Клиент
Клиентом Cyber Fort в этот раз стала платежная система международного уровня, штаб-квартира которой расположена в Нидерландах. Предлагает цифровые финансовые услуги, ориентированные на малый и средний бизнес:
- инвойсинг;
- мульти-банкинг;
- виртуальные карты и т. д.
У компании большая база клиентов, территориально находящихся в Германии, Италии, Франции и их список все время расширяется.
Задача
Онлайн-проект компании представляет собой приложение (SPA), в котором реализован личный кабинет (ЛК) пользователя, где хранится информация о нем разной степени критичности и важности:
- информация о номерах счетов;
- остаток на балансах;
- данные о банковских картах;
- история транзакций и др.
С помощью ЛК пользователь может управлять своими счетами: совершать переводы, принимать платежи и не только. Поэтому к ЛК предъявлены максимально высокие требования в плане защищенности.
Руководитель компании-клиента обратился к экспертам Cyber Fort для того, чтобы понять степень защищенности личного кабинета своего проекта. Для реализации задачи было принято решение провести пентест — тест на проникновение типа Black Box (базируется на максимальной приближенности к реальной хакерской атаке на корпоративную инфраструктуру и помогает предельно точно определить уровень стойкости системы ИБ (информационной безопасности) к взлому).
Сам представитель компании-клиента прокомментировал ситуацию следующим образом:
«В европейских странах к информационной безопасности относятся крайне серьезно, один из ярких примеров, соблюдение GDPR (Регламент по защите персональных данных в Евросоюзе). Мы также серьезно относимся к этим требованиям и стараемся всесторонне защищать свой продукт от злоумышленников. Хоть по сути наша компания — стартап, мы выстроили собственную инфраструктуру таким образом, чтобы она была максимально защищенной. Целью обращения в Cyber Fort была проверка нашей защищенности».
Решение
Выбор пентестера
По словам руководителя, при поиске специалистов для проведения проверки он ориентировался на рейтинг пентестеров в иностранных каталогах, сроки выполнения работы и цену услуг. Выбирал аутсорсинговую компанию крайне тщательно. В этом деле ему помогали сотрудники самой финансовой организации, которые прекрасно знакомы со всеми тонкостями своего продукта и решениями в информационной безопасности финансовых учреждений в общем. То есть они прекрасно понимали, как именно проводятся пентесты и что конкретно должен уметь делать аудитор. Однако среди европейских компаний представители компании-клиента не смогли выбрать подходящую компанию ввиду множества различных факторов, поэтому было решено продолжить поиск в России.
Руководитель компании-клиента отметил: «Мы отдали предпочтение Cyber Fort сразу по нескольким причинам. Среди основных: компания имеет отличную репутацию и предлагает услуги по оптимальной стоимости».
Подготовительные работы
Перед тем, как начать работу, эксперты Cyber Fort получили доступ к тестовым серверам финансовой компании, на которых уже было несколько заполненных аккаунтов с конфиденциальной информацией. В дальнейшем пентестеры получили доступ к production-серверам компании.
Разумеется, в Cyber Fort не могли не отметить некоторые организационные тонкости функционирования системы информационной безопасности своего клиента. В этом плане компания-клиент — одна из наиболее защищенных и имеет достаточно зрелые процессы по ИБ:
- для обеспечения конфиденциальности данных при работе с веб-приложением применяются лучшие современные решения;
- с клиентской стороны реализована двухфакторная аутентификация для входа в свой ЛК (прием SMS с кодом подтверждения и push-уведомление);
- получить доступ к корпоративной сети реально исключительно с помощью VPN;
- полную информацию об исходных кодах имеют лишь некоторые разработчики компании;
- все релизы приложения проходят через предварительное ревью — код проверяется на соответствие как требованиям бизнеса, так и безопасности;
- ни один из разработчиков не имеет ключа для доступа к production-серверам компании — получить эти ключи могут исключительно администраторы в защищенном хранилище.
Тестирование
Сам процесс тестирования был разделен на 3 этапа:
- Пентестеры выполнили рекогносцировку приложения компании.
- Была определена степень защищенности онлайн-проекта и выполнен предварительный анализ безопасности компонентов ИТ-инфраструктуры и ее настроек.
- Производилось моделирование хакерских атак разного типа, которые помогли бы найти все уязвимости и бреши в системе информационной безопасности, через которые злоумышленники в теории могли бы проникнуть в информационную систему компании. Для реализации этой задачи было задействовано специальное программное обеспечение, чаще всего используемое хакерами (Nmap, DirB, Sqlmap, Metasploit, Hydra и т. д.).
Результат
По итогам тестирования было выявлено лишь несколько незначительный уязвимостей, которые были быстро устранены со стороны клиента. В Cyber Fort отметили, что степень информационной защищенности у компании находится на крайне высоком уровне и в процессе проведения пентеста была обнаружена всего одна уязвимостьУязвимость — «с... → среднего уровня критичности — настройки Nginx-сервера позволяют отображать чувствительную служебную информацию.
Руководитель прокомментировал работу с экспертами Cyber Fort так:
«В общем, мы остались очень довольны работой. Эксперты Cyber Fort даже не мешали нам работать, им не потребовалась никакая дополнительная помощь. Буквально сразу они поняли, какой конкретно результат мы хотим получить».
По окончании работ Cyber Fort сформировали детальный отчет о проведенном пентесте. Он был успешно одобрен в европейской финансовой партнерской организации.
Планы на будущее
Эксперты из Cyber Fort и компании-клиента приняли решение не останавливаться на достигнутом и продолжить совместную работу. В планах на ближайшее будущее — проверка мобильных приложений финансовой компании. В этом случае также будет задействован пентест, но отличающийся анализом архитектуры программного обеспечения, проверкой безопасности кода, фаззингом, ручным тестирование API и другими важными моментами.