Заказчик уже обращался к нам с задачей аудита своего сайта, тогда мы обнаружили ряд критических уязвимостей и дали рекомендации по их исключению и повышению уровня управления инцидентами. Оценив результаты проверки веб-ресурса, клиент захотел, чтобы мы также провели аудит корпоративного портала Битрикс24.
Исходная ситуация
Клиент — крупный дистрибьютор строительных материалов с сетью собственных шоурумов. Для оптимизации управленческой деятельности у организации установлена коробочная версия CRM Битрикс24. Число пользователей системы превышает 500 человек.
Задачи, поставленные в проекте исследования безопасности
- Провести аудит безопасности крупного корпоративного портала Битрикс24;
- Распределить найденные уязвимости по уровню критичности и дать детальные рекомендации по их устранению.
Реализация
В целом Bitrix24 является надежной CRM, обладающей высоким уровнем защиты и широкими возможностями для бизнеса, однако некорректные настройки, использование устаревшего ПО или ошибки в предоставлении доступов делают систему открытой для внешнего взлома и компрометации.
В процессе проведения аудита были исследованы:
- Настройки Firewall;
- Информация об уязвимостях, находящаяся в открытых источниках;
- Данные систем безопасности, встроенных в CRM;
- Результаты сканирования портала специализированным ПО;
- Установленное программное обеспечение;
- Конфигурация и архитектура сервера.
Открытые к внешнему доступу порты и настройки Firewall
С порталом работают в основном штатные сотрудники компании, но в некоторых случаях могут быть созданы страницы, предназначенные для корпоративных клиентов и партнеров. Такие страницы, без ограничения к ним доступа, провоцируют угрозу безопасности конфиденциальной информации.
В случае с данным заказчиком был выявлен целый ряд подобных рисков и проблем. В частности, нашим инженерам удалось обнаружить особо важные файлы, доступные к скачиванию по прямой ссылке.
Требовалось срочное закрытие ряда технических портов от внешнего доступа, о чем мы незамедлительно уведомили клиента и включили эту информацию в итоговый отчет.
OSINT — оценка информации из открытых источников
Благодаря разведке по открытым источникам удалось выявить часть «узких мест» системы. Хочется отметить, что данные об уязвимостях уже хранились в открытом доступе, что являлось большой опасностью для бизнеса клиента. Злоумышленники могли легко использовать данную информацию для формирования успешного направления кибератаки.
Данные встроенных в CRM систем безопасности
Битрикс24 содержит ряд стандартных инструментов мониторинга за состоянием системы. Внутренние сканеры повышают уровень управления инцидентами и своевременно обеспечивают ИТ-специалистов компании важной информацией. В случае нашего клиента мониторинговые системы были отключены. Заказчику было рекомендовано включить и настроить внутренние аналитические системы Bitrix24.
Результаты сканирования портала специализированным ПО и изучение состояния портала инженером по информационной безопасности
Наши специалисты самостоятельно просканировали Битрикс24 на наличие ошибок и добавили на основе результата рекомендации в отчет.
Кроме данных, полученных в ходе автоматизированной проверки, при изучении портала удалось обнаружить особо критическую уязвимость — отсутствие HSTS.
Эта недоработка делает возможным подмену злоумышленниками изображений или же целых страниц портала.
Установленное программное обеспечение
Конфигурации программного обеспечения и версия операционной системы не соответствовали современным стандартам и являлись устаревшими. Использование старых версий ПО влечет за собой ряд рисков для бизнеса, среди которых как снижение производительности сервера, так и потеря или утечка чувствительных данных.
Помимо этого, обнаружены ошибки в настройках баз данных.
Для клиента составлен список рекомендаций по обновлению операционной системы, PHP, MySQL, а также по исправлению настроек БД.
Конфигурация сервера
С точки зрения серверных мощностей никаких нареканий не наблюдалось — даже учитывая большое количество пользователей и высокие нагрузки, система работала стабильно.
Проблематика заключалась в самой серверной архитектуре — отсутствовала система резервирования, а резервные копии данных хранились локально на том же сервере.
Подобное решение опасно потерей всей информации в случае выхода из строя используемой вычислительной машины. Серверные мощности клиент арендовал, следовательно, отключение сервера могло быть вызвано не только техническим, но и правовым инцидентом — невнимательность к срокам оплаты или их задержка вследствие технических работ на стороне банка могут привести к тому, что арендатор будет вынужден отключить сервер и стереть данные. Таким образом будет утеряна важнейшая корпоративная информация.
Отчет об аудите и проведение консультации для разработчиков клиента
По итогу проведения комплекса проверок мы всегда формируем подробный отчетный документ и проводим консультационную встречу с руководством и ИТ-специалистами компании.
В данном проекте мы столкнулись с сильным недопониманием серьезности выявленных уязвимостей — с некоторыми пунктами отчета разработчики клиента не соглашались вплоть до предоставления наглядного обоснования их критичности для бизнес-процессов предприятия.
Наши инженеры провели профессиональную защиту своих выводов по аудиту и предоставили клиенту отчетный документ с перечислением всех выявленных уязвимостей, дифференцированных по уровням критичности.
Результаты
- 1Благодаря реализованному аудиту, был выявлен ряд рисков и проблем в уровне безопасности конфиденциальной информации;
- 2Подготовленный итоговый отчет позволяет ИТ-подразделению клиента сформировать грамотный план исключения всех имеющихся «узких» мест в защищенности корпоративного портала Битрикс24.