+380996133328 [email protected]
ua
ua

Аудит безпеки AWS для рекрутингової платформи

Клієнт:
Міжнародна технологічна рекрутингова платформа
Галузь:
HR-Tech / Рекрутинг
Фокус:
Аудит безпеки хмарної інфраструктури на базі AWS
Основний виклик:
Ризик витоку даних з AWS-середовища та відповідність GDPR
Ринок:
Міжнародний
Надані послуги:
Оцінка безпеки хмарного середовища AWS (White-Box)
Ключові висновки
  • Час виявлення загроз скорочено до 20 хвилин.
  • Забезпечено повну відповідність вимогам GDPR.
  • Виявлено та усунено 19 вразливостей конфігурації.
  • Захищено дані 100 000 користувачів платформи.
  • Виключено ризик штрафів на суму до €20 млн.
    • 100000
    користувачів
    19
    вразливостей усунено
    3 тижні
    тривалість аудиту
    Аудит безпеки AWS для рекрутингової платформи
    Бер. 3, 2026
    15 хв.
    Як за 3 тижні навести лад у безпеці AWS-інфраструктури та мінімізувати ризики витоку даних? Відповідь у цьому кейсі! Міжнародна рекрутингова компанія звернулася до Datami для оцінки безпеки хмарного середовища. Виявлено 19 вразливостей, усунення яких закрило ризик компрометації системи.

    Клієнт – міжнародна HR-Tech-компанія, яка працює на ринку Північної Америки та Європи. Вона розвиває технологічну платформу програматик-рекрутингу: автоматизує розміщення вакансій, оптимізує рекламні кампанії і надає B2B-рішення для бізнесу. 

    Платформа обробляє конфіденційні дані, має понад 100 000 користувачів і забезпечує доступ до понад 100 млн кандидатів. Робота з великими обсягами даних у межах регулювання GDPR робить питання кібербезпеки критично важливим.

    Завдання та виклики
    Рекрутингова компанія звернулася до Datami для проведення планового аудиту безпеки хмарного середовища AWS.
     
    Через відсутність системного моніторингу виникла необхідність оцінити ризики витоку персональних даних 100 000 користувачів та забезпечити повну відповідність міжнародним стандартам безпеки.
     
    • Провести комплексний аудит безпеки ресурсів в AWS (EC2, RDS, S3, Lambda).
    • Надати детальний звіт з оцінкою ризиків та рекомендаціями щодо їх усунення.
    • Перевірити відповідність хмарного середовища платформи вимогам GDPR.
    icon
    Аудит інфраструктури
    Перевірка всіх ресурсів на активних регіонах на відповідність стандартам безпеки
    icon
    Оцінка конфігурацій
    Пошук вразливостей у налаштуваннях хмари для запобігання несанкціонованому доступу.
    icon
    План оптимізації
    Розробка стратегії моніторингу та рекомендацій для запобігання supply chain атакам.
    МЕТОДОЛОГІЯ DATAMI ДЛЯ АУДИТУ ХМАРИ

    Наш підхід

    Для цього проєкту ми застосували White-Box формат Cloud Security Assessment. Комбінований підхід до аудиту поєднував глибокі ручні перевірки з автоматизованим аналізом за допомогою інструментів CloudTrail, AWS Security Hub та ScoutSuite.

    Наші фахівці детально дослідили конфігурації EC2-серверів, RDS, S3, IAM, Security Groups та інших ресурсів у всіх активних регіонах, оцінюючи стійкість архітектури до компрометації згідно зі стандартом CIS AWS Foundations Benchmark.

    White-box

    White-Box

    Метод перевірки з повним доступом до внутрішньої конфігурації системи, який дозволяє детально проаналізувати логіку налаштувань та прав доступу.
    Ключові етапи робіт та рішення

    Команда Datami налагодила тісну комунікацію з клієнтом – про критичні вразливості ми повідомляли негайно, що дозволило замовнику оперативно усувати їх ще до завершення аудиту.

    У процесі роботи переглянули систему моніторингу безпеки, провели аудит доцільності ресурсів і скоригували вразливі конфігурації, зокрема, підтвердили можливість обходу Security Groups через надмірні IAM-дозволи.

    • Підготовка
      Зібрали конфігурації та журнали, перевірили налаштування та узгодили периметр
    • Аудит безпеки
      Виконали автоматизовані й ручні перевірки узгоджених сервісів у середовищі AWS
    • Аналіз і звіт
      Пріоритезували ризики, підготували детальний звіт з планом ремедіації та рекомендаціями
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    Під час аудиту команда Datami виявила 19 вразливостей (2 критичні, 3 високі, 8 середніх і 6 низьких) і надала детальний план їх усунення. Критичні вразливості були виправлені протягом 24 годин після виявлення.

    Ключові знахідки аудиту:

    • надмірні права доступу через Wildcard (*) у політиках IAM, що могли призвести до несанкціонованого доступу до EC2;
    • вразливі правила брандмауера Security Groups;
    • ризик supply chain атаки через підрядника з порушеннями безпеки;
    • хибні сповіщення AWS CloudWatch, які маскували реальну підозрілу активність.

    Після впровадження рекомендацій рівень захисту інфраструктури технологічної платформи було суттєво підвищено:

    • усунено надмірні IAM-дозволи та некоректні правила доступу;
    • зменшено поверхню атаки хмарної інфраструктури;
    • скорочено середній час виявлення загроз до 20 хвилин;
    • мінімізовано ризик потенційних штрафів до €20 млн відповідно до GDPR.

    Клієнту рекомендовано проводити регулярні аудити безпеки – за графіком або після впровадження нового функціоналу.

    Ключові результати проєкту

    Проєкт було завершено достроково – за 80% від запланованого терміну. Наявні процеси безпеки було покращено. Клієнт задоволений фінальним звітом і не потребував додаткових консультацій щодо його змісту.

    Сьогодні впевненість у безпеці – це запорука масштабування бізнесу без страху перед регуляторними штрафами та репутаційними втратами. Цей кейс продемонстрував, що навіть автоматизована хмарна інфраструктура потребує регулярного експертного аудиту.

    Показник
    До аудиту
    Після проєкту
    Рівень ризику
    Підвищений
    Низький
    Відповідність
    Ризик порушення вимог GDPR
    Підвищено відповідність вимогам безпеки
    Вразливості
    Неоцінені
    19 усунено (2 критичних, 3 високих, 8 середніх, 6 низьких)
    IAM-доступи
    Надмірні права
    Права мінімізовано, політики посилено
    Мережеві правила
    Вразлива конфігурація
    Виправлено, поверхню атаки зменшено
    Моніторинг
    Недостатній
    Посилено, виявлення загроз за 20 хв
    Терміни
    3 тижні
    Виконано за 80% терміну
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Аудит політик безпеки для фінтех-компанії
    Аудит політик безпеки для фінтех-компанії
    • Перевірено та оцінено 7 ключових політик кібербезпеки
    • Узгоджено регламенти з ISO 27001, DORA, GDPR та NBG
    Послуги:
    аудит політик безпеки та відповідності
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie