Послуги кібербезпеки для електронної платіжної системи MERCEDES PAY - Kiss Software

MERCEDES PAY

Перевірка коду та тестування на проникнення для електронної платіжної системи
Cybersecurity Cybersecurity
Основна

Задача

MERCEDES PAY є частиною транснаціонального автомобілебудівного концерну Daimler AG, який надає фінансові послуги своїм клієнтам, а також всередині компанії.

Проект було реалізовано у 2018 році. Перед нами стояло завдання протестувати на безпеку додаток для платежів, який розробила компанія: зробити тест на проникнення, перевірити зовнішню безпеку та, отримавши вихідний код, перевірити його на наявність логічних помилок та вразливостей всередині коду.

Задача
ПРОЦЕС

Співпраця з PricewaterhouseCoopers

Над проектом працювало паралельно дві команди: наші спеціалісти та місцева команда з великої четвірки Pricewaterhouse Coopers.

Замовник хотів знайти всі можливі вразливості за допомогою двох паралельно працюючих команд.

Проект тривав близько трьох місяців. В результаті перевірки наша команда знайшла більше вразливостей, ніж Pricewaterhouse Coopers.

Також одним із наших завдань у цьому проекті було Open source intelligence, OSINT – збір інформації про клієнта з доступних ресурсів. Ми працювали за двома напрямками:

  • аналізували доступні ресурси (інтернет, соцмережі);

  • шукали інформацію про клієнта через ресурси, доступні лише фахівцям (дарк веб, зливи баз даних емейлів, паролів, тощо).

Співпраця з PricewaterhouseCoopers
РЕЗУЛЬТАТИ

Виявленні вразливості та процес розслідування

За результатами перевірки ми надали клієнту докладний звіт із тестування на проникнення та безпеку кодів. Звіт мав таку структуру: опис знайденої вразливості, де її знайдено і як це може вплинути на безпеку ресурсу чи програми, оцінка рівня загрози.

Рівень загрози визначається за кількома параметрами:

  • ймовірність походження вразливості

  • шкода, яку дана вразливість може завдати

  • частота повторення загрози

Будь-яку перевірку ми будуємо в кілька етапів. Знаходимо вразливості, робимо докладний звіт із рекомендаціями щодо покращення безпеки та усунення вразливостей. Після того, як клієнт впроваджує наші рекомендації, ми знову здійснюємо перевірку. У тестах на проникнення, ми використовуємо міжнародні стандарти, а також особисті напрацювання.

Також ми провели Open source intelligence. OSINT та частина нашого звіту складалися з того, що відомо про вразливість компанії в інтернеті.

Виявленні вразливості та процес розслідування

Інші пов'язані проекти

Цікаво?

Розкажіть нам трохи про Ваш проект.
Давайте почнемо займатися бізнесом!

Дайте нам знати про Ваш проект, зв'яжіться з нами в будь-який час!