Бізнес кейс: Тестування на проникнення для міжнародної страхової компанії

Мета тесту на проникнення, проведеного для міжнародної страхової компанії, полягала у імітації цілеспрямованої атаки зловмисника з ціллю:

Визначити, чи можуть віддалені зловмисники проникнути через системи захисту компанії.

Визначити потенційні порушення безпеки та їхній вплив.

Основною метою цього тесту на проникнення було перевірити інфраструктуру клієнта через третю сторону на наявність можливих проблем, які можуть вплинути на безпеку програм, інфраструктури та конфіденційності користувачів. Тестування також перевіряє та оцінює конфігурації безпеки, які забезпечують конфіденційність, цілісність і доступність конфіденційних даних компанії клієнта та інших ресурсів.

Висновки

Протягом 35 днів тестування на проникнення наша команда виявила 46 уразливостей, причому найвищий ступінь серйозності – критичний. Виявлені вразливості охоплюють кілька категорій, таких як: доступ до конфіденційних даних, відсутність авторизації, застарілі версії програмного забезпечення тощо. ESKA Global виявила ключові вразливості в ІТ-інфраструктурі страхової компанії, які можуть призвести до таких сценаріїв:

Порушення даних, яке може призвести до втрати інформації про клієнта, що може мати катастрофічні наслідки для страхової компанії. У разі порушення даних клієнта, що зберігаються в компанії, може бути викрадена вся наявна інформація про клієнта. Хакери можуть створювати шахрайські страхові пропозиції, що призведе до фінансових втрат для страхової компанії. Така діяльність може завдати серйозної шкоди фінансовій стабільності компанії.

Кібератака на страхову компанію може завдати серйозної шкоди репутації компанії, що призведе до втрати довіри серед її клієнтів.

Кібератака може серйозно порушити бізнес-операції страхової компанії, ускладнюючи виконання службових обов’язків працівниками, що зрештою знижує ефективність.

Кібератака створює ризики для інтелектуальної власності страхової компанії, включаючи конфіденційну фінансову та стратегічну інформацію. Ці атаки можуть призвести до крадіжки такої інформації, що згодом спричинить значні фінансові збитки для компанії.

Операційні технології, які підтримують функції бек-офісу страхової галузі, можуть опинитися під загрозою через кібератаку. Така атака може призвести до серйозної шкоди інфраструктурі бек-офісу компанії, що призведе до втрати даних, втрати функціональності та зменшення прибутку.

Етап 1. Підготовка
Наша команда почала зі збору даних про інфраструктуру кол-центру, зокрема про те, як зберігалися та оброблялися голосові записи. Ми провели сканування вразливостей систем, щоб виявити будь-які слабкі місця, якими можна скористатися. Ми також скористалися вразливими місцями, які виявили в контрольованих умовах, щоб оцінити їхній потенційний вплив, приділяючи особливу увагу сценаріям розкриття даних. Під час тестування на проникнення ми виявили кілька вразливостей, які можуть призвести до розкриття конфіденційних даних:● Слабкі стандарти шифрування даних для зберігання голосових записів, які визначили потенційну можливість зламу зловмисників. Крім того, була недостатня сегментація мережі, яка могла б дозволити зловмисникам пересуватися далі і отримувати доступ до баз даних голосових записів;● Ми помітили відсутність надійного контролю доступу до систем, які зберігають конфіденційні дані.
Етап 2. Фаза сканування
Компанія ESKA Global застосувала комплексну методологію тестування на проникнення, орієнтуючись на системи, важливі для щоденних бізнес-операцій. Ми почали з визначення ключових систем та інфраструктури, життєво важливих для функціонування бізнесу. Потім ми провели сканування мережі, щоб виявити пристрої та служби, і після цього сканування вразливостей, щоб виявити можливі слабкі місця. Наше тестування виявило кілька вразливостей, використання яких може суттєво порушити бізнес-операції:● Застарілі версії програмного забезпечення, схильні до відомих експлойтів;● Відсутня вразливість авторизації.

Етап 3. Перерахування
Наша команда пентестерів використовувала багатогранний підхід, включаючи кілька стратегій тестування, щоб забезпечити збереження конфіденційної інформації. Під час пентесту було виявлено декілька вразливостей у системах зберігання та обробки конфіденційної інформації компанії. Ці вразливості включали:● Недостатній контроль доступу до даних, що дозволяє несанкціонований доступ до конфіденційної інформації;● Некоректна робота моніторингу і журналів, які б не попередили компанію про існуюче порушення даних.
Етап 4. Фаза експлуатації та звітність
Пентестери ESKA використовували методологію тестування на основі ризиків, зосереджуючись на областях, де атака потенційно може завдати найбільшої шкоди. Ця методологія включала поєднання автоматичних і ручних методів тестування, таких як сканування вразливостей, фаззінг і цільові експлойти. Під час пентесту було виявлено кілька вразливостей високого ризику в системах OT. Ці вразливості можуть дозволити кібер-зловмиснику порушити функції бек-офісу, що призведе до серйозних збитків. Наприклад, ми виявили:● Системи без виправлень, чутливі до відомих експлойтів;● Незахищені протоколи зв'язку, які можна перехопити та маніпулювати ними;● Відсутня вразливість авторизації.
Визначивши ці вразливості, ми надали детальний звіт, у якому викладено наші висновки, потенційні наслідки та рекомендації щодо пом’якшення цих ризиків.

OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.

ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.

NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.

PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.

Переглянути та оновити механізми контролю доступу та автентифікації сервера, щоб переконатися, що лише авторизовані користувачі можуть отримати доступ до конфіденційних даних.

Застосувати шифрування даних у стані спокою та передачі, щоб захистити конфіденційну інформацію від несанкціонованого доступу.

Проводити регулярні оцінки безпеки та сканування вразливостей, щоб виявити та пом’якшити потенційні проблеми безпеки.

Регулярно оновлювати та виправляти операційну систему сервера, Apache та будь-яке пов’язане програмне забезпечення для усунення відомих вразливостей.

Регулярно проводити тренінги з питань безпеки для працівників, включаючи важливість гігієни паролів і розпізнавання атак соціальної інженерії.

Увімкнути багатофакторну автентифікацію (MFA) для критично важливих систем і програм, щоб додати додатковий рівень безпеки.

Повідомити співробітників, яких зламали і попросити їх негайно змінити свої паролі, якщо вони використовують будь-який із них в Інтернеті.

Впровадити політику надійних паролів і вимагати використання унікальних складних паролів для кожного співробітника.

Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?

Наша команда експертів ESKA провела комплексний тест на проникнення для страхової компанії, виявивши значні проблеми та слабкі місця в їхніх системах. Виявлення та усунення цих вразливостей є життєво важливими для запобігання потенційним витокам даних і захисту конфіденційної інформації.

Моделюючи реальні сценарії атак, ми можемо допомогти страховим компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.

Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.

Назад до Проектів