12.11.2019

Уязвимое киберпространство или что надо знать, чтобы правильно обезопаситься от киберугроз

Виктор Гулевич
Директор департамента систем безопасности BSS

Все, что известно о трендах киберпреступности и о том, как не ошибиться с компанией-пентестером, действительно выявить все уязвимости и надежно защититься от кибератак.


«Ветер все сильней...» от волны киберпреступлений

Последние месяцы дали немало поводов еще и еще раз серьезно задуматься о кибербезопасности в банковской сфере. Массовые кражи данных клиентов в Сбербанке и Альфа-банке. Обнародование Банком России информации о 18 крупных утечках за первое полугодие 2019 года. Практически еженедельные сводки мировых информагентств о кибератаках. Анализ ежегодного отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Активное обсуждение вопросов информационной безопасности на форуме инновационных финансовых технологий Finopolis 2019 в Сочи. Регулярно появляющаяся информация о новых способах хищения данных банковских клиентов. Все это свидетельствует об одном — проблема глобальная, ее опасность увеличивается, легкого решения нет, и пока что киберпреступники, к сожалению, как минимум на шаг впереди.

О том, как переломить ситуацию, сказано, решено и сделано немало, но прогресс невелик. И здесь есть одна фундаментальная причина, о которую, как о скалу, разбиваются все самые правильные решения. Это человеческий фактор. По большому счету он в любой сфере деятельности и отрасли экономики самый трудно регулируемый и непредсказуемый. Усталость, недостаточная квалификация, потеря внимания и настороженности вследствие рутинности процессов, в конце концов, социальная инженерия. Человек — самое слабое звено в деле обеспечения кибербезопасности. По данным ФинЦЕРТа в 2018 году наиболее популярным видом мошенничества стала именно социальная инженерия —97% случаев хищения денежных средств со счетов физлиц. По оценкам Сбербанка, 80% атак на банковских клиентов совершаются именно таким образом.


Физлица — лакомый кусок

За последний год, в целом, наметилась тенденция изменения направленности атак в сторону частных лиц. И это понятно. С одной стороны, атаки на физлица — социальная инженерия — зачастую не требуют глубокой технологической подготовки и технических знаний, профессионализма, серьезных временных и финансовых затрат. Зато позволяют с минимум издержек получать реальный результат. С другой стороны, инфраструктура корпоративного сектора становится все более сложной добычей для киберпреступников. И здесь работают два фактора. Извне жесткие требования к кибербезопасности выдвигают регуляторы и надзорные органы. Попробуй только не выполнить! Да и сами компании, осознавая реальность киберрисков, стремятся более ответственно относится к защите собственного инфопространства и своих ИТ-продуктов.

Совершенствуя защиту, компании проводят тестирование на проникновение, анализ защищенности, Red Team, используют другие способы обнаружения уязвимостей и слабых мест инфраструктуры. При этом не всегда даже такие способы позволяют адекватно оценить уровень информационной безопасности компании и принять правильные решения по ее защите и совершенствованию. Почему?


Не всякий пентест полезен

Традиционное тестирование на проникновение — это не очень сложный процесс так называемого снимка инфраструктуры в какой-то определенный короткий промежуток времени. При этом используются самые простые методы выявления уязвимостей и поиска известных эксплойтов к ним на сайтах типа exploit-db. com.

А теперь подробнее. Как проводится традиционный пентест? Приобретается автоматическое ПО, запускается в работу, и клиент получает результат. При этом автоматическое ПО выявляет не все критические уязвимости, не сопротивляется средствам защиты и не строит вектора атаки. А еще немало пентест-компаний не обладают достаточной экспертизой для написания собственных эксплойтов, как это часто делают продвинутые хакеры. Поэтому проведение обычного пентеста становится еще менее эффективным.

В реальности большинство копаний оказывает услуги по тестам на проникновение исходя из общей проектной практики. Выделяется определенное время и некий пентестер, который, к тому же, не всегда может являться сотрудником компании. А это значит, что вы пускаете к себе потенциального хакера, который помимо того, что окажет услуги низкого качества, сам может представлять угрозу, оставив закладки.

Разве можно удовлетвориться таким результатом? Компания получает иллюзию безопасности, и реально ставит себя под угрозу. Это, действительно, преступное легкомыслие.

Что же делать? Найти надежную компанию с профессиональной командой и гарантированно чистым бэкграундом. Легко сказать! Как не ошибиться, когда все пентест-компании говорят о себе именно так и никак иначе.


Чек-лист для проверки компании-пентестера

Вот вам проверенный лайфхак. Пять пунктов — это параметры деятельности компании-пентестера, которые помогут не ошибиться с выбором и принять правильное решение:

1. Для проведения тестов на проникновение в компании должны быть разработаны собственные подходы. Они обязаны сочетать лучшие мировые практики и полную ориентацию на финансовую отрасль со всеми ее уникальными особенностями и своей рисковой моделью. Во главу угла ставится сохранность денежных средств, конфиденциальной информации и персональных данных.

2. Специалисты компании должны применять как ручные, так и автоматические методы поиска уязвимостей, в том числе с использованием программного обеспечения собственной разработки.

3. Специалисты должны быть профессионалами, известными пентестерами, хорошо знакомыми с УК РФ. Это не должны быть бывшие черные хакеры, так называемые блечеры, так как в этой сфере бывших преступников не бывает.

4. Обязательно производится видеофиксация процесса пентеста. Видеозапись отдается заказчику. Это позволяет продемонстрировать выявление уязвимостей, и может служить базой для выставления в адрес компании-пентестера возможных претензий, если в ходе ее работы заказчик или привлеченные сторонние эксперты выявляют фрод.

5. И конечно, компания должна быть хорошо известна на банковском рынке, специализироваться на финансовых продуктах, иметь успешные кейсы и репутацию надежного партнера.

И последнее. Если у вас нет времени на анализ рынка пентестеров, но вы не хотите ошибиться, и стремитесь максимально профессионально и полно закрыть все уязвимости — приходите в BSS. Компания полностью соответствует пяти выдвинутым требованиям и уже 25 лет специализируется на предоставлении услуг самой требовательной из отраслей. Все продукты BSS разрабатываются с использованием подхода SDLC. Мы понимаем все связанные с нашей деятельностью риски и отвечаем за результат. Звоните-пишите: security@bssys. com, +7 (495) 785-0494.

Оригинал публикации

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Отправить резюме

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня

Общее согласие на обработку персональных данных

В порядке и на условиях, определенных Федеральным законом от 27.07.2006 No152-ФЗ, настоящим даю согласие BSS, расположенному по адресу: , на обработку (осуществление действий (операций), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), анализ, систематизацию, построение с использованием полученных данных математических моделей, сегментацию, сопоставление извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) с использованием средств автоматизации и/или без использования средств автоматизации моих персональных данных, указанных в настоящем Обращении, а также данных, полученных Компанияом от/находящихся в распоряжении третьих лиц и/или из общедоступных источников, в целях 1) на получение Компанияом необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом «О кредитных историях» No 218-Ф3 от 30.12.2004; 2) повышения качества обслуживания Компанияом клиентов; 3) предоставления информации лицам, уполномоченным (в силу закона, договора или любым иным законным образом) на проведение проверок и/или анализа деятельности Компанияа, а также на осуществление иных форм контроля за деятельностью Компанияа, для целей осуществления ими указанных функций; 4) продвижения продуктов и услуг Компанияа; 5) разработки, модификации и усовершенствования систем принятия решений, используемых в Компанияе.

Настоящим выражаю свое согласие с тем, что Компания вправе поручать обработку персональных данных третьим лицам, включая ООО «Мэйл.Ру», АО «НБКИ» для достижения вышеуказанных целей, а также с тем, что такие лица вправе обрабатывать персональные данные, в объеме, способами и в целях, указанных выше.