Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Пентесты: можно ли вас «хакнуть»?

Шокирующая новость для бизнеса – рано или поздно вас попытаются «хакнуть». И дело не только в конкурентах, нацелившихся на новые разработки, и не в злоумышленниках, вознамерившихся заняться шантажом. Любая компания может просто попасть под удар рандомной ковровой бомбардировки, например фишинга. Или вчерашние школьники найдут уязвимость нулевого дня и не упустят случая ею воспользоваться. В конце концов, никто не застрахован от очередного блэкаута, который случился в недалеком 2017 от вирусов семейства Petya.

Вот всего лишь несколько громких примеров утечек информации в США.

Финансовый сектор: Morgan Stanley, Carbanak, Experian и Scottrade потеряли данные примерно 50 миллионов пользователей. Общий урон исчисляется миллиардами. И это при том, что банковская сфера одна из самых защищенных, – всего 5% кибератак оказывается успешными. Подобный хороший показатель, во многом, достигнут благодаря внешним факторам – государственным регуляторам, вынуждающим финансовые учреждения использовать современные средства защиты.

Самый уязвимый сектор – медицинские учреждения: в общей сложности 39% атак достигают цели. И это при том, что ниша здравоохранения содержит наиболее «чувствительную» информацию. Anthem, Inc., Premera Blue Cross, CareFirst BlueCross BlueShield, Beacon Health System, UCLA Health и Excellus BlueCross BlueShield потеряли данные о более чем 110 миллионах пациентах и сотрудниках медицинских центов. Список можно продолжать дальше.

Даже медиагиганты и ИТ-сектор не застрахованы от утечек. Корпорация Sony несколько раз становилась жертвой скандалов, связанных с нарушением периметра информационной безопасности третьими лицами. В эпицентр неприятностей попадали сайты знакомств – Ashley Madison и Adult Friend Finder. И даже один из крупнейших хостингов, известный по всему миру, – GoDaddy, не смог сохранить целостность своей защиты. Атаки онлайн-сервисов оказываются успешными в 31% случаев.

Статистика нефтегазовой отрасли также неутешительна: порядка трети компаний используют устаревшее ПО и системы защиты, которые могут быть легко взломаны «народными умельцами».

У любого руководителя возникает закономерный вопрос: что делать? Как выстроить надежную систему защиты, потратив при этом не все деньги мира? Масло в огонь подливает и Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187), обязавший бизнес, владеющий критической инфраструктурой, присоединиться к ГосСОПКЕ. Но как же быстро и безболезненно найти уязвимости системы?

Решить ситуацию поможет так называемый Penetration testing, или сокращенно «pentesting» – тестирование на проникновение. При тестировании специалисты-профессионалы в области кибербезопасности используют те же методы, что и хакеры: атаки, взломы, кража паролей, фишинг, вирусы и социальную инженерию. Их цель – найти уязвимое звено и получить доступ к ИТ-системам.

Отличный результат – неудача пентеста, что свидетельствует о надежности систем защиты. Но, если периметр безопасности удалось вскрыть, собственник бизнеса получает ряд значительных преимуществ.

Первое – уязвимость найдена раньше, чем ее обнаружили хакеры. А значит, есть время на «работу над ошибками».

Второе – выявление приоритетов для инвестирования. Не стоит чинить то, что работает. Гораздо эффективнее и дешевле укреплять уязвимые места.

Третье – «особое мнение». Вы можете доверять вашим айтишникам и использовать самые дорогие программные продукты. Однако это вовсе не гарантирует 100% защиту. Всегда есть шанс, что из фокуса внимания специалистов выпала уязвимость. Результат краш-теста системы безопасности либо подтвердит ее надежность и компетенции специалистов, либо поможет предвосхитить возможные проблемы.

Тестирование на проникновение – один из новых пакетов, которые предлагают компании Softline и «Инфосекьюрити». Несмотря на относительную «молодость» услуги, у нас уже есть несколько примеров пентеста в различных компаниях.

Крупная компания «А» решила проверить на прочность свою систему безопасности. Их бизнес находится в сегменте B2B: продажи товаров реселлерам – интернет-магазинам, которые, подключившись к специальной онлайн-платформе, могут заказать оптовую партию товаров и перепродать на своем ресурсе.

Результатом пентеста оказался полный доступ к базе данных с логинами и паролями всех интернет-магазинов сервиса. А также сведения о денежных средствах, находящихся на балансе партнеров.

Завладев этой информацией, злоумышленники смогли бы закупить техники на миллионы рублей. Или вывести деньги со счетов. И антимошенническая проверка, в данной ситуации, оказалась бы бессильна. Обладая полным доступом, хакер мог переписать контактную информацию реселлера и подтвердить практически любое действие!

Среди наших услуг есть несколько видов тестирования: внешний, внутренний и социотехнический. И именно с первого начинается кейс номер два.

Компания «Б», разработчик программного обеспечения, решила проверить внешнюю линию обороны. Результатом стало проникновение наших специалистов во внутреннюю сеть. Руководство вознамерилось пойти дальше и узнать, как далеко может зайти реальный хакер, и с этого момента началось внутреннее тестирование.

Структура сети заказчика состояла из трех доменов: для разработчиков, для тестеров и основной домен. Однако получить доступ ко всей инфраструктуре можно было из каждого. 

Наши специалисты проанализировали весь серверный сегмент, обнаружили уязвимости, повысили свои права до уровня Администратора и получили доступ к интернет-банку, файловому хранилищу с коммерческой информацией и новым разработкам.

Попади такая информация в руки злоумышленнику – ущерб был бы колоссальным!

В третьем кейсе тестированию подверглась очень крупная компания со штатом в несколько тысяч человек. Внешняя сеть оказалась серьезно защищенной, а найденные небольшие уязвимости не влияли на работу компании и безопасность информации.

Специалисты Softline и «Инфосекьюрити» приступили к внутреннему тестированию и выехали на место, для того чтобы попробовать подключиться к внутренней сети физически, через Wi-Fi или по витой паре.

При анализе было найдено огромное количество уязвимостей на серверных и клиентских сегментах, а также обнаружено отсутствие фильтрации интернет-трафика и передачи данных в локальной сети.

Если бы подобными уязвимостями в защите воспользовались конкуренты, они могли бы легко получить доступ ко всей корреспонденции, документации и критической информации, тем самым полностью остановив и обанкротив международный бизнес.

Чем больше технических и человеческих ресурсов в компании, тем выше шанс утечки данных. Сложная система была, есть и остается скоплением «слепых зон», обнаружить которые не так просто.

Даже «школьник» представляет угрозу. Однако серьезные атаки всегда являются целенаправленным заказом от конкурентов.

Тестирование на проникновение обходится гораздо дешевле, чем убытки от утечки данных и ликвидация последствий.

Новости, истории и события
Смотреть все
Образовательная платформа «Кибертори» от Академии АйТи FabricaONE.AI (акционер — ГК Softline) стала лауреатом премии «Хрустальная пирамида 2025»
Новости

Образовательная платформа «Кибертори» от Академии АйТи FabricaONE.AI (акционер — ГК Softline) стала лауреатом премии «Хрустальная пирамида 2025»

22.10.2025

«Софтлайн Решения» обеспечивает цифровую трансформацию закупок ритейлера на low-code платформе
Новости

«Софтлайн Решения» обеспечивает цифровую трансформацию закупок ритейлера на low-code платформе

22.10.2025

Bell Integrator FabricaONE.AI (акционер – ГК Softline) разработала единый ID сервис для идентификации, аутентификации и авторизации клиентов
Новости

Bell Integrator FabricaONE.AI (акционер – ГК Softline) разработала единый ID сервис для идентификации, аутентификации и авторизации клиентов

22.10.2025

«Инферит ОС» (кластер «СФ Тех» ГК Softline) подтверждает совместимость ОС «МСВСфера» и службы каталогов Avanpost DS
Новости

«Инферит ОС» (кластер «СФ Тех» ГК Softline) подтверждает совместимость ОС «МСВСфера» и службы каталогов Avanpost DS

21.10.2025

«Софтлайн Решения» (ГК Softline) внедрила систему управления проектами EvaProject от EvaTeam
Новости

«Софтлайн Решения» (ГК Softline) внедрила систему управления проектами EvaProject от EvaTeam

21.10.2025

Сомерс (ГК Softline) запускает OpenTips — решение для приема чаевых «в один шаг»
Новости

Сомерс (ГК Softline) запускает OpenTips — решение для приема чаевых «в один шаг»

21.10.2025

Проект автоматизации в органах власти Петербурга, реализованный на платформе ROBIN от компании SL Soft FabricaONE.AI (акционер – ГК Softline), победил в конкурсе «ПРОФ-IT»
Новости

Проект автоматизации в органах власти Петербурга, реализованный на платформе ROBIN от компании SL Soft FabricaONE.AI (акционер – ГК Softline), победил в конкурсе «ПРОФ-IT»

20.10.2025

«Инферит ИТМен» (кластер «СФ Тех» ГК Softline) помог страховому брокеру Remind взять под контроль ИТ-инфраструктуру
Новости

«Инферит ИТМен» (кластер «СФ Тех» ГК Softline) помог страховому брокеру Remind взять под контроль ИТ-инфраструктуру

20.10.2025

ПАО «Софтлайн» объявляет о результатах реализации третьего этапа обмена ГДР Noventiq на акции ПАО «Софтлайн»
Новости

ПАО «Софтлайн» объявляет о результатах реализации третьего этапа обмена ГДР Noventiq на акции ПАО «Софтлайн»

20.10.2025

«Софтлайн Решения» помогла производителю химической продукции повысить эффективность проектной деятельности
Новости

«Софтлайн Решения» помогла производителю химической продукции повысить эффективность проектной деятельности

17.10.2025

SL Soft FabricaONE.AI (акционер — ГК Softline) и «Техностанция» автоматизировали управление маркетплейсами с помощью платформы ROBIN
Новости

SL Soft FabricaONE.AI (акционер — ГК Softline) и «Техностанция» автоматизировали управление маркетплейсами с помощью платформы ROBIN

17.10.2025

ГК Softline и «Тангл» объявляют о стратегическом партнерстве
Новости

ГК Softline и «Тангл» объявляют о стратегическом партнерстве

16.10.2025

«Софтлайн Решения» предоставила вычислительный кластер «под ключ» в аренду российской компании
Новости

«Софтлайн Решения» предоставила вычислительный кластер «под ключ» в аренду российской компании

16.10.2025

Александр Минин назначен генеральным директором компании «Софтлайн Решения»
Новости

Александр Минин назначен генеральным директором компании «Софтлайн Решения»

15.10.2025

SL Soft FabricaONE.AI (акционер — ГК Softline) представила SL AI Search — корпоративный интеллектуальный поиск нового поколения
Новости

SL Soft FabricaONE.AI (акционер — ГК Softline) представила SL AI Search — корпоративный интеллектуальный поиск нового поколения

15.10.2025

Операционная система «МСВСфера» 9 от «Инферит ОС» (кластер «СФ Тех» ГК Softline) получила сертификат ФСТЭК России
Новости

Операционная система «МСВСфера» 9 от «Инферит ОС» (кластер «СФ Тех» ГК Softline) получила сертификат ФСТЭК России

14.10.2025

Компания «МЕДСИ» улучшила клиентский сервис с помощью ИИ-агента SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Компания «МЕДСИ» улучшила клиентский сервис с помощью ИИ-агента SL Soft FabricaONE.AI (акционер — ГК Softline)

14.10.2025

Компания BeringPro (ГК Softline) заключила соглашение о партнерстве с IT Vectura, передовым разработчиком системы управления логистикой
Новости

Компания BeringPro (ГК Softline) заключила соглашение о партнерстве с IT Vectura, передовым разработчиком системы управления логистикой

13.10.2025

Новая эра мобильных технологий: российско-корейский ответ крупным западным игрокам
Блог

Новая эра мобильных технологий: российско-корейский ответ крупным западным игрокам

20.10.2025

Облачные технологии: что это такое, виды сервисов, модели развертывания и тренды 2025
Блог

Облачные технологии: что это такое, виды сервисов, модели развертывания и тренды 2025

14.10.2025

Оснащение кабинетов физики: от макетов и датчиков до цифровых лабораторий
Блог

Оснащение кабинетов физики: от макетов и датчиков до цифровых лабораторий

10.10.2025

Обзор нейросетей для работы с текстом
Блог

Обзор нейросетей для работы с текстом

10.10.2025

Использование дронов и БПЛА в школах и образовательных учреждениях
Блог

Использование дронов и БПЛА в школах и образовательных учреждениях

03.10.2025

ИБ-консалтинг для финансовых организаций: защита активов, клиентов и репутации
Блог

ИБ-консалтинг для финансовых организаций: защита активов, клиентов и репутации

30.09.2025

Топ игровых бюджетных и премиальных игровых ноутбуков 2025
Блог

Топ игровых бюджетных и премиальных игровых ноутбуков 2025

19.09.2025

Голосовые помощники и боты для бизнеса
Блог

Голосовые помощники и боты для бизнеса

18.09.2025

Аренда серверного оборудования vs собственная инфраструктура: сравниваем экономику
Блог

Аренда серверного оборудования vs собственная инфраструктура: сравниваем экономику

12.09.2025

Топ лучших ноутбуков 2025 года для дома и офиса
Блог

Топ лучших ноутбуков 2025 года для дома и офиса

09.09.2025

Резервное копирование: ключевые параметры бэкапа и топ российских систем
Блог

Резервное копирование: ключевые параметры бэкапа и топ российских систем

03.09.2025

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году
Блог

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году

25.08.2025

Российские операционные системы. Топ отечественных ОС 2025
Блог

Российские операционные системы. Топ отечественных ОС 2025

21.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025