Компания Digital Security, специализирующаяся на анализе защищенности систем, сообщает краткие итоги работы своего исследовательского центра в 2014 году. Основное направление деятельности данного подразделения – поиск и анализ уязвимостей в информационных системах.
В 2014 году исследователи Digital Security обнаружили множественные уязвимости различной степени критичности в известных публичных сервисах. В частности, за прошедший год были найдены проблемы безопасности на таких популярных Web-ресурсах, как Twitter, Ebay, PayPal, Yahoo, CloudFlare, AT&T, Badoo, а также Wamba, Coin, Eclipse, Guerrillamail, Digital Ocean, Medium. В общей сложности была обнаружена 41 уязвимость.
В рамках сотрудничества с корпорацией SAP эксперты нашей компании отправили 56 сообщений о найденных проблемах безопасности SAP-систем, 17 из которых было закрыто вендором. В 2014 году 15% всех уведомлений об уязвимостях, полученных SAP от внешних аудиторов, поступило от команды исследователей Digital Security.
Экспертный отдел, специализирующийся на безопасности АСУ ТП, обнаружил 29 уязвимостей в компонентах промышленных систем. Всего было проанализировано 114 компонентов для 752 различных устройств, поддерживающих низкоуровневый протокол HART.
За прошедший год было подготовлено три масштабных исследования: «Безопасность мобильного банкинга: возможность реализации атаки MiTM (Man-in-The Middle, Человек посередине)», «Анализ безопасности абонентского оборудования телекоммуникационных сетей», «Компоненты DTM: тайные ключи к королевству АСУ ТП». Эти работы были опубликованы и вызвали серьезный резонанс в СМИ.
Кроме того, специалисты Digital Security вели исследования по ключевым направлениям: безопасность ERP-систем (уязвимости SAP, Oracle), безопасность антивирусного ПО (продукты с поддержкой технологии аппаратной виртуализации), безопасность АСУ ТП (наличие уязвимостей в ПО Endress&Hauser FieldCare), защищенность банковских систем (особенность атак на банк-клиенты).
Эксперты компании Digital Security совместно с клубом «Антидроп», куда входит более 500 банков, весной 2014 года выступили с инициативой своевременных оповещений в случае появления критичных уязвимостей (в том числе, представляющих опасность для банковских систем и клиентов финансовых организаций). В рамках данной кампании в течение года исследователи осуществляли информирование финансовых структур с детальными рекомендациями по устранению или минимизации рисков.
Результаты исследований, различные находки и описание методик аудита и анализа защищенности систем были представлены исследователями на ведущих мероприятиях по ИБ, где они выступали в качестве приглашенных экспертов. В частности, доклады специалистов Digital Security можно было услышать как в России (в рамках более двух десятков профильных конференций), так и за рубежом (на S4, ICS Cyber Security Conference и BlackHat в США, Confidence в Польше, HITB и BlackHat Europe в Голландии, Hack in Paris во Франции, RSA в Сингапуре).
Комментирует Илья Медведовский, генеральный директор Digital Security: «Мы придаем огромное значение развитию нашего исследовательского центра, «мозга» нашей компании. Он был создан в 2007 году, и сегодня в его деятельности активно участвует уже более 20 экспертов. Центр ведет масштабные работы и глубокие научные исследования по нескольким направлениям: банк-клиенты, ERP-системы, АСУ ТП, телекоммуникационные системы и системы виртуализации, мобильные и веб-технологии. Мы осуществляем постоянный мониторинг и анализ информационных систем, что позволяет нам всегда быть на острие новейших технологий, предлагая нашим заказчикам по всему миру сервис высочайшего уровня. Я искренне горжусь всей нашей командой исследователей, которая привыкла постоянно решать сложнейшие и разнообразные задачи. На следующий год мы запланировали массу интересных исследований, с результатами которых, по многолетней традиции, мы будем знакомить специалистов по всему миру, выступая на различных технических конференциях».
