Cyber security для компании доставки

Услуги по доставке и транспортировке

Локация США

Отрасль Услуги по доставке и транспортировке

технологии

Решения

Мобильные приложения

Сроки

3 месяца
полностью завершен

Безопасность данных, защита доверия

К нашей команде обратился один из крупнейших игроков в сфере гиговой экономики, который предоставляет онлайн-платформу для размещения заказов на транспортные услуги.

Наш клиент стал жертвой атаки по электронной почте с требованием выкупа после того, как хакеры получили доступ и контроль над рядом конфиденциальных баз данных компании и угрожали скомпрометировать внешние сервисы и повредить данные.

Нас попросили стать частью удаленной международной команды реагирования на инциденты, состоящей из различных экспертов по кибербезопасности с различным опытом и набором навыков со всего мира.

ТРЕБОВАНИЯ КЛИЕНТА

Вызов для нашей команды был многогранным:

проведение экспертизы инцидентов на нескольких серверах для оценки ситуации в целом
одновременное усиление безопасности организации для предотвращения компрометации активов компании

ЧТО БЫЛО СДЕЛАНО

ОСНОВНЫЕ ЭТАПЫ

В течение трех недель три команды, которые работали в 8-часовые смены, следовали единому плану с делегированными задачами и предоставляли обновления статуса инцидента в режиме реального времени для управления им. Для успешного решения инцидента мы выполнили несколько видов работ:

Глубокий анализ инфраструктуры и критически важных активов клиента на предмет выявления признаков современных постоянных угроз и злонамеренных действий;
Мониторинг инфраструктуры в режиме реального времени и обработка большого количества логов систем безопасности;
Изоляция систем с целью сохранения и сбора доказательств, а также миграция всех критически важных систем клиента в облако для минимизации влияния на бизнес;
Тестирование на проникновение основного приложения в активном режиме для выявления фактических и потенциальных точек входа;

ОСОБЕННОСТИ

В ходе расследования мы обнаружили как следы действий злоумышленников, так и многочисленные ошибки в конфигурации системы безопасности, которые могли привести к потенциальной компрометации. После проведения полномасштабной оценки компрометации инфраструктуры клиента мы подготовили подробный отчет и предоставили рекомендации по улучшению состояния киберустойчивости клиента.

Сценарий взлома WIFI:

здесь сценарий сводится к созданию фальшивой точки доступа с поддельным кэптивным порталом, DoS-атаки на легитимную точку доступа и использования фальшивой точки для кражи учетных данных для входа в корпоративную сеть WPA.

РЕЗУЛЬТАТ

Благодаря скоординированному реагированию команды мы улучшили видимость произошедшего киберинцидента и позволили нашему клиенту управлять реагированием с большим контролем, большей эффективностью и сократить время между обнаружением и устранением угрозы. В ходе расследования мы обнаружили многочисленные критические неправильные конфигурации, которые могли быть использованы злоумышленниками в качестве точек входа. Мы укрепили систему, что позволило восстановить нормальную работу, и проинформировали нашего клиента о том, какие системы были скомпрометированы.

Все выводы были задокументированы с предложенными мерами по устранению пробелов в соответствии с лучшими практиками кибербезопасности.