Cyber security для компанії з доставки
Безпека даних, захист довіри
До нашої команди звернувся один з найбільших гравців у сфері гігової економіки, який надає онлайн-платформу для розміщення замовлень на транспортні послуги.Наш клієнт став жертвою атаки електронною поштою з вимогою викупу після того, як хакери отримали доступ і контроль над низкою конфіденційних баз даних компанії та погрожували скомпрометувати зовнішні сервіси і пошкодити дані.Нас попросили стати частиною віддаленої міжнародної команди реагування на інциденти, що складається з різних експертів з кібербезпеки з різним досвідом та набором навичок з усього світу.ВИМОГИ КЛІЄНТАВиклик для нашої команди був багатогранним:проведення експертизи інцидентів на декількох серверах для оцінки ситуації в цілому одночасне посилення безпеки організації для запобігання компрометації активів компанії
ЩО БУЛО ЗРОБЛЕНО
ОСНОВНІ ЕТАПИ
Протягом трьох тижнів три команди, які працювали у 8-годинні зміни, слідували єдиному плану з делегованими завданнями та надавали оновлення статусу інциденту в режимі реального часу для управління ним. Для успішного вирішення інциденту ми виконали кілька видів робіт:
- Глибокий аналіз інфраструктури та критично важливих активів клієнта на предмет виявлення ознак сучасних постійних загроз та зловмисних дій;
- Моніторинг інфраструктури в режимі реального часу та обробка великої кількості логів систем безпеки;
- Ізоляція систем з метою збереження та збору доказів, а також міграція всіх критично важливих систем клієнта в хмару для мінімізації впливу на бізнес;
- Тестування на проникнення основного додатку в активному режимі для виявлення фактичних та потенційних точок входу
ОСОБЛИВОСТІ
Під час розслідування ми виявили як сліди дій зловмисників, так і численні помилки в конфігурації системи безпеки, які могли призвести до потенційної компрометації. Після проведення повномасштабної оцінки компрометації інфраструктури клієнта ми підготували детальний звіт та надали рекомендації щодо покращення стану кіберстійкості клієнта.
Сценарій злому WIFI:
- тут сценарій зводиться до створення фальшивої точки доступу з підробленим кептивним порталом, DoS-атаки на легітимну точку доступу та використання фальшивої точки для крадіжки облікових даних для входу в корпоративну мережу WPA.
РЕЗУЛЬТАТ
Завдяки скоординованому реагуванню команди ми покращили видимість кіберінциденту, що стався, і дозволили нашому клієнту керувати реагуванням з більшим контролем, більшою ефективністю та скоротити час між виявленням та усуненням загрози. Під час розслідування ми виявили численні критичні неправильні конфігурації, які могли бути використані зловмисниками як точки входу. Ми зміцнили систему, що дозволило відновити нормальну роботу, і проінформували нашого клієнта про те, які системи були скомпрометовані. Усі висновки були задокументовані із за
пропонованими заходами щодо усунення прогалин відповідно до найкращих практик кібербезпеки.