Кібербезпека для логістичної компанії

Бізнес кейс: Тестування на проникнення мобільного застосунку

Метою тестування на проникнення було перевірити рівень безпеки мобільного застосунку, розробленого стороннім підрядником, перед запуском. Наші білі хакери перевірили логіку мобільних програм і слабкі місця коду, а також надали рекомендації щодо архітектури мобільних програм і рівнів безпеки коду. Задачі тесту на проникнення, які стояли перед нашими спеціалістами:

Визначити вразливі місця в мобільних додатках.

Оцінити безпеку серверних служб програми, API та механізмів зберігання даних.

Оцінити стійкість додатку проти типових векторів атак, таких як незахищене зберігання даних, неправильне керування сеансами та слабке шифрування.

Надати детальні рекомендації щодо виправлення виявлених вразливостей і підвищення безпеки.

Переглянути та оновити механізми контролю доступу та автентифікації сервера, щоб переконатися, що лише авторизовані користувачі можуть отримати доступ до конфіденційних даних.

Шифрувати всі конфіденційні дані, що зберігаються в локальних базах даних, за допомогою надійних алгоритмів шифрування. Переконайтеся, що файли, які містять конфіденційну інформацію, зашифровані перед збереженням на пристрої.

Проводити регулярні оцінки безпеки та сканування вразливостей, щоб виявити та пом’якшити потенційні проблеми безпеки.

Реалізувати короткі тайм-аути сеансу для неактивних сеансів, щоб зменшити ризик їх викрадення. Переконайтеся, що сеанси належним чином анулюються після виходу з системи або після певного періоду бездіяльності.

Регулярно проводити тренінги з питань безпеки для працівників, включаючи важливість гігієни паролів і розпізнавання атак соціальної інженерії.

Увімкнути багатофакторну автентифікацію (MFA) для критично важливих систем і програм, щоб додати додатковий рівень безпеки.

Реалізувати сувору перевірку вхідних даних, щоб запобігти атакам ін’єкцій та іншим вразливостям на основі вхідних даних.

Впровадити політику надійних паролів і вимагати використання унікальних складних паролів для кожного співробітника.

Етап 1. Підготовка
Визначено обсяг тесту на проникнення, зосереджуючись на мобільних застосунках (iOS і Android), пов’язаних серверних службах і API.
Встановлені вказівки щодо процесу тестування, щоб уникнути переривання послуг клієнта та забезпечити, щоб тестування проводилося етично.
Етап 2. Фаза сканування
Розвідка: зібрано інформацію про мобільні додатки за допомогою методів пасивної та активної розвідки.Статичний аналіз: проведено статичний аналіз коду для виявлення недоліків безпеки у вихідному коді програми, включаючи жорстко закодовані секрети та незахищені конфігурації.
Динамічний аналіз: виконано динамічне тестування запущених програм для виявлення вразливостей, таких як незахищене зберігання даних, слабке шифрування та неправильне керування сеансами.
Тестування API: проведена оцінка безпеки серверних API на наявність недоліків автентифікації, авторизації та перевірки даних.
Аналіз мережевого трафіку: проаналізовано мережевий трафік між мобільними програмами та внутрішніми серверами, щоб виявити незахищений зв’язок.Експлуатація: Спроба використати виявлені вразливості, щоб оцінити їхній вплив і зрозуміти рівень доступу, який потенційно може отримати зловмисник.Постексплуатація: проаналізовано наслідки успішної експлуатації, включаючи викрадання даних, ескалацію привілеїв і бічне переміщення в мережі.

Етап 3. Звітність
Документація висновків: задокументовано всі виявлені вразливості, включаючи детальні описи, докази використання та потенційний вплив.Оцінка ризику: Оцінка ризику, пов’язаного з кожною вразливістю, на основі її ймовірності та впливу.Рекомендації щодо усунення: надані рекомендації щодо виправлення кожної виявленої вразливості. Рекомендації включали як термінові виправлення, так і довгострокові покращення безпеки.Резюме: Підготовлено загальне резюме висновків і рекомендацій для представлення виконавчій команді клієнта.

OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.

ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.

NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.

PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.

Тестування на проникнення від експертів ESKA

Тест на проникнення не тільки виявляє критичні вразливості, але й призводить до значного покращення системи безпеки в цілому. Важливо виявити слабкі місця та вразливості в системі до того як це зробить справжній хакер.

Детальніше про Тестування на проникнення

Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?

Наша команда експертів ESKA провела комплексний тест на проникнення для постачальника логістичних послуг, який готує до запуску свій мобільний застосунок, розроблений стороннім підрядником. В результаті наші клієнти отримали підтвердження рівня захисту мобільного застосунку, рекомендації щодо підвищення рівня його безпеки та кваліфікації підрядників.
Моделюючи реальні сценарії атак, ми можемо допомогти страховим компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.

Тестування на проникнення

Змодельована атака на ІТ-системи з використанням хакерських методів, яка здійснюється з метою визначення вразливості систем, після чого можуть бути вжиті відповідні заходи захисту.

Більше

Red Teaming

Red Team імітує багатоетапну атаку та зосереджується на цифрових активах вашої компанії. Метою є стійке посилення стійкості компаній проти кібератак.

Більше

Аутсорсинг кібербезпеки

Ми допомагаємо нашим клієнтам впоратися з тягарем керування кібербезпекою, надаючи повний спектр послуг з інформаційної безпеки. Ми визначаємо та впроваджуємо політики безпеки, відстежуємо, аналізуємо, звітуємо, надаємо підтримку.

Більше

Тестування на проникнення: базована тема для кібербезпеки

Основною метою пентесту є виявлення вразливостей, якими можуть скористатися зловмисники. Тестування на проникнення намагається скомпрометувати систему організації, щоб виявити слабкі місця в системі безпеки. У цій статті ми детально розповімо про те, що таке тест на проникнення, чому про нього так багато говорять і для чого він вашій компанії.

Більше

Пентест як один із ключових компонентів кібербезпеки та стандартів безпеки

Тестування на проникнення, є важливою стратегією кібербезпеки, спрямованою на імітацію кібератак на комп'ютерні системи, мережі, веб-сайти чи застосунки. Основною метою тестування на проникнення є виявлення та вирішення слабкостей, які кіберзлочинці можуть використовувати, ще до того, як відбудеться зловмисна атака.

Більше

Тестування на проникнення у фінансовій галузі

Тестування на проникнення — важлива частина комплексної програми захисту інформаційної системи для банківської та фінансової галузі. У цій статті ми поговоримо про основні кіберзагрози з якими стикаються банки та страхові, необхідність та переваги пентесту і розповімо чому важливо вибирати надійного партнера з кібербезпеки.

Більше

Повернутись до Проектів

Бізнес кейс: Тестування на проникнення мобільного застосунку

Процес

Методики, які ми використовуємо

Тестування на проникнення від експертів ESKA