Cyber security для компании доставки
Безопасность данных, защита доверия
К нашей команде обратился один из крупнейших игроков в сфере гиговой экономики, который предоставляет онлайн-платформу для размещения заказов на транспортные услуги. Наш клиент стал жертвой атаки по электронной почте с требованием выкупа после того, как хакеры получили доступ и контроль над рядом конфиденциальных баз данных компании и угрожали скомпрометировать внешние сервисы и повредить данные. Нас попросили стать частью удаленной международной команды реагирования на инциденты, состоящей из различных экспертов по кибербезопасности с различным опытом и набором навыков со всего мира. ТРЕБОВАНИЯ КЛИЕНТА Вызов для нашей команды был многогранным: проведение экспертизы инцидентов на нескольких серверах для оценки ситуации в целом одновременное усиление безопасности организации для предотвращения компрометации активов компании
ЧТО БЫЛО СДЕЛАНО
ОСНОВНЫЕ ЭТАПЫ
В течение трех недель три команды, которые работали в 8-часовые смены, следовали единому плану с делегированными задачами и предоставляли обновления статуса инцидента в режиме реального времени для управления им. Для успешного решения инцидента мы выполнили несколько видов работ:
- Глубокий анализ инфраструктуры и критически важных активов клиента на предмет выявления признаков современных постоянных угроз и злонамеренных действий;
- Мониторинг инфраструктуры в режиме реального времени и обработка большого количества логов систем безопасности;
- Изоляция систем с целью сохранения и сбора доказательств, а также миграция всех критически важных систем клиента в облако для минимизации влияния на бизнес;
- Тестирование на проникновение основного приложения в активном режиме для выявления фактических и потенциальных точек входа;
ОСОБЕННОСТИ
В ходе расследования мы обнаружили как следы действий злоумышленников, так и многочисленные ошибки в конфигурации системы безопасности, которые могли привести к потенциальной компрометации. После проведения полномасштабной оценки компрометации инфраструктуры клиента мы подготовили подробный отчет и предоставили рекомендации по улучшению состояния киберустойчивости клиента.
Сценарий взлома WIFI:
- здесь сценарий сводится к созданию фальшивой точки доступа с поддельным кэптивным порталом, DoS-атаки на легитимную точку доступа и использования фальшивой точки для кражи учетных данных для входа в корпоративную сеть WPA.
РЕЗУЛЬТАТ
Благодаря скоординированному реагированию команды мы улучшили видимость произошедшего киберинцидента и позволили нашему клиенту управлять реагированием с большим контролем, большей эффективностью и сократить время между обнаружением и устранением угрозы. В ходе расследования мы обнаружили многочисленные критические неправильные конфигурации, которые могли быть использованы злоумышленниками в качестве точек входа. Мы укрепили систему, что позволило восстановить нормальную работу, и проинформировали нашего клиента о том, какие системы были скомпрометированы.
Все выводы были задокументированы с предложенными мерами по устранению пробелов в соответствии с лучшими практиками кибербезопасности.