Пентест для банку
Бізнес кейс: Оцінка вразливостей інформаційних систем для банку
Задача від замовника - Зовнішня оцінка захищеності інформаційних систем за методом Grey Box з наданням детального звіту по виявлених недоліках та рекомендаціях щодо їх усунення:
Мета оцінки - визначити вразливості, їх рівень небезпечності та надання рекомендацій щодо їх виправлення. Тестування проводилося етичними хакерами ESKA з використанням методологій, включно з OWASP MASVS, а також шляхом імітації реальних атак, як з позиції авторизованого користувача, так і анонімного користувача. По результатам тестування замовнику був наданий звіт з детальним аналізом процесу тестування, його результатів та рекомендацій щодо поліпшення.
Результати оцінки вразливостей мобільних додатків
Оцінка мобільного додатку була проведена, забезпечуючи всебічний огляд трьох додатків як для платформ Android, так і iOS. Під час тестування мобільного додатку використовувались як автоматизовані, так і ручні методи тестування для оцінки безпеки додатку. Наша команда провела ретельне дослідження всіх додатків, використовуючи різноманітні інструменти та методи.
Рекомендації
Метою тестування було оцінити загальну безпеку додатку, виявити потенційні вразливості та надати рекомендації щодо підвищення рівня безпеки. У результаті проведеної оцінки було виявлено кілька проблем, для вирішення яких ми надали конкретні рекомендації.
Проведення Тестування захищеності корпоративної електронної пошти
Під час проведеного фішинг-асесменту для Замовника, наша команда розробила кілька сценаріїв фішинг-атак з метою визначення рівня готовності співробітників до реагування на потенційні загрози. Ми використовували підхід "grеy box", тобто замовник надав нам лист поштових адрес співробітників, додатково ми самостійно збирали інформацію через відкриті джерела (OSINT активності).Важливо підкреслити, що під час оцінки не було проведено персональних атак на співробітників через месенджери, особисті поштові адреси, особисті мобільні телефони або соціальні мережі. Крім того, в сценаріях фішинг-атак не використовувалася інформація про інтереси, хобі та захоплення співробітників.Атаки були спрямовані виключно на робочі електронні поштові адреси співробітників. Ми прагнули оцінити рівень пильності та готовності співробітників реагувати на подібні загрози, а також перевірити ефективність заходів безпеки, які приймаються в організації.
Методики, які ми використовуємо
OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.
ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.
NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.
PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.
Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?
Наша команда експертів ESKA провела комплексний оцінку вразливостей для організації фінансового сектору, виявивши слабкі місця в їхніх системах. Виявлення та усунення цих вразливостей є життєво важливими для запобігання потенційним витокам даних і захисту конфіденційної інформації.
Моделюючи реальні сценарії атак, ми можемо допомогти організаціям фінансової індустрії виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.
Також, Вас можуть зацікавити такі послуги
Корисні статті на тему фішингу