Работы проводились с учетом требований международных стандартов и руководств PCI DSS, OSSTMM и OWASP Testing Guide. Аудит проведен в два этапа, каждый из которых, в свою очередь, был разбит на стадии. В процессе тестирования использовались методы сетевой разведки на базе выбранной модели знаний, сбора данных о целевой инфраструктуре и средствах защиты, идентификации уязвимостей в автоматическом и ручном режиме, социотехнических тестирований.
Во время первого этапа на уязвимость атакам тестировалась локальная сеть Viasat. Проводя аудит защищенности, «Системный софт» собрал доступную публично информацию о компонентах сети, адресации, веб-приложениях и способах защиты. Кроме того, была проведена атака с использованием средств социальной инженерии: эксперты проанализировали информацию о целях возможных нападений, определили их возможные векторы, провели псевдофишинговую рассылку и отследили реакцию пользователей. Во время второго этапа был устроен пентест на сайт компании: тестирование защиты от DDoS-атак и проникновения во внутреннюю сеть через интернет-страницу.
«Сегодня вопрос информационной безопасности для телекома – один из ключевых. Громкие хакерские атаки на ТВ и интернет-ресурсы дают нам понять, что для защиты бизнеса мы должны, в первую очередь, защищать наших клиентов и, соответственно, транслируемый контент. Телеканалы Viasat доступны к просмотру десяткам миллионов абонентов, с таким масштабом необходимо уделять внимание информационной безопасности. Пентест, проведенный компанией “Системный софт” — реальная проверка ее эффективности. Он дал возможность оценить, насколько успешной или неуспешной может быть атака хакеров на нашу ИТ-инфраструктуру», — рассказал Виктор Маневич, ИТ директор Группы компаний Viasat.
Viasat — один из самых известных операторов кабельного и спутникового ТВ в России. Сегодня компания предоставляет россиянам доступ к 15 платным телеканалам с фильмами, сериалами, спортивными передачами, программами об истории и природе. Трансляции ведутся в разрешении до Full HD и со звуковым сопровождением Dolby Surround. На сайте компании также работает онлайн-кинотеатр, в котором зрители могут смотреть кино по подписке.
«В последние три года мы видим отчетливый тренд: готовность бизнеса привлекать внешних подрядчиков к проверке своих информационных систем на прочность. Для этого есть административные предпосылки: Банк России, например, уже обязал кредитные организации с 1 июля 2018 года проводить пентесты и аудит кибербезопасности. В других отраслях также наблюдается рост интереса к пентестам, однако причины для этого — исключительно рыночные. Это небольшой, но очень перспективный сегмент информационной безопасности: по разным оценкам, его годовой объем в России составляет от 500 млн до 1 млрд рублей в год. И, исходя из “низкой базы” и видимого всплеска интереса, можно прогнозировать среднегодовые темпы роста на уровне 30-35% в следующие 2-3 года», — отметил Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт».