+38 (067) 372 39 55

English site

Замовити консультацію

+38 (067) 372 39 55

English site

Замовити консультацію

Кібербезпека для фінансової компанії

Бізнес кейс: Тестування на проникнення інфраструктури для фінансової компанії

Міжнародна компанія інвестиційних послуг постійно працює з важливими даними клієнтів і має гарантувати їхню безпеку. Компанія керує складною ІТ-інфраструктурою, що включає локальні системи та хмарні сервіси. Враховуючи конфіденційність даних, що обробляються, і нормативні вимоги, компанія прагнула провести ретельну оцінку безпеки своєї ІТ-інфраструктури. Мета тесту на проникнення, проведеного для фінансової компанії, полягала у імітації цілеспрямованої атаки зловмисника з ціллю:

    Визначити слабкі місця в ІТ-інфраструктурі, включаючи локальні та хмарні системи.
    Оцінити безпеку конфігурацій мережі, серверів, баз даних і програм.
    Оцінити ефективність засобів контролю безпеки та дотримання нормативних вимог.
    Надати детальні рекомендації щодо виправлення виявлених вразливостей і підвищення загальної безпеки.

Рекомендації

Експерти ESKA оцінили всю інфраструктуру компанії за допомогою тестування на проникнення методом чорної скриньки (Black Box Penetration Test). Наші етичні хакери змогли знайти скомпрометовані облікові записи користувачів і потенційні вразливості, оскільки ці облікові записи можуть бути викрадені. Для кожної знайденої вразливості ми дали рекомендації у звіті щодо її виправлення. Ось кілька прикладів:

    Запровадити надійний процес управління виправленнями, щоб забезпечити своєчасне оновлення та виправлення для всього програмного забезпечення та систем.
    Застосувати політики надійних паролів, включаючи вимоги до складності та регулярну зміну паролів.
    Проводити регулярні оцінки безпеки та сканування вразливостей, щоб виявити та пом’якшити потенційні проблеми безпеки.
    Переконатися, що всі конфіденційні дані, що передаються через мережу, зашифровані за допомогою безпечних протоколів, таких як TLS/SSL, а застарілі та незахищені протоколи, такі як Telnet і FTP вимкнуті, на користь безпечних альтернатив, таких як SSH і SFTP.
    Регулярно проводити тренінги з питань безпеки для працівників, включаючи важливість гігієни паролів і розпізнавання атак соціальної інженерії.
    Увімкнути багатофакторну автентифікацію (MFA) для критично важливих систем і програм, щоб додати додатковий рівень безпеки.
    Реалізуйте повне журналювання всіх подій, пов’язаних із безпекою, включаючи спроби доступу та зміни конфігурації. Регулярно переглядайте та аналізуйте журнали, щоб виявити підозрілу активність і реагувати на неї.
    Використовуйте методи безпечного програмування та виконуйте перевірку коду для виявлення та усунення вразливостей. Розгорніть WAF для захисту веб-додатків від типових загроз і атак.

Процес

  • Етап 1. Підготовка

    Визначено обсяг тесту на проникнення, зосереджуючись на мережевій інфраструктурі, серверах, базах даних, програмах і хмарних службах.Встановлені вказівки щодо процесу тестування, щоб уникнути переривання послуг клієнта та забезпечити, щоб тестування проводилося етично.

  • Етап 2. Фаза сканування

    Розвідка: збір інформації про цільове оточення за допомогою пасивних і активних методів розвідки.Сканування вразливостей: використовуються автоматизовані інструменти для виконання початкового сканування на відомі вразливості в мережевій інфраструктурі, серверах, базах даних і програмах.Ручне тестування: проведене ручне тестування для виявлення вразливостей, які автоматизовані інструменти можуть пропустити, зокрема неправильні конфігурації, незахищені протоколи та слабкі засоби контролю доступу.Експлуатація: Спроба використати виявлені вразливості, щоб оцінити їхній вплив і зрозуміти рівень доступу, який потенційно може отримати зловмисник.Постексплуатація: проаналізовано наслідки успішної експлуатації, включаючи викрадання даних, ескалацію привілеїв і бічне переміщення в мережі.

  • Етап 3. Звітність

    Документація висновків: задокументовано всі виявлені вразливості, включаючи детальні описи, докази використання та потенційний вплив.Оцінка ризику: Оцінка ризику, пов’язаного з кожною вразливістю, на основі її ймовірності та впливу.Рекомендації щодо усунення: надані рекомендації щодо виправлення кожної виявленої вразливості. Рекомендації включали як термінові виправлення, так і довгострокові покращення безпеки.Резюме: Підготовлено загальне резюме висновків і рекомендацій для представлення виконавчій команді клієнта.

Методики, які ми використовуємо

Illustration

OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.

Illustration

ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.

Illustration

NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.

Illustration

PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.

Тестування на проникнення від експертів ESKA 

Тест на проникнення не тільки виявляє критичні вразливості, але й призводить до значного покращення системи безпеки в цілому. Важливо виявити слабкі місця та вразливості в системі до того як це зробить справжній хакер.

Детальніше про Тестування на проникнення

Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?

Наша команда експертів ESKA провела комплексний тест на проникнення для фінансової компанії, перевірила інфраструктуру компанії за допомогою тестування на проникнення методом чорної скриньки (Black Box Penetration Test). Надалі компанія змогла значно підвищити рівень безпеки та забезпечити захист даних своїх клієнтів.
Моделюючи реальні сценарії атак, ми можемо допомогти страховим компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.

Звернутись до експерта
Illustration

Також, Вас можуть зацікавити такі послуги

Illustration

Тестування на проникнення

Змодельована атака на ІТ-системи з використанням хакерських методів, яка здійснюється з метою визначення вразливості систем, після чого можуть бути вжиті відповідні заходи захисту.

Більше
Illustration

Red Teaming

Red Team імітує багатоетапну атаку та зосереджується на цифрових активах вашої компанії. Метою є стійке посилення стійкості компаній проти кібератак.

Більше
Illustration

Аутсорсинг кібербезпеки

Ми допомагаємо нашим клієнтам впоратися з тягарем керування кібербезпекою, надаючи повний спектр послуг з інформаційної безпеки. Ми визначаємо та впроваджуємо політики безпеки, відстежуємо, аналізуємо, звітуємо, надаємо підтримку. 

Більше

Корисні статті на тему тесту на проникнення

Illustration

Тестування на проникнення: базована тема для кібербезпеки

Основною метою пентесту є виявлення вразливостей, якими можуть скористатися зловмисники. Тестування на проникнення намагається скомпрометувати систему організації, щоб виявити слабкі місця в системі безпеки. У цій статті ми детально розповімо про те, що таке тест на проникнення, чому про нього так багато говорять і для чого він вашій компанії. 

Більше
Illustration

Пентест як один із ключових компонентів кібербезпеки та стандартів безпеки

Тестування на проникнення, є важливою стратегією кібербезпеки, спрямованою на імітацію кібератак на комп'ютерні системи, мережі, веб-сайти чи застосунки. Основною метою тестування на проникнення є виявлення та вирішення слабкостей, які кіберзлочинці можуть використовувати, ще до того, як відбудеться зловмисна атака. 

Більше
Illustration

Тестування на проникнення у фінансовій галузі

Тестування на проникнення — важлива частина комплексної програми захисту інформаційної системи для банківської та фінансової галузі. У цій статті ми поговоримо про основні кіберзагрози з якими стикаються банки та страхові, необхідність та переваги пентесту і розповімо чому важливо вибирати надійного партнера з кібербезпеки.

Більше
Підписатись


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.

Підписатись


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.