PL EN
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Zobacz nadchodzące webinary:

    Brak wyników

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Testy penetracyjne w praktyce

Dziury w bezpieczeństwie IT

Udostępnij
Drukuj:
Laikowi cyberataki ciągle kojarzą się z amerykańskimi filmami akcji. Ale dla administratorów infrastruktury IT w firmach od dawna stanowią rzeczywistość, a nawet codzienność. Na włamania narażeni są nie tylko biznesowi giganci. Ostatnio także mniejsze firmy stały się łakomym kąskiem dla hakerów. Dbanie o bezpieczeństwo IT i weryfikowanie zabezpieczeń – na przykład poprzez testy penetracyjne – to podstawa. Już wyeliminowanie kilku najsłabszych ogniw w łańcuchu bezpieczeństwa IT pozwoli uszczelnić infrastrukturę, by nie stać się łatwym celem ataków.
 

Przeprowadzając audyty bezpieczeństwa systemów IT, które polegają między innymi na wykonywaniu testów penetracyjnych u naszych klientów, wielokrotnie napotykamy na podobne do siebie przypadki wykrytych luk i zagrożeń w różnych firmach. Czasami są to niebezpieczeństwa, które pozornie mogą sprawiać wrażenie mniejszego ryzyka, takie jak na przykład źle skonfigurowane serwery DNS, standardowe hasła do zarządzania urządzeniami przez protokół SNMP (także wystawionymi do Internetu) czy słabo zabezpieczona centralka VoIP. W wielu wypadkach spotyka się także brak segregacji sieci wewnętrznej w połączeniu z łatwym kluczem do WiFi lub fizyczną możliwością podpięcia i co gorsza – dostępnymi urządzeniami zarządzającymi dla wszystkich podłączonych.

W przypadku stacji roboczych najczęstszym przykładem zaniedbania jest pomijanie uaktualnień systemu operacyjnego oraz oprogramowania. Bardzo ważna jest także legalność źródła, z którego uzyskujemy aplikacje i systemy. Tylko wtedy możemy mieć pewność, że rozwiązania nie zawierają ukrytego złośliwego kodu. W ostatnich miesiącach nawet tak duże korporacje jak np. Facebook nie ustrzegły się cyberataków. Powodzenie tych działań hakerów było spowodowane nie tylko odpowiednią socjotechniką, ale właśnie brakiem zainstalowanych najnowszych poprawek do takich komponentów jak Java czy oprogramowanie Adobe po stronie stacji roboczych.

Trywialne błędy w ochronie

Błędy w ochronie, które mogą wydawać się mało ważne – w wielu przypadkach stanowiły trzon przeprowadzonych testów penetracyjnych, które finalnie zakończyły się powodzeniem i przełamaniem zabezpieczeń. Bardzo często to właśnie luki, które wydają się nieistotne, są wspaniałym miejscem do dokonania ataku na zasoby danej instytucji, kończącego się powodzeniem.

Przykładem może być ciekawa historia z testów penetracyjnych, w której główną rolę odegrał film marketingowy. Zabezpieczenia firmy były bardzo dobre, jednak w tle nagrania marketingowego widoczny był monitor dewelopera. To wystarczyło , by pentester odczytał z niego wrażliwą ścieżkę i dokonał włamania. Ta – wręcz anegdotyczna – sytuacja pokazuje, jak nawet drobne szczegóły mogą zaważyć na bezpieczeństwie IT.

Innym przykładem z życia wziętym może być również sposób na uzyskanie dostępu do firmowej centralki telefonicznej VoIP. Zdobycie dostępu do konsoli zarządzającej nie wystarczyło na przykład na przełamanie zabezpieczeń sieciowych, za to atakujący mógł sobie „przypisać” numer wewnętrzy tej instytucji i wykonać z takiego numeru połączenie. Odbierający telefon administrator IT widzi na swoim wyświetlaczu numer wewnętrzny, jest więc przekonany, że dzwoni pracownik firmy. W takim wypadku bez podejrzeń udziela informacji lub na życzenie osoby udającej „kolegę z pracy” na przykład zmienia hasło do któregoś z kont domenowych.

Zabezpieczenia infrastruktury IT

Oprócz zagrożeń, które pozornie niosą za sobą niewielkie ryzyko – bardzo często podczas wykonywania testów penetracyjnych dla klientów napotykamy na niedopuszczalne błędy w zabezpieczeniach infrastruktury IT, które mogą skutkować ogromnym ryzykiem biznesowym. Wręcz szkolnym błędem jest stosowanie trywialnych danych logowania do systemów. W skrajnym przypadku, z którym się zetknąłem, dostęp do produktywnej bazy z danymi HR kilkuset pracowników firmy (oczywiście z możliwością podłączenia się do bazy z sieci dla gości!) był zabezpieczony następująco: nazwa użytkownika: „baza”, hasło… „baza”.

Niejednokrotnie spotykamy się ze standardowymi danymi logowania do urządzeń sieciowych. Dzięki takim danym atakujący jest w stanie praktycznie zablokować możliwość pracy w danej jednostce, na przykład odcinając pracowników lub systemy od Internetu czy od siebie nawzajem, a tym samym spowodować kompletny paraliż w komunikacji. Jednak gdy urządzenie takie posiada dodatkowo np. skonfigurowane trasy routingu do jednej z instytucji rządowych – zagrożenia znacznie wzrasta, ponieważ poza ryzykiem przeprowadzenia cyberataków na te instytucje, z tytułu takiego niedopatrzenia organizacja może ponieść konsekwencje prawne wynikające z procedur, jakie obowiązują w przypadkach istnienia tak skonfigurowanych połączeń.

Serwery pocztowe

Częstym błędem po stronie systemów IT są źle skonfigurowane serwery pocztowe. Taka błędnie przygotowana do pracy maszyna to przykład, który może sprawiać wrażenie trywialnego niedopatrzenia o małym ryzyku, a w rzeczywistości jest sporą luką w zabezpieczeniach. Błąd w konfiguracji może na przykład skutkować możliwością wysyłania wiadomości e-mail bez autoryzacji w obrębie danej domeny (lub kilku domen), którą obsługuje serwer. Prawidłowe ustawienie serwerów powinno blokować taką możliwość.

Problem ten występuje bardzo często właśnie w przypadku serwerów pocztowych używanych do przekazywania korespondencji firmowej, co oczywiście stanowi bardzo wysokie zagrożenie dla danych. Dzięki takim trywialnym błędom haker może dokonać na przykład próby ataku socjotechnicznego lub phishingowego. Udaną próbę wysyłki testowej wiadomości przedstawiono na zrzucie ekranowym poniżej. Akurat w tym przypadku atakujący wiedział o testach i spodziewał się takiego ataku, ale często zdarza się nam uzyskać cenne dane oraz informacje od pracowników, którzy nieświadomie stają się ofiarami ataku.

Prosty przykład nieautoryzowanej wysyłki poczty wykonany z Internetu bez autoryzacji w obrębie firmowej domeny za pomocą zwykłego telnetu

Przykładowy spreparowany e-mail z linkiem do złośliwego kodu zaaplikowany w kodzie HTML, zachęcający do kliknięcia w niby-zdjęcie

Istnieje cały wachlarz sposobów na zachęcenie do kliknięcia w spreparowany link. Podobnie jak w przedstawionym przykładzie – może to być zamaskowany link do złośliwego kodu, który wygląda jak link do innego adresu, w tym przypadku Facebook. Innym stosowanym przez hakerów sposobem jest zarejestrowanie domeny podobnej do „prawdziwej” – na przykład bccc.com.pl czy 0net.pl. Wykorzystywane są także inne metody, na przykład DNS-spoofing.

Ataki ukierunkowane

Ostatnio zaobserwowane przykłady ataków cybernetycznych pokazują, iż tendencja zaczyna się nieco zmieniać. Obecnie coraz częściej ofiarą ataków padają małe oraz średnie firmy, które zatrudniają mniej niż 250 pracowników. Raport firmy Symantec donosi, że w 2012 r. aż o 42% wzrosła liczba ataków ukierunkowanych. Ukierunkowanych – czyli takich, których celem jest wykradzenie wrażliwych danych, takich jak np. własność intelektualna. Cyberprzestępcy zdali sobie sprawę, że łatwiej zaatakować mniejszą firmę, ponieważ często posiada słabsze zabezpieczenia niż duża, a „zysk” hakera z ataku zakończonego powodzeniem jest podobny.

Wystartowany „serwer” ze złośliwym kodem po stronie atakującego

Powyższe przykłady pokazują, że dbanie o bezpieczeństwo IT to nie tylko kwestia wysokich nakładów finansowych na nowoczesne zabezpieczenia techniczne. Często cyberataki są pochodną lekkomyślności, braku czujności, drobnych zaniedbań czy po prostu braku świadomości zagrożeń wśród pracowników firmy.

Próba włamania zakończona powodzeniem – otwarcie sesji na zaatakowanej stacji roboczej

Udany atak hakerów to zagrożenie utraty cennych danych, zniszczenia infrastruktury IT, a  także utraty zaufania klientów.  Bez względu na wielkość firmy wdrażanie zabezpieczeń oraz okresowe weryfikowanie bezpieczeństwa IT powinno być na stałe wpisane w zadania firmy.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:
#}

Formularz kontaktowy





    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    Napisz maila lub zadzwoń

    E-mail: office.pl@snpgroup.com
    Tel. 61 827 7000

    SNP Poland Sp. z o.o.

    Centrala:
    Złotniki, ul. Krzemowa 1
    62-002 Suchy Las k. Poznania

    Skontaktuj się z nami

    W czym możemy pomóc?
    Napisz do nas
    Wyślij email
    Zadzwoń





      1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
      2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
      3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
      4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
      5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
      6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
      7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

      Kontakt ogólny do firmy
      office.pl@snpgroup.com

      Pytania o produkty i usługi
      info.pl@snpgroup.com

      Pytania na temat pracy i staży
      kariera@snpgroup.com

      61 827 70 00

      Biuro jest czynne
      od poniedziałku do piątku
      w godz. 8:00 – 17:00