Fallstudie

Leroy Merlin

Zusammenarbeit mit dem Sicherheitsteam von, um Risiken entsprechend ihren Bedürfnissen zu priorisieren

Fallstudie herunterladen

Herausforderung

  1. Die Implementierung von Websites, mobilen Apps und digitalenZahlungsmethoden zur Unterstützung des E-Commerce führt zueiner Erweiterung der Angriffsflächen.
  2. Kunden, die online einkaufen, setzen sich dem Risiko aus, dassihre Finanzkonten, personenbezogenen Daten (PII) undZahlungskarteninformationen kompromittiert werden.
  3. Angriffe führen zu Umsatz- und Glaubwürdigkeitsverlusten für diebetroffenen Einzelhändler.

Lösung

  • Hadrians Attack Surface Management-Tools nutzten OpenSource-Datensammler und passive Datenquellen, um Assets zuidentifizieren, die Leroy Merlin zuvor unbekannt waren.
  • Asset-übergreifende Tests analysierten Assets über mehrereCloud-Sharing-Anbieter und Domains hinweg und liefertenInformationen darüber, wie diese miteinander verknüpft waren.
  • Fingerprinting technology contextualized assets by considering the language of the application, version and common vulnerabilitiesFingerprinting-Technologie kontextualisierte Assets, indem sieInformationen wie die Programmiersprache, Version und häufigeSchwachstellen berücksichtigte.
  • Die gesammelten Erkenntnisse wurden verwendet, umeinzigartige Angriffspfade zu entwickeln, die auf die Angriffsflächevon Leroy Merlin zugeschnitten sind.
  • Hadrian arbeitete mit dem Sicherheitsteam von Leroy Merlinzusammen, um Risiken in Übereinstimmung mit ihrenBedürfnissen zu priorisieren.

Ergebnis

Entdeckung vergessener Assets

Hadrian setzte Asset-Discovery-Tools mit dem ausdrücklichen Ziel ein,unbekannte Assets zu identifizieren. Im Fall von Leroy Merlin nutzteHadrian Vorkenntnisse über die Sicherheit im E-Commerce, um Toolseinzusetzen, die gezielt auf Bereiche abzielten, in denen sichhöchstwahrscheinlich vergessene Assets befinden.

Zum Beispiel lassen Anwendungsentwickler in der E-Commerce-Brancheoft versehentlich Administrationsseiten verfügbar, die Angreifern denZugriff auf sensible Verwaltungsfunktionen ermöglichen.

Hadrian nutzte diese Erkenntnis und setzte ein Hacking-Modul ein, dasdarauf ausgelegt ist, vergessene Administrationsverzeichnisse/-seiten zuidentifizieren.

{{quote-1}}

Entwicklung gezielter Tests zurIdentifizierung potenziellerDatenschutzverletzungen

Wenn ein vergessenes oder nicht überwachtes Assetidentifiziert wurde, nutzte Hadrian Open-Source-Informationenund seine eigene Logik, um relevante Angriffspfade zubestimmen. Gezielte Tests ermöglichten es Hadrian, dieSicherheit von Leroy Merlin zu überprüfen, ohne die ITInfrastruktur zu überlasten.

Im Fall der nicht überwachten Administrationsseite konnteHadrian den effektivsten Test bestimmen, indem der Kontext der Anwendung berücksichtigt wurde, insbesondere ihre Programmiersprache und ihr Framework. Hadrian führte einenTest durch, der häufig Risiken bei Assets mit ähnlichen Frameworks aufdeckte.

Der Test ergab Anmeldedaten für Datenbankpasswörter und die Google Cloud sowie Cookies, die sensibleBenutzerinformationen enthielten.

Event-basierte Technologie generiertkomplexe Angriffspfade

Hadrian wurde unter Verwendung von Event-gesteuerter (eventdriven) Technologie entwickelt. Event-gesteuertes Testen bedeutet, dass lange, komplizierte Angriffe in kleinere Komponenten zerlegtwerden, die in unterschiedlichen Sequenzen kombiniert werdenkönnen, was Flexibilität ermöglicht. Darüber hinaus lösen Erkenntnisse aus früheren Tests neue Module aus, was zu eineräußerst anpassungsfähigen Testmethodik führt. Die kleinerenKomponenten ermöglichen es Hadrian, sich an neue Erkenntnisse anzupassen.

Wenn Hadrian zum Beispiel die Cookies auf der Administrationsseiteentdeckt hat, hat es ein Hacking-Tool ausgelöst. Das Hacking-Toolnutzte die Cookies, um sich Zugang zu Konten zu verschaffen, diesensible Unternehmens- und Kundendaten enthielten.

Hadrian wird weiterhin Erkenntnisse sammeln und Tests als Reaktionauf Änderungen in der Angriffsfläche von Leroy Merlin durchführen.

Über

Leroy Merlin Italien ist eineTochtergesellschaft von Adeound hat seinen Sitz in Mailand,Italien. Als Einzelhändler fürHeimwerker- und Gartenbedarfbedient Leroy Merlin Länder inEuropa, Südamerika und Afrika.

9000+

Beschäftigte

€ 7.5Mrd

Jahresumsatz

{{quote-1}}

"
Hadrians Plattform identifiziert Schwachstellen detaillierter als andere vollautomatisierte Tools. Die von Hadrian bereitgestellten Erkenntnisse haben uns geholfen, die Härtung unserer Systeme zu verbessern. Ausgezeichnete Einblicke.
"
CISO
,
Leroy Merlin

{{quote-2}}

"
"
,

Kundengeschichten

Alle Fallstudien

Fallstudie

Wie SHV Energy die betriebliche Effizienz mit Hadrians kontinuierlichem Management der Bedrohungslage verbesserte

Wie SHV Energy die betriebliche Effizienz mit Hadrians kontinuierlichem Management der Bedrohungslage verbesserte

Fallstudie

Wie die London Business School Hadrians schnelle Risikoerkennung und Kontextualisierung nutzte

Wie die London Business School Hadrians schnelle Risikoerkennung und Kontextualisierung nutzte

Fallstudie

Stärkung der Cyber-Resilienz von Empowering: Eine DORA-konforme Reise zum proaktiven Bedrohungsmanagement

Stärkung der Cyber-Resilienz von Empowering: Eine DORA-konforme Reise zum proaktiven Bedrohungsmanagement

Beginnen Sie noch heute Ihre Reise

Erleben Sie schnelleres, einfacheres und unkompliziertes automatisiertes Penetration Testing in einer schnellen 20-minütigen Demo.

Demo buchen