ИТ-аудит технологических активов для e-commerce компании
- ИТ-инфраструктура
- ИБ
- DevOps
- Linux / Windows
- Hashicorp Vault
- Velero
- Ceph
- Kafka/RabbitMQ
- Ansible
- Terraform
- Terragrunt
- Redis
- Kubernetes
- Docker
- Jenkins
- Flux
- SonarCube
- Helmwave
- Postgresql
- Jenkins
- Gitlab-CI
- Argo CD
Индустрия e-commerce
У вас есть задача?
Давайте обсудим?
О клиенте
Компания является частью российского банка из топ-3. Бизнес специализируется на управлении производственными и непрофильными активами, оценке прямых инвестиций и проведении сложно структурированных сделок, таких как M&A и процесс банкротства. Заказчик имеет экспертизу в промышленных и инфраструктурных индустриях. В портфолио собрано более 100 успешно реализованных проектов, а в портфеле активов — 200 млрд рублей.
О продукте
Клиент оценивал риски, связанные с приобретением доли компании, которая развивает интернет-гипермаркет товаров для строительства и ремонта. В каталоге e-commerce организации представлено 14 700 брендов: от элитных до эконом класса. Ежемесячно платформу посещают более 31 млн пользователей. Но несмотря на высокий трафик и рост онлайн-продаж, заказчик хотел получить независимую оценку состояния ИТ-среды, чтобы оценить целесообразность заключения сделки.
Описание задачи
Основной целью для команды специалистов RedLab обозначили проведение ИТ-аудита. Было необходимо предоставить достоверные сведения о состоянии информационной системы организации и установить, соответствует ли объект инвестирования требованиям бизнеса, используемым цифровым технологиям и подходам к работе.
Ключевые задачи:
- Обследование ИТ-технологических аспектов целевого актива: оценка программного обеспечения и набора инструментов, проверка соответствия спецификациям, стандартам и договорным соглашениям.
- Выявление и анализ рисков платформы и ИТ-решений: определение текущего уровня защищенности и поиск возможных угроз безопасности в отношении ресурсов ИС.
- Предоставление рекомендаций по результатам аудита: оформление выводов в структурированной форме в отчете с ясным и понятным описанием каждого пункта.
Реализация
В ходе проекта специалисты RedLab оценили все аппаратные средства, программное обеспечение, внешние программы, базу данных управления конфигурацией, провели аудит документации и информационной безопасности. А также изучили:
- Подробно рассмотрели, в каких дата-центрах установлено оборудование, какие магистральные провайдеры подключены и как реализована сетевая связанность между оборудованием в различных ЦОДах.
- Осуществили проверку топологии и архитектуры программно-аппаратного комплекса, технологии резервирования критически важных узлов и соединений.
- Проанализировали установленный комплекс мер по защите от киберугроз, включая межсетевые экраны (firewalls), системы обнаружения вторжений (IDS — Intrusion Detection System)/IPS — Intrusion Prevention System), антивирусное ПО и системы мониторинга безопасности.
- Провели детальную оценку ландшафта вендоров, а именно — качество поставляемого программного обеспечения и оборудования.
- Изучили производительность архитектуры и проанализировали ее соответствие бизнес- целям компании.
- Оценили качество ИТ-инфраструктуры, включая внутренние разработки и решения аутсорсинговых команд.
- Проверили полноту, структурированность и актуальность документации.
- Рассмотрели доступность, производительность и безопасность ключевых служб.
- Исследовали функциональность приложений для эксплуатации в части мониторинга, управления и администрирования.
- Изучили интерфейсы и функциональность клиентского приложения, сайта компании и личного кабинета пользователей.
- Оценили производительность и удобство использования портала администратора системы.
Также эксперты RedLab выявили риски, связанные с кибератаками и сбоями в системе, и разработали перечень мероприятий по устранению угроз:
- Увидели, что пользовательский трафик поступает в систему через сервера компании, которые находятся вне юрисдикции РФ и могут подвергаться санкционному давлению. Указали, что необходим переход на российские DDOS средства защиты и перевод потока трафика на новых провайдеров.
- Заметили отсутствие планов BCP и DRP, что указывает на несистематизированный подход к обеспечению отказоустойчивости системы. В связи с чем появляется риск неоправданных вложений в проект. Соответственно, необходимо создать новые файлы в документацию и внедрить бизнес- и технологические процессы, реализующие BCP/DRP.
- Обнаружили отсутствие разграничения прав по отдельным субъектам доступа, что ведет к низкому управлению границами «поверхности атаки». Предложили выполнить ресертификацию всех открытых доступов по всем ИТ-сущностям инфраструктуры.
- Определили слабую фиксацию версий стороннего ПО и использования скриптов, скачанных из публичных источников. Это приводит к перехвату пользовательских данных и шифрованию внутренних баз данных. Порекомендовали использовать при сборках внутреннее хранилище пакетов и артефактов, а скрипты, загружаемые с публичных источников, поместить во внутренний git репозиторий с проверкой содержимого данных скриптов.
Результат
Переходите по ссылке, чтобы узнать об ИТ-аудите технологических активов больше.