Анализ защищенности для крупного онлайн-ритейлера от DDoS-Guard: подтвердили опасения клиента и вовремя обнаружили критическую уязвимость

Анатолий Иващук

Директор по информационной безопасности DDoS-Guard

Герой нашего кейса – крупный онлайн-ритейлер в сфере компьютерной техники. За 20 лет работы компания сформировала репутацию надежного поставщика и на сегодняшний день входит в топ-30 крупнейших интернет-магазинов России. В результате анализа защищенности специалисты DDoS-Guard подтвердили опасения клиента и выявили опасные уязвимости (такие как перехват данных и компрометация части email-адресов сотрудников), предоставив рекомендации по их устранению. Проведенная работа помогает не только своевременно усилить слабые места, но и грамотно выстроить стратегию защиты – а значит, повысить уровень безопасности бизнеса и укрепить доверие его клиентов.

Онлайн-бизнесу, работающему с базой данных клиентов, важно обеспечить неприкосновенность своих систем. Наш клиент — не исключение. Поскольку используемые в компании заказчика информационные системы не были проверены на уязвимости, руководителям отдела ИБ не хватало информации, чтобы понять, как выстроить защиту: какие задачи первоочередные, а что можно оставить на следующие этапы. На момент нашего знакомства с клиентом соблюдение практик информационной безопасности не входило в его ключевые приоритеты, поэтому данное направление не получало достаточного финансирования. Важно было не только оценить потенциальные угрозы для бизнеса в случае киберинцидентов, но и донести до руководства ценность необходимых практик для предотвращения этих угроз. Ранее компания заказчика обращалась к нам за услугами защиты от DDoS-атак, и, получив положительный опыт, доверила специалистам нашей команды еще один проект — аудит защищенности своих веб-ресурсов.

Для чего нужен анализ защищенности информационных систем

Комплексный анализ дает ответы на основные вопросы для грамотного построения системы защиты:

«Где мы находимся?» — в каком состоянии находятся информационные системы, есть ли уязвимости, и какие векторы атак могут быть использованы злоумышленниками.
«Куда нам нужно двигаться?» — понимание текущего состояния веб-ресурсов в контексте ИБ задает направление следующих шагов.
«Что для этого нужно?» — оценка ресурсов, необходимых для достижения поставленных целей.

Методика проведения анализа защищенности ИС

Команда DDoS-Guard предлагает полный анализ защищенности внешнего периметра и внутренней сети веб-ресурсов клиента, анализ защищенности веб-приложений, а также оценку рисков вовлечения сотрудников в киберинциденты – для этого злоумышленники применяют методы социальной инженерии. Специалисты DDoS-Guard используют разнообразный набор инструментов как автоматической, так и ручной проверки. В их арсенале – OSINT, OWASP/ WSTG, WASC, сканеры уязвимостей, инструменты поиска и эксплуатации уязвимостей (такие как CrackMapExec, Sqlmap и другие), инструменты сетевой разведки, подбора и восстановления паролей и многие другие. При выполнении анализа команда имитирует действия хакеров. Это абсолютно безопасно для веб-ресурсов клиента, поскольку условия и границы проникновения согласовываются с ним до мельчайших деталей.

В результате клиент получает подробный отчет обо всех использованных методиках и найденных уязвимостях, а также рекомендации по их устранению. Иногда ограниченные ресурсы не позволяют клиенту починить «все и сразу». Однако подход DDoS-Guard позволяет правильно выстраивать приоритеты – чтобы устранить наиболее критические уязвимости в первую очередь.

Что удалось обнаружить в результате

Специалисты DDoS-Guard проверили инфраструктуру клиента и обнаружили 6 уязвимостей, из которых одна — критическая, 3 – среднего уровня и 2 — не критических. Одной критической уязвимости злоумышленникам было бы достаточно, чтобы привести к полной потере веб-ресурса.

● Логины и пароли «по умолчанию»: речь идет об использовании всем известных «qwerty12345», «Admin1234», логина «Root User» и тому подобных сочетаний.

● Неправильно настроенный контроль доступа: опасная уязвимость, занимающая лидирующее место в OWASP TOP 10 (списке наиболее критичных рисков безопасности веб-приложений). Хакеры используют ее для повышения собственных прав доступа в информационные системы компаний. Например, получив логин и пароль сотрудника с обычными пользовательскими правами, хакеры могут воспользоваться ошибками настройки и стать администраторами информационной системы.

● Устаревшие версии ПО: использование устаревших компонентов информационных систем. Для устранения этой уязвимости достаточно регулярно обновлять компоненты ИС. Однако, несмотря на столь простую рекомендацию, устаревшее ПО зачастую довольно популярно. Иногда в компании отсутствует политика обновлений, а иногда причина сложнее — обновить компонент программы нельзя, так как другое ПО несовместимо с новой версией. В таком случае обновления приходится игнорировать.

Специалисты DDoS-Guard не рекомендуют отказываться от обновлений, так как неактуальные версии ПО зачастую имеют слабые места – их использование способно нанести значительный ущерб информационным системам и бизнесу в целом.

● Content Spoofing: используя эту уязвимость, хакеры могут подменить содержание страницы сайта. Пользователь будет думать, что взаимодействует с «настоящим» сайтом компании, а на самом деле стал жертвой атаки и передает свои данные злоумышленникам. Таким образом могут быть похищены данные банковских карт, персональные данные и другая важная для пользователя информация.

● Компрометация части email-адресов сотрудников: такое происходит, когда корпоративная почта используется сотрудниками для регистрации на сторонних ресурсах: соцсетях, форумах, интернет-магазинах и так далее. Как правило, вместе с корпоративной почтой для создания аккаунта сотрудники также используют и корпоративный пароль. Слабозащищенные сторонние ресурсы подвержены взломам и утечке данных, а хакеры активно эксплуатируют человеческую неосторожность и попадают с помощью полученных корпоративных данных в инфраструктуру компании-жертвы.

● Перехват данных: команда также выявила уязвимости, которые позволяли отслеживать всю логистику доставки продукции клиентам и читать переписку с логистическим подразделением. Эти данные злоумышленники могли использовать для отслеживания всех отправлений компании, конкурентной разведки, оценки объема продаж и любых неправомерных действий.

Что это значит для бизнеса

Выявленные в результате анализа защищенности информационных систем уязвимости представляли серьезный риск для бизнеса. Однако благодаря их своевременному обнаружению команда клиента получила возможность все исправить, опираясь на подробные рекомендации из отчета.

Обеспечение информационной безопасности напрямую связано с безопасностью самого бизнеса и активов компании. Поэтому, когда по итогам проведенного аудита клиент закрывает обнаруженные уязвимости и усиливает слабые места инфраструктуры, он повышает уровень безопасности компании в целом.

Вот что могли бы сделать хакеры, если бы найденные уязвимости оставались открытыми:

Похитить пользовательские данные.
Отслеживать логистику заказов и экономические показатели работы компании.
Получить доступ в корпоративные системы и, как следствие, доступ к конфиденциальной информации: клиентским базам данных, персональным данным сотрудников и клиентов, коммерческой тайне, переписке.
Внедрить в информационные системы вредоносное ПО, например, вирус-шифровальщик, что позволило бы требовать выкуп или безвозвратно уничтожить все данные компании. Как показывает практика, зачастую компании не получают свои данные в расшифрованном виде, даже заплатив выкуп, поскольку каждый контакт хакера с жертвой представляет собой риск быть обнаруженным, на который злоумышленники предпочитают не идти.
Вывести из строя корпоративные системы: чтобы понять, насколько это критично для бизнеса, можно представить работу в течение 2-3 недель без доступа к клиентской базе данных, сайту компании, электронной почте или файловому серверу.

Рассчитать приблизительный финансовый ущерб от подобных действий злоумышленников можно только в каждом индивидуальном случае. Однако любой бизнес может «примерить» данную ситуацию на себя, оценив трудозатраты на восстановление инфраструктуры и дни простоя. Можно учесть следующие показатели:

фонд оплаты труда отделов ИТ или ИБ, которые будут восстанавливать инфраструктуру в среднем 2-3 недели,
количество прибыли, которое в среднем генерирует сайт за это же время, либо стоимость разработки нового сайта и развертывания бизнес-инструментов (таких как 1С, почта, телефония, файловый сервер и тд).

Разумеется, в случае утечки данных клиентов бизнес ожидают серьезные репутационные потери, а также штрафы.

Обратная связь клиента: знать, а не догадываться

Иван Савельев (имя изменено в целях соблюдения NDA), директор по информационной безопасности клиента, сообщил, что анализ защищенности информационных систем DDoS-Guard позволил им «не догадываться, а знать»:

«Мы подозревали, что определенные уязвимости в системе существуют, но не знали, какие именно. Наши опасения подтвердились. В отчете специалисты подробно описали имеющиеся у нас проблемы и их возможные последствия. Мы получили веское обоснование, что пора принимать меры, и всю необходимую информацию, чтобы составить последовательный план действий».

Подробный отчет DDoS-Guard о результатах аудита также помог сотрудникам компании-заказчика согласовать выделение бюджета: «Как правило, понимание, что может пропасть вся база контрагентов, произойти утечка данных клиентов, появляется после инцидентов. А тут появился шанс сделать это заранее и защититься от рисков».

Также коллеги из команды ИБ клиента внесли предложение по развитию сервиса – дополнить услугу регулярным автоматизированным сканированием инфраструктуры заказчика. Это позволит получить представление о состоянии системы на текущий момент, а при необходимости провести более глубокую ручную проверку — просигнализирует об этом. Обратная связь клиента вдохновила отдел ИБ DDoS-Guard. В планах команды — расширение услуги: единоразовый комплексный анализ защищенности в сочетании с регулярным автоматизированным ре-сканированием периметра по принципу подписки.

erid: 2SDnjd2c1Xo

* Реклама, Рекламодатель ООО «ДДОС-ГВАРД», ИНН 9204005780