Управління кібер- та інформаційними ризиками

Контекст

‍Послугу було замовлено фінтех-компанією, що надає рішення для верифікації особи та боротьби з шахрайством для понад 300 тисяч B2B-клієнтів у США та ЄС. Метою було проведення оцінки цифрових ризиків щодо обізнаності команди з питань безпеки та аналіз внутрішніх процесів.

Стратегія

‍Ми перевірили компанію на наявність технічних вразливостей, зокрема відкритих піддоменів та публічно доступних внутрішніх даних. Використовуючи методи HUMINT, фахівці Molfar провели тести із соціальної інженерії, видаючи себе за представників органів влади, щоб отримати конфіденційну інформацію від співробітників.

Результат

• Виявлено критичні слабкі місця у внутрішніх системах та конфігураціях мережі.
• Визначено конкретних співробітників, які порушили протоколи кібербезпеки під час симуляцій.
• Виявлено прогалини в обізнаності щодо фішингових загроз у межах всієї організації.

Вплив на бізнес

‍Клієнт використав отримані результати як документальну базу для оптимізації внутрішніх мереж та вдосконалення системи підготовки персоналу. Ці заходи дозволили безпосередньо запобігти потенційним витокам даних і посилили захист компанії від реальних кібератак.

Контекст

‍Компанія у сфері регуляторних технологій (RegTech), що надає рішення для автоматизації комплаєнсу та KYC фінансовим установам у Північній Америці та Західній Європі, прагнула отримати незалежну оцінку стану своєї внутрішньої безпеки. Оскільки компанія обробляє конфіденційні дані понад 200 тисяч інституційних користувачів, виявлення вразливостей раніше за зловмисників було критично важливим пріоритетом для бізнесу.

Стратегія

‍Molfar провів комплексну оцінку цифрових ризиків та людських вразливостей, поєднавши технічну розвідку на основі відкритих джерел із активними симуляціями соціальної інженерії (HUMINT). З технічного боку аналітики закартували відкриту інфраструктуру, включно з неправильно налаштованими піддоменами, публічно доступними внутрішніми кінцевими точками (endpoints) та ненавмисними витоками даних у цифровому сліді компанії. Паралельно фахівці Molfar провели контрольовані заходи із соціальної інженерії, видаючи себе за регуляторів, аудиторів та персонал ІТ-підтримки, щоб перевірити реакцію співробітників на маніпуляції та спроби вивідування облікових даних.

Результат

‍Оцінка виявила низку слабких місць як на технічному, так і на людському рівнях:

• Кілька внутрішніх піддоменів та тестових середовищ (staging) були публічно доступними, що відкривало дані про конфігурацію та API-точки, які могли бути використані під час цілеспрямованої атаки.
• Частина співробітників із різних відділів розкрила конфіденційні облікові дані або деталі внутрішніх процесів під час симуляції імітації представників влади, що свідчило про недостатні навички верифікації.
• Рівень обізнаності щодо фішингу був неоднорідним у різних командах: вищий рівень ризикованих реакцій спостерігався серед нетехнічного персоналу, який працює з клієнтськими даними та процесами онбордингу.

Результат

‍Отримані результати надали клієнту пріоритетну, засновану на доказах дорожню карту для усунення недоліків. Вразливості інфраструктури були виправлені шляхом цілеспрямованого переналаштування мережі, а результати соціальної інженерії лягли в основу оновленої програми навчання з кібербезпеки, зосередженої на найбільш ризикованих групах працівників. Аудит приніс вимірювану цінність, закривши прогалини до того, як вони могли бути використані в реальній атаці, що дозволило захистити як дані клієнтів, так і регуляторний статус компанії.

‍