Информационные технологии
Комплексный аудит безопасности периметра и BPaaS-платформы для ИТ-компании
Задачи
→ Обнаружить уязвимости во внешнем контуре и логике работы BPaaS-платформы, смоделировав реальные векторы атак.
→ Минимизировать риски утечки конфиденциальных данных и коммерческой тайны.
→ Обеспечить соответствие ИТ-архитектуры российским и международным стандартам информационной безопасности.
К нам обратилась российская ИТ-компания, развивающая собственную высоконагруженную BPaaS-платформу (Business Process as a Service). С ростом клиентской базы и усложнением сервисов компании потребовалось объективно оценить реальную защищенность своей внешней ИТ-инфраструктуры.
Главный запрос состоял в том, чтобы провести глубокий технический аудит, выявить критические уязвимости до того, как ими воспользуются хакеры, и получить пошаговую стратегию укрепления кибербезопасности.
Реализованное решение
Эксперты команды ХМ разделили проект на два взаимосвязанных этапа: автоматизированный анализ кода и прицельное ручное тестирование на проникновение (пентест).
Гибридный анализ кода (SAST/DAST)
Мы проверили исходный код и исполняемые файлы платформы двумя методами:
- SAST (статический анализ): поиск уязвимостей, закладок и ошибок в самой архитектуре кода без его запуска.
- DAST (динамический анализ): тестирование приложения в режиме реального времени. Мы имитировали внешние атаки на работающую платформу, чтобы проверить её устойчивость под нагрузкой и верифицировать закрытие старых брешей.
Тестирование на проникновение (Пентест)
Чтобы получить максимально объективную картину, мы использовали две механики:
- Метод «Серого ящика» (Gray Box): эмуляция действий легитимного пользователя или партнера, имеющего базовый доступ к веб-приложениям и личным кабинетам системы.
- Метод «Черного ящика» (Black Box): полная имитация действий внешнего злоумышленника, который изначально ничего не знает об ИТ-инфраструктуре компании.
Как проходил пентест «Черного ящика»:
- OSINT-разведка: сбор данных о целевых системах из открытых источников, анализ DNS, WHOIS и сетевой структуры компании для поиска потенциальных точек входа.
- Сканирование портов и сервисов: глубокий технический поиск скрытых директорий и уязвимых версий ПО с помощью профессионального инструментария (включая Nmap).
- Моделирование целевых атак: проверка веб-приложений на критические уязвимости из актуального списка OWASP Top 10 (SQL/OS-инъекции, межсайтовый скриптинг XSS, дефекты контроля доступа и некорректная обработка ошибок).
- Эскалация привилегий: попытки перехвата прав администратора на обнаруженных узлах для оценки масштаба возможного ущерба.
Результаты
→ Нашли и описали более 5 уязвимостей. Каждая брешь снабжена детальным сценарием возможной эксплуатации и оценкой её влияния на бизнес-процессы заказчика.
→ Закрыли «горящие» риски. Заказчику передан пакет быстрых технических рекомендаций по оперативному латанию дыр и усилению корпоративного периметра.
→ Дали ИТ-дирекции инструмент контроля. Мы разработали низкоуровневые (пошаговые) инструкции, с помощью которых внутренняя ИТ-команда клиента теперь может самостоятельно проводить регулярные сканирования сети.
→ Заложили фундамент безопасности. Сформирован план долгосрочной трансформации ИТ-инфраструктуры, который исключает появление подобных уязвимостей при обновлении BPaaS-платформы в будущем.
