Digital Security
Диджитал Секьюрити

Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.

Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.

История

2024: «Солар» купил ИБ-аудитора Digital Security за сотни миллионов рублей

14 октября 2024 года стало известно о том, что российская группа компаний «Солар» (входит в структуры «Ростелекома»), специализирующаяся на решениях в области информационной безопасности, приобрела аудитора Digital Security. Условия сделки на указанную дату официально не раскрываются.

Как сообщает газета «Коммерсантъ», покупка позволит «собрать одну из крупнейших команд специалистов в области пентеста (аудита в сфере информбезопасности) в России», чтобы реализовать «масштабные проекты, в том числе разработку новых экосистемных решений». Процесс интеграции Digital Security в состав «Солар» на момент оформления сделки прорабатывается.

𝓲

Freepik.com

Старший инвестконсультант «Финама» Тимур Нигматуллин оценивает сумму сделки на основе балансовой стоимости в 170 млн рублей. С учетом финансовых показателей (прибыли и убытков) речь может идти о 100–180 млн рублей. А если учесть рыночное положение и ценность команды специалистов, стоимость актива может достигать 400 млн рублей, считает главный аналитик компании «РегБлок» Анна Авакимян.TAdviser выпустил новую Карту российского рынка информационной безопасности: 250 разработчиков и поставщиков услуг 38.4 т

На сайте Digital Security говорится, что с момента своего основания в 2003 году компания помогла улучшить защищенность информационных систем нескольких сотен клиентов, включая «Сбербанк», QIWI, Mail.Ru Group, Leroy Merlin, Tele2, SAP, «Газпромбанк», «ЮниКредитБанк», «Новые облачные технологии», «Пивоваренную компанию Балтика», СИБУР и «Металлоинвест». Своей задачей Digital Security ставит повышение защищенности информационных систем и стабильности бизнес-процессов.

Мы гордимся тем, что за годы своего существования собрали сильнейшую команду пентестеров и создали собственный исследовательский центр. Наши сотрудники постоянно развивают свои профессиональные навыки и остаются на передовой инноваций и технологий, — заявляет Digital Security.[1]

2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite

Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.

В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.

В 2016 г. публике было представлено 11 исследований, в том числе:

• распознавание DGA доменов;
• Control Flow Guard,
• принцип работы и методы обхода на примере Adobe Flash Player,
• безопасность железных дорог из открытых источников,
• архитектура JETPLOW,
• браузеры и app specific security mitigation,
• Internet Explorer & Edge,
• исследование безопасности SAP NetWeaver,
• безопасность прошивок на примере подсистемы IntelManagement Engine,
• Cisco Smart Install, возможности для пентестера,
• безопасность Oracle EBS.

В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).

R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.

2011: Обнаружение критической уязвимости в ядре SAP ERP

В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора^[2]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.

"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".

"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".

Примечания