РБК Компании
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Черная пятница на РБК Компании: скидки до 100 000₽ и подарки
Забрать скидку
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Черная пятница на РБК Компании:
скидки до 100 000₽ и подарки
Забрать скидку
Главная RedLab 28 июня 2024

Как ИТ-аудит технологических активов для e-commerce выявил скрытые риски

Команда RedLab оценила все аппаратные средства, ПО, внешние программы, базу данных управления конфигурацией, провела аудит документации и ИБ
Как ИТ-аудит технологических активов для e-commerce выявил скрытые риски
Задача и причина

Задача:

Предоставить достоверные сведения о состоянии информационной системы организации и установить, соответствует ли объект инвестирования требованиям клиента, используемым цифровым технологиям и подходам к работе.

Причина:

Оценка рисков, связанных с приобретением доли компании, которая развивает интернет-гипермаркет товаров для строительства и ремонта.

О проекте

E-commerce платформа, которую ежемесячно посещают более 31 млн пользователей. Но несмотря на высокий трафик и рост онлайн-продаж, заказчик хотел получить независимую оценку состояния ИТ-среды, чтобы оценить целесообразность заключения сделки.

Ключевые задачи:

  • Обследование ИТ-технологических аспектов целевого актива: оценка программного обеспечения и набора инструментов, проверка соответствия спецификациям, стандартам и договорным соглашениям.
  • Выявление и анализ рисков платформы и ИТ-решений: определение текущего уровня защищенности и поиск возможных угроз безопасности в отношении ресурсов ИС.
  • Предоставление рекомендаций по результатам аудита: оформление выводов в структурированной форме в отчете с ясным и понятным описанием каждого пункта.

Реализация

В ходе проекта специалисты RedLab изучили:

Периметр IT DD в ИКТ-инфраструктуре клиента:

  • Подробно рассмотрели, в каких дата-центрах установлено оборудование, какие магистральные провайдеры подключены и как реализована сетевая связанность между оборудованием в различных ЦОДах.
  • Осуществили проверку топологии и архитектуры программно-аппаратного комплекса, технологии резервирования критически важных узлов и соединений.
  • Проанализировали установленный комплекс мер по защите от киберугроз, включая межсетевые экраны (firewalls), системы обнаружения вторжений (IDS — Intrusion Detection System)/IPS — Intrusion Prevention System), антивирусное ПО и системы мониторинга безопасности.
  • Провели детальную оценку ландшафта вендоров, а именно — качество поставляемого программного обеспечения и оборудования.

Периметр IT DD на сервисной платформе клиента:

  • Изучили производительность архитектуры и проанализировали ее соответствие бизнес- целям компании.
  • Оценили качество ИТ-инфраструктуры, включая внутренние разработки и решения аутсорсинговых команд.
  • Проверили полноту, структурированность и актуальность документации.
  • Рассмотрели доступность, производительность и безопасность ключевых служб.
  • Исследовали функциональность приложений для эксплуатации в части мониторинга, управления и администрирования.
  • Изучили интерфейсы и функциональность клиентского приложения, сайта компании и личного кабинета пользователей.
  • Оценили производительность и удобство использования портала администратора системы.

Также эксперты RedLab выявили риски, связанные с кибератаками и сбоями в системе, и разработали перечень мероприятий по устранению угроз:

  • Увидели, что пользовательский трафик поступает в систему через сервера компании, которые находятся вне юрисдикции РФ и могут подвергаться санкционному давлению. Указали, что необходим переход на российские DDOS средства защиты и перевод потока трафика на новых провайдеров.
  • Заметили отсутствие планов BCP и DRP, что указывает на несистематизированный подход к обеспечению отказоустойчивости системы. В связи с чем появляется риск неоправданных вложений в проект. Соответственно, необходимо создать новые файлы в документацию и внедрить бизнес- и технологические процессы, реализующие BCP/DRP.
  • Обнаружили отсутствие разграничения прав по отдельным субъектам доступа, что ведет к низкому управлению границами «поверхности атаки». Предложили выполнить ресертификацию всех открытых доступов по всем ИТ-сущностям инфраструктуры.
  • Определили слабую фиксацию версий стороннего ПО и использования скриптов, скачанных из публичных источников. Это приводит к перехвату пользовательских данных и шифрованию внутренних баз данных. Порекомендовали использовать при сборках внутреннее хранилище пакетов и артефактов, а скрипты, загружаемые с публичных источников, поместить во внутренний git репозиторий с проверкой содержимого данных скриптов.
Результат

За 2 месяца DevOps-команда RedLab определила сильные и слабые стороны ИТ-среды интернет-гипермаркета, выявила технологические риски и дала рекомендации по их устранению с указанием приоритетности, а также оценила уровень зрелости ИТ-процессов, чтобы клиент принял обоснованное решение по дальнейшим инвестициям в проект.

Последнее изменение: 28 июня 2024

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации20.03.2019
Уставной капитал20 000,00 ₽
Юридический адрес обл. Ульяновская, г.о. город Ульяновск, ул. Карла Либкнехта, д. 24/5а стр. 1, офис 44
ОГРН 1197325005680
ИНН / КПП 7325164903 732501001

Контакты

Социальные сети

ГлавноеЭкспертыДобавить
новость
КейсыМероприятия