Digital Security
Диджитал Секьюрити

Компания

Digital SecurityДиджитал Секьюрити
ПРОЕКТЫ (22) ПРОДУКТ (2) СТАТУСЫ (1)
ПАРТНЕРЫ (2) СМ. ТАКЖЕ (97) СУДЕБНЫЕ ДЕЛА (2)

КомпанияНазвание статусаСпециализации
РостелекомпартнерИнформационная безопасность
NGS Distribution (New Generation Security)дистрибьютор

Активы

+ Digital Security (Диджитал Секьюрити)

Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.

Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.

История

2024: «Солар» купил ИБ-аудитора Digital Security за сотни миллионов рублей

14 октября 2024 года стало известно о том, что российская группа компаний «Солар» (входит в структуры «Ростелекома»), специализирующаяся на решениях в области информационной безопасности, приобрела аудитора Digital Security. Условия сделки на указанную дату официально не раскрываются.

Как сообщает газета «Коммерсантъ», покупка позволит «собрать одну из крупнейших команд специалистов в области пентеста (аудита в сфере информбезопасности) в России», чтобы реализовать «масштабные проекты, в том числе разработку новых экосистемных решений». Процесс интеграции Digital Security в состав «Солар» на момент оформления сделки прорабатывается.

«Солар» приобрёл аудитора в области информационной безопасности Digital Security за несколько сотен миллионов рублей.

Старший инвестконсультант «Финама» Тимур Нигматуллин оценивает сумму сделки на основе балансовой стоимости в 170 млн рублей. С учетом финансовых показателей (прибыли и убытков) речь может идти о 100–180 млн рублей. А если учесть рыночное положение и ценность команды специалистов, стоимость актива может достигать 400 млн рублей, считает главный аналитик компании «РегБлок» Анна Авакимян.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы 6.3 т

На сайте Digital Security говорится, что с момента своего основания в 2003 году компания помогла улучшить защищенность информационных систем нескольких сотен клиентов, включая «Сбербанк», QIWI, Mail.Ru Group, Leroy Merlin, Tele2, SAP, «Газпромбанк», «ЮниКредитБанк», «Новые облачные технологии», «Пивоваренную компанию Балтика», СИБУР и «Металлоинвест». Своей задачей Digital Security ставит повышение защищенности информационных систем и стабильности бизнес-процессов.

«
Мы гордимся тем, что за годы своего существования собрали сильнейшую команду пентестеров и создали собственный исследовательский центр. Наши сотрудники постоянно развивают свои профессиональные навыки и остаются на передовой инноваций и технологий, — заявляет Digital Security.[1]
»

2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite

Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.

В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.

В 2016 г. публике было представлено 11 исследований, в том числе:

  • распознавание DGA доменов;
  • Control Flow Guard,
  • принцип работы и методы обхода на примере Adobe Flash Player,
  • безопасность железных дорог из открытых источников,
  • архитектура JETPLOW,
  • браузеры и app specific security mitigation,
  • Internet Explorer & Edge,
  • исследование безопасности SAP NetWeaver,
  • безопасность прошивок на примере подсистемы IntelManagement Engine,
  • Cisco Smart Install, возможности для пентестера,
  • безопасность Oracle EBS.

В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).

R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.

2011: Обнаружение критической уязвимости в ядре SAP ERP

В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[2]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.

"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".

Примечания