Digital Security
Диджитал Секьюрити
Россия
Северо-Западный ФО РФ
Санкт-Петербург
195248, Свердловская ул., 60А
(812) 430-91-30
(812) 703-15-47
Топ-менеджеры:
Баранов Михаил
Содержание |
Вендор | Название статуса | Специализации |
---|---|---|
Ростелеком | партнер | информационная безопасность |
Активы
Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.
Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.
История
2024: «Солар» купил ИБ-аудитора Digital Security за сотни миллионов рублей
14 октября 2024 года стало известно о том, что российская группа компаний «Солар» (входит в структуры «Ростелекома»), специализирующаяся на решениях в области информационной безопасности, приобрела аудитора Digital Security. Условия сделки на указанную дату официально не раскрываются.
Как сообщает газета «Коммерсантъ», покупка позволит «собрать одну из крупнейших команд специалистов в области пентеста (аудита в сфере информбезопасности) в России», чтобы реализовать «масштабные проекты, в том числе разработку новых экосистемных решений». Процесс интеграции Digital Security в состав «Солар» на момент оформления сделки прорабатывается.
Старший инвестконсультант «Финама» Тимур Нигматуллин оценивает сумму сделки на основе балансовой стоимости в 170 млн рублей. С учетом финансовых показателей (прибыли и убытков) речь может идти о 100–180 млн рублей. А если учесть рыночное положение и ценность команды специалистов, стоимость актива может достигать 400 млн рублей, считает главный аналитик компании «РегБлок» Анна Авакимян.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
На сайте Digital Security говорится, что с момента своего основания в 2003 году компания помогла улучшить защищенность информационных систем нескольких сотен клиентов, включая «Сбербанк», QIWI, Mail.Ru Group, Leroy Merlin, Tele2, SAP, «Газпромбанк», «ЮниКредитБанк», «Новые облачные технологии», «Пивоваренную компанию Балтика», СИБУР и «Металлоинвест». Своей задачей Digital Security ставит повышение защищенности информационных систем и стабильности бизнес-процессов.
Мы гордимся тем, что за годы своего существования собрали сильнейшую команду пентестеров и создали собственный исследовательский центр. Наши сотрудники постоянно развивают свои профессиональные навыки и остаются на передовой инноваций и технологий, — заявляет Digital Security.[1] |
2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite
Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.
В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.
В 2016 г. публике было представлено 11 исследований, в том числе:
- распознавание DGA доменов;
- Control Flow Guard,
- принцип работы и методы обхода на примере Adobe Flash Player,
- безопасность железных дорог из открытых источников,
- архитектура JETPLOW,
- браузеры и app specific security mitigation,
- Internet Explorer & Edge,
- исследование безопасности SAP NetWeaver,
- безопасность прошивок на примере подсистемы IntelManagement Engine,
- Cisco Smart Install, возможности для пентестера,
- безопасность Oracle EBS.
В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).
R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.
2011: Обнаружение критической уязвимости в ядре SAP ERP
В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[2]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.
Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.
Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.
Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".
Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.
"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".