Мониторинг и реагирование на инциденты ИБ
Ликвидировали последствия атаки на крупную страховую компанию
Цель проекта
Расследование инцидента и подготовка рекомендаций по повышению уровня защищенности бизнеса
ситуация
Клиент — крупная российская страховая компания в сфере добровольного и обязательного страхования, представленная во всех регионах страны. Граждане могут получить услуги на портале компании или в мобильном приложении, в которых предусмотрена двухфакторная аутентификация через SMS-пароль.
При оплате счетов сотрудники компании увидели завышенные суммы за телефонию и начали искать причину. Внутренняя ИТ-команда зафиксировала произвольное направление SMS-паролей на те номера, абоненты которых не являются получателями страховых услуг.
Эксперты Центра мониторинга кибербезопасности непрерывно отслеживают события информационной безопасности в крупных компаниях, а также работают с расследованием инцидентов и разработкой рекомендаций для нивелирования рисков их последствий.
При оплате счетов сотрудники компании увидели завышенные суммы за телефонию и начали искать причину. Внутренняя ИТ-команда зафиксировала произвольное направление SMS-паролей на те номера, абоненты которых не являются получателями страховых услуг.
Почему К2 Кибербезопасность
При выборе подрядчика заказчика ориентировался на наличие квалифицированных специалистов в области проведения криминалистической экспертизы.Эксперты Центра мониторинга кибербезопасности непрерывно отслеживают события информационной безопасности в крупных компаниях, а также работают с расследованием инцидентов и разработкой рекомендаций для нивелирования рисков их последствий.
решение
Команда приступила к изучению инцидента. Для этого запросили у клиента логи со средств защиты, в первую очередь, с WAF.
После анализа следов компрометации не нашли, но заинтересовал сам способ работы протокола аутентификации. При авторизации на сайте и в приложении оба источника обращались к одному сервису. На сайте до получения кода второго фактора предполагалось прохождение CAPTCHA. Однако на мобильных устройствах дополнительная идентификация подлинности запроса не предусматривалась. Так было найден источник атаки.
В результате подробного изучения распознали сценарий атаки: злоумышленники использовали открытый протокол сервера SMS-рассылки для запуска массовой отправки сообщений на определенные номера — SMS-бомбер.
После анализа следов компрометации не нашли, но заинтересовал сам способ работы протокола аутентификации. При авторизации на сайте и в приложении оба источника обращались к одному сервису. На сайте до получения кода второго фактора предполагалось прохождение CAPTCHA. Однако на мобильных устройствах дополнительная идентификация подлинности запроса не предусматривалась. Так было найден источник атаки.
В результате подробного изучения распознали сценарий атаки: злоумышленники использовали открытый протокол сервера SMS-рассылки для запуска массовой отправки сообщений на определенные номера — SMS-бомбер.
результат
По итогам расследования инцидента клиент нивелировал убытки от последующего использования злоумышленниками сервера для SMS-рассылок, а также репутационные потери от упоминания имени компании в хакерских активностях. Все системы и оборудование компании работают в стандартном режиме с ожидаемой нагрузкой.
Далее команда К2 Кибербезопасность подготовила рекомендации для снижения вероятности возникновения кибератаки и повышения уровня безопасности сервера для SMS-рассылки. Так как функциональные особенности мобильного приложения привели к инциденту, рекомендовали провести анализ кода мобильного приложения и системы рассылки СМС-сообщений на наличие уязвимостей, эксплуатация которых злоумышленником может привести к новым кибератакам.
Для своевременного отслеживания событий и выявления кибератак на начальной стадии посоветовали организовать постоянный круглосуточный мониторинг ИТ-инфраструктуры компании с помощью SIEM-системы. Также рекомендовали клиенту внедрить инструменты для защиты бизнес-приложений и методы безопасной разработки (DevSecOps).
Разработанные рекомендации позволят страховой компании в будущем снизить риски получения неправомерного доступа к критичным серверам.
Далее команда К2 Кибербезопасность подготовила рекомендации для снижения вероятности возникновения кибератаки и повышения уровня безопасности сервера для SMS-рассылки. Так как функциональные особенности мобильного приложения привели к инциденту, рекомендовали провести анализ кода мобильного приложения и системы рассылки СМС-сообщений на наличие уязвимостей, эксплуатация которых злоумышленником может привести к новым кибератакам.
Для своевременного отслеживания событий и выявления кибератак на начальной стадии посоветовали организовать постоянный круглосуточный мониторинг ИТ-инфраструктуры компании с помощью SIEM-системы. Также рекомендовали клиенту внедрить инструменты для защиты бизнес-приложений и методы безопасной разработки (DevSecOps).
Разработанные рекомендации позволят страховой компании в будущем снизить риски получения неправомерного доступа к критичным серверам.
Решить
похожую задачу
похожую задачу
