Від теорії до практики: як ми довели свою експертизу на реальному проєкті
Команда XRAY CyberSecurity з гордістю повідомляє про успішне завершення першого проєкту з тестування на проникнення в рамках Програми з кібердіагностики бізнесу.
Програма з кібердіагностики: ініціатива для українського бізнесу
Програма з кібердіагностики бізнесу, яка реалізується за сприяння Міністерства цифрової трансформації та за підтримки Проєкту USAID “Кібербезпека критично важливої інфраструктури України”, має на меті допомогти 500 українським компаніям отримати безоплатні послуги з діагностики цифрової інфраструктури.
“Сучасна війна триває не лише на полі бою, а й у кіберпросторі”, – наголосив Віцепрем’єр-міністр Михайло Федоров під час запуску програми.
Ця ініціатива особливо актуальна в умовах, коли українські підприємства стикаються з безпрецедентними кіберзагрозами внаслідок повномасштабної війни.
Перший успіх в програмі – наш. Реальні результати для реального бізнесу
Перший проєкт в рамках Програми, реалізований XRAY CyberSecurity, продемонстрував високу ефективність нашого підходу.
Ми виконали тест на проникнення для видавництва та сервісу онлайн-продажу книг “Наш Формат”: провели тестування, стимулювавши потенційні кібератаки на цифрову інфраструктуру компанії з метою отримання доступу до конфіденційних даних й ІТ-інфраструктури.
Було пропрацьовано ризики і з користувацького боку – покупців інтернет-магазину, і з боку бек-офісу – співробітників та адміністраторів.
“Наша компанія – продавець книжкової продукції в Україні. А закон цифрового бізнесу такий – що швидше розвивається компанія, то ймовірніше вона стикнеться з хакерськими атаками”, – розповідає Олег Хаврук, директор ІТ-відділу книжкового інтернет-магазину “Наш Формат”.
“Власник «Нашого формату» робить все, щоб дані клієнтів книжкового інтернет-магазину зберігалися безпечно і зловмисники не могли їм нашкодити. Ми вирішили підготуватися до подолання можливих атак, навіть якщо їх ніколи не буде”.
Результати роботи: що отримав клієнт
Детальний технічний звіт
Клієнт отримав детальний технічний звіт з повним описом тестованої інфраструктури та каталогом виявлених вразливостей, класифікованих за рівнем критичності. Документ включав докладний опис кожної вразливості з поясненням потенційного впливу на бізнес та покрокові сценарії експлуатації з відповідною технічною документацією.
Практичні рекомендації з пріоритизацією
Особливу увагу приділили практичним рекомендаціям з чіткою пріоритизацією заходів – від термінових дій для усунення критичних вразливостей до довгострокових стратегічних рекомендацій щодо розвитку системи кібербезпеки.
Освітня складова та звіт для керівника
Освітня складова включала пояснення використаних методів атак та рекомендації щодо підвищення обізнаності персоналу про кіберзагрози. Окрім того, клієнт отримав “Звіт для керівника”, що описує виявлення, поточний стан захисту та рекомендації бізнес мовою для ТОП-менеджерів компанії.
Відгук клієнта: швидко, якісно, професійно
Робота була проведена швидко та якісно – ефективно спрацювали як організатори програми, так і фахівці з кібердіагностики з компанії XRAY CyberSecurity”, – відзначає Олег Хаврук.
“За результатами співпраці ми отримали корисні фахові зауваження – XRAY CyberSecurity професійно підсвітили вразливі місця, що дає нам змогу покращити якість сервісів“.
Довгострокові результати після співпраці з XRAY CyberSecurity:
“Попри те, що співпраця з XRAY CyberSecurity завершилася, ми почали посилювати кібербезпеку в рамках адміністративних і технічних рішень. IT-відділ компанії нещодавно поглибив свою експертизу та займеться первинним захистом і впровадженням низки безпекових процедур”, – продовжує директор ІТ-відділу.
“Крім того, спільно з розробником сайту уже усуваємо потенційні загрози, виявлені під час пентесту, й плануємо проводити аудити «на проникнення» щонайменше раз на рік”.
Шлях до верифікації: професійність, підтверджена документально
Процес верифікації для участі в Програмі був надзвичайно ретельним і включав підготовку детальної Декларації спроможності з описом досвіду компанії, кваліфікації персоналу та наявних сертифікатів. XRAY CyberSecurity не лише продемонструвала наявність необхідних міжнародних сертифікатів (в т.ч. OSEP, OSCP+), але й надала докази успішного проведення численних тестів на проникнення, що були підтверджені зворотнім зв’язком попередніх клієнтів компанії та в результаті підтвердила можливість забезпечення високої якості послуг.
Тест на проникнення: мистецтво етичного хакінгу
Тест на проникнення – це контрольована симуляція кібератаки, яка дозволяє виявити вразливості в інформаційних системах до того, як ними скористаються реальні зловмисники. Це складний багатоетапний процес, який вимагає глибоких технічних знань та досвіду.
Методологія тестування XRAY CyberSecurity
Процес тестування починається з ретельної розвідки та збору інформації про цільову систему через відкриті джерела (OSINT). Наші експерти аналізують архітектуру системи та визначають потенційні вектори атак, що дозволяє максимально ефективно спланувати подальше тестування.
Наступний етап включає сканування мережі для виявлення активних хостів, відкритих портів та запущених сервісів. Команда використовує як автоматизовані інструменти, так і мануальні методи для детального аналізу кожного виявленого сервісу на предмет наявності вразливостей.
Найскладніший етап – експлуатація виявлених вразливостей, де наші етичні хакери намагаються використати знайдені слабкості для отримання несанкціонованого доступу до системи. Після отримання початкового доступу експерти досліджують можливості розширення привілеїв та латерального руху в мережі. Всі дії ретельно документуються для подальшого аналізу та підготовки детального звіту з описом виявлених вразливостей, використаних методів атак та рекомендацій щодо усунення проблем.
Чому тестування на проникнення критично важливе для українського бізнесу
Реалії кіберзагроз в умовах війни
російська агресія проти України не обмежується фізичними атаками – кіберпростір став додатковим фронтом бойових дій. Українські підприємства стикаються з цілеспрямованими атаками APT-груп, що працюють в інтересах ворожих спецслужб, хактивістськими кампаніями для дискредитації України, фінансово мотивованими атаками та атаками на критичну інфраструктуру, що можуть паралізувати роботу цілих галузей.
Статистика, що змушує замислитися
За результатами міжнародних досліджень, до 40 % керівників малого та середнього бізнесу у світі не мають затвердженого плану дій у разі кібератаки. В українських реаліях ця частка може бути ще вищою, з огляду на складну безпекову ситуацію, воєнний стан і обмежені ресурси.
Водночас середні витрати на відновлення після успішної кібератаки для компаній малого бізнесу становлять від $25 000 до $250 000, без урахування репутаційних збитків та довгострокових наслідків, таких як втрата клієнтів або зниження довіри.
XRAY CyberSecurity продовжує проводити тестування і для інших компаній в межах цієї програми з кібердіагностики бізнесу. Випереджайте кіберзагрози із нами!
