Вторник, 16.08.2022
×
Рынки США и Европы. Золото может рвануть вверх. Отчеты Walmart, Home Depot, Disney / Петр Пушкарев

Как защитить бизнес от хакеров-одиночек и массированных кибератак – подробный разбор

+1 -0
Аа +

Пентест дает актуальный слепок уровня вашей информационной безопасности и позволяет понять, что необходимо сделать для лучшей защиты.

Согласно данным ЦБ РФ в 2020 году хакеры совершили в 2 раза больше атак на банки, чем годом ранее.

Разнообразие типов атак, новые технологии, а также объединение хакеров в группы – все это увеличивает риск финансовых и репутационных потерь для любой кредитно-финансовой организации, независимо от ее размера и масштаба. И здесь не получится просто отсидеться и надеяться, что киберугрозы не затронут.

Как же защитить банк от киберпреступников?

Поможет комплексный подход. С одной стороны, необходимо использовать современные средства защиты информации, например, для мониторинга периметра организации или для обнаружения утечки данных. С другой стороны, важно провести комплекс технических мероприятий. Это могут быть проекты по анализу защищенности Wi-Fi-сетей, имитация DDoS-атак, анализ исходного кода критичных приложений и т.д.

Одним из лучших мероприятий по оценке защищенности организации является тестирование на проникновение (или пентест), которое дает актуальный слепок уровня вашей информационной безопасности.

Этой позиции придерживается и регулятор в лице ЦБ РФ, указывая на необходимость ежегодного проведения пентестов, а также в случае ввода в эксплуатацию новых ИТ сервисов и/или изменений ИТ-инфраструктуры. Это не просто правила хорошего тона, это, действительно, необходимая и лучшая практика.

Какую цель преследуют пентесты?

Тестирование на проникновение или пентест помогают оценить защищенность объекта и позволяют имитировать модели поведения/действий злоумышленника (хакера, инсайдера, гостя, сотрудника).

Как правило, проводят внешнее, внутреннее и социотехническое тестирование на проникновение:

Внешнее тестирование на проникновение – это имитация злоумышленника без знаний инфраструктуры. Главная цель - получение конфиденциальной информации на внешнем периметре, получение контроля (администрирования) сервисов внешней инфраструктуры и возможность проникновения во внутреннюю сеть банка.

Внутреннее тестирование на проникновение – это имитация злоумышленника без знаний внутренней инфраструктуры. Главная цель - получение привилегированного доступа и контроля над ИТ-инфраструктурой заказчика. Еще одной целью является оценка защищенности критически-важных бизнес-систем заказчика, а также возможность получения злоумышленником доступа к таким системам.

Социотехническое тестирование на проникновение. Главная цель - получение валидных учетных записей пользователей банка или запуск «тестового» программного обеспечения пользователем банка с дальнейшей возможностью проникновения во внутренний сегмент. Другой целью при проведении таких работ - является оценка осведомленности сотрудников банка в вопросах ИБ. Методами для проведения таких работ являются использование уязвимостей «психологии» людей – социальная инженерия.

Для достижения наилучших результатов вне зависимости от типа пентестов используются международные и отечественные практики. Например, используются методологии OSSTMM, OWASP Web Security Testing Guide, OWASP Mobile Security Testing Guide и экспертный подход.

На что обратить внимание?

При планировании тестирования на проникновение в первую очередь стоит обращать внимание на квалификацию команды, ее опыт и достижения.

Например, команда пентестеров компании «БСС-Безопасность» зарекомендовала себя профессионалами своего дела. Достаточно сказать, что они третий год подряд в первых строчках победителей турнира Positive Hack Days (2019 год – 1 место, 2020 год – 2 место, 2021 год – 1 место). Поэтому и закономерно, что у них 100% успешность выполненных проектов по тестированию на проникновение.

Кроме того, они обладают всеми необходимыми сертификатами для проведения таких работ.

Весенняя акция от «БСС-Безопасность»

Как известно, массовый переход на «удаленку» сопровождался очень серьезными изменениями и обновлением ИТ-инфраструктуры организаций. Многие компании и вовсе были не готовы, поэтому пришлось адаптировать имеющиеся решения для возможности удаленного подключения.

Для того, чтобы оценить уровень вашей текущей безопасности компания «БСС-Безопасность» предлагает особые условия на проведение тестирования на проникновение.

Мошенники не дремлют. Если пренебрежительно относиться к информационной безопасности организации, то шанс понести потери крайне высок. Чтобы этого не допустить – используйте современные средства защиты информации и проводите периодические тестирования на проникновение.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все корпоративные новости »
  • Компании/персоны:
  • BSS
+1 -0
2006
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Мировой кризис, изъятие валюты и битва за ананасы Мировой кризис, изъятие валюты и битва за ананасы Экономические прогнозы Центробанка: возможны варианты. Новый мировой кризис и тема инфляции. Экономика России – как богатырь на развилке. Виды на урожай, снижение и повышение цен на продукты. Выплаты для пенсионеров и налоговые эксперименты: есть нюансы. Владение долларами – признак врага? Исламский банкинг начался «не для всех». American Airlines согласилась купить 20 сверхзвуковых самолетов у Boom Supersonic American Airlines согласилась купить 20 сверхзвуковых самолетов у Boom Supersonic American Airlines согласилась приобрести 20 сверхзвуковых самолетов "Overture" у Boom Supersonic, объявили компании во вторник. Сергей Минаев: «На рынке форекс созданы идеальные условия для инвестирования в эпоху санкций» Сергей Минаев: «На рынке форекс созданы идеальные условия для инвестирования в эпоху санкций» Сколько клиент форекс-дилера может заработать? Руководитель Центра исследования деловой и политической репутации Сергей Минаев уверен, что все зависит от опыта и аппетита к риску. Но при этом отмечает, что доход может существенно превышать как банковские вклады, так и, например, вложения в акции и облигации. Минаев рассказал, как депозиты клиентов форекс-дилеров защищены от ухода в минус, о том как легальные форекс-дилеры исполняют функции налогового агента, освобождая от самостоятельного подсчета суммы налогов клиентов, и где хранится капитал клиента в случае банкротства форекс-дилера.
Канал Finversia на YouTube

календарь эфиров Finversia-TV »

Новости »