.PNG)
Пентест и анализ защищённости компании онлайн-ритейла
Тестирование на проникновение и анализ защищённости ИТ-инфраструктуры компании дистанционной торговли с десятками тысяч покупателей.
Задача
Компания занимается розничной дистанционной торговлей, доставляя товары тысячам покупателей из разных регионов. Выручка компании ежегодно растёт, число покупателей превышает десятки тысяч. В штате около 100 квалифицированных специалистов, многие работают удалённо.
Большой объём клиентских данных вынуждает особенно внимательно относиться к защите информации — любая утечка персональных данных может стоить очень дорого, а восстановить репутацию будет невероятно сложно. Хакеры и конкуренты охотятся за чужими данными, а за любую утечку регулятор штрафует бизнес, сумма штрафа может достигать нескольких миллионов рублей. Для компании важно было наметить стратегию информационной защиты с учётом уже существующих рисков и уязвимостей.
Решение
Решением стал комплексный анализ защищённости с тестированием на проникновение (пентестом) — имитацией хакерской атаки в целях выявления потенциальных уязвимостей. До старта проекта компания сформировала шорт-лист из 10 подрядчиков. Исполнителя выбирали по компетенциям, опыту, наличию благодарственных писем, форме отчётных документов, скорости реакции и мобильности — остановились на «КРЕДО-С».
Эксперты КРЕДО-С провели пентест нескольких видов: тестирование на проникновение и анализ уязвимостей внешнего периметра; тестирование и анализ уязвимостей веб-приложений; тестирование и анализ уязвимостей внутренней сети; тестирование и анализ уязвимостей беспроводной сети. По итогам сформирован объёмный отчёт с перечнем выявленных уязвимостей и рекомендациями по их устранению. Совместно с «КРЕДО-С» были устранены слабые места в системе ИБ, усилены меры защиты цифровых активов.
На финальном этапе эксперты провели повторное тестирование на проникновение с учётом принятых мер и сформировали свежий отчёт об уязвимостях.
Результаты
Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
Выявлены и устранены слабые места в системе информационной безопасности
Выполнено повторное тестирование с учётом принятых мер защиты — подтверждено закрытие критичных уязвимостей
Повышен уровень защищённости данных и ИТ-инфраструктуры
Отчёт финального этапа стал фундаментом для стратегии защиты от киберугроз
Результаты пентеста учтены при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117
Задействованные услуги
Другие проекты
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.
- Проверены все системы и цифровые сервисы на уязвимости
- Определены «слабые места» ИТ-инфраструктуры университета
- Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Пентест ИТ-инфраструктуры российского международного аэропорта
Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.
- Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
- В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
- Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Анализ защищённости ИС авиастроительной корпорации
Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с полувековой историей и штатом более 2 000 специалистов.
- Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и описанием рекомендуемых точек роста в системе ИБ
- Подготовлен Технический отчёт по оценке защищённости с подробными рекомендациями по устранению уязвимостей — полнота отчёта позволяет штатным специалистам самостоятельно устранить выявленные уязвимости
- Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации