ее обнаружили хакеры. А значит, есть время на «работу над ошибками».

Второе – выявление приоритетов для инвестирования. Не стоит чинить то, что работает. Гораздо эффективнее и дешевле укреплять уязвимые места.

Третье – «особое мнение». Вы можете доверять вашим айтишникам и использовать самые дорогие программные продукты. Однако это вовсе не гарантирует 100% защиту. Всегда есть шанс, что из фокуса внимания специалистов выпала уязвимость. Результат краш-теста системы безопасности либо подтвердит ее надежность и компетенции специалистов, либо поможет предвосхитить возможные проблемы.

Тестирование на проникновение – один из новых пакетов, которые предлагают компании Softline и «Инфосекьюрити». Несмотря на относительную «молодость» услуги, у нас уже есть несколько примеров пентеста в различных компаниях.

Крупная компания «А» решила проверить на прочность свою систему безопасности. Их бизнес находится в сегменте B2B: продажи товаров реселлерам – интернет-магазинам, которые, подключившись к специальной онлайн-платформе, могут заказать оптовую партию товаров и перепродать на своем ресурсе.

Результатом пентеста оказался полный доступ к базе данных с логинами и паролями всех интернет-магазинов сервиса. А также сведения о денежных средствах, находящихся на балансе партнеров.

Завладев этой информацией, злоумышленники смогли бы закупить техники на миллионы рублей. Или вывести деньги со счетов. И антимошенническая проверка, в данной ситуации, оказалась бы бессильна. Обладая полным доступом, хакер мог переписать контактную информацию реселлера и подтвердить практически любое действие!

Среди наших услуг есть несколько видов тестирования: внешний, внутренний и социотехнический. И именно с первого начинается кейс номер два.

Компания «Б», разработчик программного обеспечения, решила проверить внешнюю линию обороны. Результатом стало проникновение наших специалистов во внутреннюю сеть. Руководство вознамерилось пойти дальше и узнать, как далеко может зайти реальный хакер, и с этого момента началось внутреннее тестирование.

Структура сети заказчика состояла из трех доменов: для разработчиков, для тестеров и основной домен. Однако получить доступ ко всей инфраструктуре можно было из каждого. 

Наши специалисты проанализировали весь серверный сегмент, обнаружили уязвимости, повысили свои права до уровня Администратора и получили доступ к интернет-банку, файловому хранилищу с коммерческой информацией и новым разработкам.

Попади такая информация в руки злоумышленнику – ущерб был бы колоссальным!

В третьем кейсе тестированию подверглась очень крупная компания со штатом в несколько тысяч человек. Внешняя сеть оказалась серьезно защищенной, а найденные небольшие уязвимости не влияли на работу компании и безопасность информации.

Специалисты Softline и «Инфосекьюрити» приступили к внутреннему тестированию и выехали на место, для того чтобы попробовать подключиться к внутренней сети физически, через Wi-Fi или по витой паре.

При анализе было найдено огромное количество уязвимостей на серверных и клиентских сегментах, а также обнаружено отсутствие фильтрации интернет-трафика и передачи данных в локальной сети.

Если бы подобными уязвимостями в защите воспользовались конкуренты, они могли бы легко получить доступ ко всей корреспонденции, документации и критической информации, тем самым полностью остановив и обанкротив международный бизнес.

Чем больше технических и человеческих ресурсов в компании, тем выше шанс утечки данных. Сложная система была, есть и остается скоплением «слепых зон», обнаружить которые не так просто.

Даже «школьник» представляет угрозу. Однако серьезные атаки всегда являются целенаправленным заказом от конкурентов.

Тестирование на проникновение обходится гораздо дешевле, чем убытки от утечки данных и ликвидация последствий.

Новости, истории и события
Смотреть все
Аналитические инструменты Polymatica компании SL Soft (ГК Softline) включены в образовательный процесс «Академии ФНС ЛАБ — Волга»
Новости

Аналитические инструменты Polymatica компании SL Soft (ГК Softline) включены в образовательный процесс «Академии ФНС ЛАБ — Волга»

18.07.2024

Голосовой бот Robovoice компании SL Soft (ГК Softline) совершил более 3 млн звонков для дистанционного мониторинга пациентов в 2023 году
Новости

Голосовой бот Robovoice компании SL Soft (ГК Softline) совершил более 3 млн звонков для дистанционного мониторинга пациентов в 2023 году

17.07.2024

«Инферит Облако» (ГК Софтлайн) развивает высокопроизводительную инфраструктуру совместно с «ФИБО-ТЕЛЕКОМ»
Новости

«Инферит Облако» (ГК Софтлайн) развивает высокопроизводительную инфраструктуру совместно с «ФИБО-ТЕЛЕКОМ»

16.07.2024

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 2 квартал и 6 месяцев 2024 года 15 августа 2024 года
Новости

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 2 квартал и 6 месяцев 2024 года 15 августа 2024 года

16.07.2024

Голосовой бот Robovoice от SL Soft (ГК Softline)более чем в 3 раза сократил расходы на обработку входящих заявок для «ЮМВенд»
Новости

Голосовой бот Robovoice от SL Soft (ГК Softline)более чем в 3 раза сократил расходы на обработку входящих заявок для «ЮМВенд»

15.07.2024

ГК Softline интегрирует передовую российскую платформу для защищенного обмена файлами MFlash в экосистему Softline Universe
Новости

ГК Softline интегрирует передовую российскую платформу для защищенного обмена файлами MFlash в экосистему Softline Universe

12.07.2024

Компания SL Soft (ГК Softline) внедрила программных роботов ROBIN в «ДоброЗайме»
Новости

Компания SL Soft (ГК Softline) внедрила программных роботов ROBIN в «ДоброЗайме»

11.07.2024

Подтверждена совместимость ПК «Инферит» с ОС Astra Linux Special Edition 1.7
Новости

Подтверждена совместимость ПК «Инферит» с ОС Astra Linux Special Edition 1.7

11.07.2024

Продукты «Цитрос» компании SL Soft (ГК Softline) обогатились интеллектуальными сервисами
Новости

Продукты «Цитрос» компании SL Soft (ГК Softline) обогатились интеллектуальными сервисами

10.07.2024

«Инферит» (ГК Softline) и компания РОСА подтвердили совместимость продуктов ОС «МСВСфера Сервер» 9 и ROSA Virtualization
Новости

«Инферит» (ГК Softline) и компания РОСА подтвердили совместимость продуктов ОС «МСВСфера Сервер» 9 и ROSA Virtualization

09.07.2024

Лицензии ОС «МСВСфера» 9 от «Инферит» (ГК Softline) теперь доступны в интернет-магазине Softline Store
Новости

Лицензии ОС «МСВСфера» 9 от «Инферит» (ГК Softline) теперь доступны в интернет-магазине Softline Store

08.07.2024

ГК Softline интегрировала платформу NBT в экосистему Softline Universe
Новости

ГК Softline интегрировала платформу NBT в экосистему Softline Universe

08.07.2024

ГК Softline оснастила «Губернский педагогический колледж» в г. Воронеж
Новости

ГК Softline оснастила «Губернский педагогический колледж» в г. Воронеж

05.07.2024

ГК Softline объявляет о назначении нового коммерческого директора «Софтлайн Решения»
Новости

ГК Softline объявляет о назначении нового коммерческого директора «Софтлайн Решения»

05.07.2024

ГК Softline помогла компании BLS International оборудовать российские офисы
Новости

ГК Softline помогла компании BLS International оборудовать российские офисы

04.07.2024

ГК Softline получила награду «Партнер года» от Check Point за активное продвижение SD-WAN
Новости

ГК Softline получила награду «Партнер года» от Check Point за активное продвижение SD-WAN

03.07.2024

ПАО «Софтлайн» объявляет об итогах проведения годового общего собрания акционеров
Новости

ПАО «Софтлайн» объявляет об итогах проведения годового общего собрания акционеров

03.07.2024

ГК Softline начинает партнерство с разработчиком BI-системы аналитики данных Biplane
Новости

ГК Softline начинает партнерство с разработчиком BI-системы аналитики данных Biplane

02.07.2024

SL Soft (ГК Softline) и РЕД СОФТ подтвердили совместимость продуктов
Блог

SL Soft (ГК Softline) и РЕД СОФТ подтвердили совместимость продуктов

28.07.2023

Microsoft Inspire 2021: безопасность в основе бизнеса
Блог

Microsoft Inspire 2021: безопасность в основе бизнеса

27.07.2021

Удаленная работа Apple Практики в Softline. День 2. Антон Карпов
Блог

Удаленная работа Apple Практики в Softline. День 2. Антон Карпов

09.07.2020

Работа из дома – хорошее решение. Доказано Softline
Блог

Работа из дома – хорошее решение. Доказано Softline

09.07.2020

Учим безопасности
Блог

Учим безопасности

08.07.2020

Сертификация ФСТЭК для чайников
Блог

Сертификация ФСТЭК для чайников

26.05.2020

Облачная симфония CloudMaster
Блог

Облачная симфония CloudMaster

21.05.2020

Удаленная работа Apple Практики в Softline. День 1. Дмитрий Шалеев
Блог

Удаленная работа Apple Практики в Softline. День 1. Дмитрий Шалеев

18.05.2020

Централизация или независимость?
Блог

Централизация или независимость?

14.05.2020

Видеоконференции корпоративного уровня бесплатно для всех
Блог

Видеоконференции корпоративного уровня бесплатно для всех

12.05.2020

«Защита КИИ на удаленке» вошла в чат
Блог

«Защита КИИ на удаленке» вошла в чат

08.05.2020

На длинной дистанции: как Softline перевела 3000 человек на удаленную работу за 1 день
Блог

На длинной дистанции: как Softline перевела 3000 человек на удаленную работу за 1 день

07.05.2020

Безопасная виртуализация бизнеса вместе с Citrix Xen и Bitdefender
Блог

Безопасная виртуализация бизнеса вместе с Citrix Xen и Bitdefender

29.04.2020

Высококачественная техническая поддержка при работе из дома
Блог

Высококачественная техническая поддержка при работе из дома

27.04.2020

Биллинг и работа с бюджетными лимитами
Блог

Биллинг и работа с бюджетными лимитами

23.04.2020

Возможности самообслуживания и автоматизации
Блог

Возможности самообслуживания и автоматизации

21.04.2020

Softline на рынке аутсорсинга бизнес-процессов «в вопросах и ответах»
Блог

Softline на рынке аутсорсинга бизнес-процессов «в вопросах и ответах»

17.04.2020

Дорога в облака: как быстро, безопасно и выгодно организовать удаленную работу сотрудников
Блог

Дорога в облака: как быстро, безопасно и выгодно организовать удаленную работу сотрудников

16.04.2020