Воскресенье, 24.11.2024
×
Бюджетные страсти. Как победить инфляцию. Украдут ли банковские депозиты. Экономика за 1001 секунду

Как защитить бизнес от хакеров-одиночек и массированных кибератак – подробный разбор

Аа +
+1 -0

Пентест дает актуальный слепок уровня вашей информационной безопасности и позволяет понять, что необходимо сделать для лучшей защиты.

Согласно данным ЦБ РФ в 2020 году хакеры совершили в 2 раза больше атак на банки, чем годом ранее.

Разнообразие типов атак, новые технологии, а также объединение хакеров в группы – все это увеличивает риск финансовых и репутационных потерь для любой кредитно-финансовой организации, независимо от ее размера и масштаба. И здесь не получится просто отсидеться и надеяться, что киберугрозы не затронут.

Как же защитить банк от киберпреступников?

Поможет комплексный подход. С одной стороны, необходимо использовать современные средства защиты информации, например, для мониторинга периметра организации или для обнаружения утечки данных. С другой стороны, важно провести комплекс технических мероприятий. Это могут быть проекты по анализу защищенности Wi-Fi-сетей, имитация DDoS-атак, анализ исходного кода критичных приложений и т.д.

Одним из лучших мероприятий по оценке защищенности организации является тестирование на проникновение (или пентест), которое дает актуальный слепок уровня вашей информационной безопасности.

Этой позиции придерживается и регулятор в лице ЦБ РФ, указывая на необходимость ежегодного проведения пентестов, а также в случае ввода в эксплуатацию новых ИТ сервисов и/или изменений ИТ-инфраструктуры. Это не просто правила хорошего тона, это, действительно, необходимая и лучшая практика.

Какую цель преследуют пентесты?

Тестирование на проникновение или пентест помогают оценить защищенность объекта и позволяют имитировать модели поведения/действий злоумышленника (хакера, инсайдера, гостя, сотрудника).

Как правило, проводят внешнее, внутреннее и социотехническое тестирование на проникновение:

Внешнее тестирование на проникновение – это имитация злоумышленника без знаний инфраструктуры. Главная цель - получение конфиденциальной информации на внешнем периметре, получение контроля (администрирования) сервисов внешней инфраструктуры и возможность проникновения во внутреннюю сеть банка.

Внутреннее тестирование на проникновение – это имитация злоумышленника без знаний внутренней инфраструктуры. Главная цель - получение привилегированного доступа и контроля над ИТ-инфраструктурой заказчика. Еще одной целью является оценка защищенности критически-важных бизнес-систем заказчика, а также возможность получения злоумышленником доступа к таким системам.

Социотехническое тестирование на проникновение. Главная цель - получение валидных учетных записей пользователей банка или запуск «тестового» программного обеспечения пользователем банка с дальнейшей возможностью проникновения во внутренний сегмент. Другой целью при проведении таких работ - является оценка осведомленности сотрудников банка в вопросах ИБ. Методами для проведения таких работ являются использование уязвимостей «психологии» людей – социальная инженерия.

Для достижения наилучших результатов вне зависимости от типа пентестов используются международные и отечественные практики. Например, используются методологии OSSTMM, OWASP Web Security Testing Guide, OWASP Mobile Security Testing Guide и экспертный подход.

На что обратить внимание?

При планировании тестирования на проникновение в первую очередь стоит обращать внимание на квалификацию команды, ее опыт и достижения.

Например, команда пентестеров компании «БСС-Безопасность» зарекомендовала себя профессионалами своего дела. Достаточно сказать, что они третий год подряд в первых строчках победителей турнира Positive Hack Days (2019 год – 1 место, 2020 год – 2 место, 2021 год – 1 место). Поэтому и закономерно, что у них 100% успешность выполненных проектов по тестированию на проникновение.

Кроме того, они обладают всеми необходимыми сертификатами для проведения таких работ.

Весенняя акция от «БСС-Безопасность»

Как известно, массовый переход на «удаленку» сопровождался очень серьезными изменениями и обновлением ИТ-инфраструктуры организаций. Многие компании и вовсе были не готовы, поэтому пришлось адаптировать имеющиеся решения для возможности удаленного подключения.

Для того, чтобы оценить уровень вашей текущей безопасности компания «БСС-Безопасность» предлагает особые условия на проведение тестирования на проникновение.

Мошенники не дремлют. Если пренебрежительно относиться к информационной безопасности организации, то шанс понести потери крайне высок. Чтобы этого не допустить – используйте современные средства защиты информации и проводите периодические тестирования на проникновение.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все корпоративные новости »
+1 -0
2042
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Бюджет, нефть, пенсии, инфляция, вклады и рубли Бюджет, нефть, пенсии, инфляция, вклады и рубли Экономика России дошла до точки. Пропаганда чайлдфри запрещена. Что происходит с нефтью. Как победить инфляцию. Что не так с индексацией пенсий. Украдут ли банковские депозиты и долларовые сбережения. Заговор «мировой элиты». Налоги на недвижимость меняются. Сливочное масло: цены и география. Фондовый рынок: отчеты эмитентов с 25 ноября по 1 декабря 2024 Фондовый рынок: отчеты эмитентов с 25 ноября по 1 декабря 2024 Крупнейшие эмитенты фондового рынка, публикующие отчеты на неделе 25 ноября – 1 декабря я 2024 года. Тимур Аитов: «Нас спасет «золотой» переводной рубль СЭВ» Тимур Аитов: «Нас спасет «золотой» переводной рубль СЭВ» Тема трансграничных платежей, а, точнее, их задержек, в центре внимания всех – и чиновников, и бизнесменов и даже граждан. Тем не менее, вопрос не решён, а СМИ сообщают о новых и новых задержках. Есть ли выход из ситуации? Об этом – разговор с финансовым экспертом Тимуром Аитовым, председателем комиссии по финансовой безопасности совета Торгово-промышленной палаты России,
Канал Finversia на YouTube

календарь эфиров Finversia-TV »