Уязвимое киберпространство, или Что надо знать, чтобы правильно обезопаситься от киберугроз - «Финансы»

Все, что известно о трендах киберпреступности и о том, как не ошибиться с компанией-пентестером, действительно выявить все уязвимости и надежно защититься от кибератак.

«Ветер все сильней…» от волны киберпреступлений

Последние месяцы дали немало поводов еще и еще раз серьезно задуматься о кибербезопасности в банковской сфере. Сообщения о массовых кражах данных клиентов в Сбербанке и Альфа-Банке. Обнародование Банком России информации о 18 крупных утечках за первое полугодие 2019 года. Практически еженедельные сводки мировых информагентств о кибератаках. Анализ ежегодного отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Активное обсуждение вопросов информационной безопасности на форуме инновационных финансовых технологий Finopolis 2019 в Сочи. Регулярно появляющаяся информация о новых способах хищения данных банковских клиентов. Все это свидетельствует об одном: проблема глобальная, ее опасность увеличивается, легкого решения нет, и пока что киберпреступники, к сожалению, как минимум на шаг впереди.

О том, как переломить ситуацию, сказано, решено и сделано немало, но прогресс невелик

О том, как переломить ситуацию, сказано, решено и сделано немало, но прогресс невелик. И здесь есть одна фундаментальная причина, о которую, как о скалу, разбиваются все самые правильные решения. Это человеческий фактор. По большому счету он в любой сфере деятельности и отрасли экономики самый трудно регулируемый и непредсказуемый. Усталость, недостаточная квалификация, потеря внимания и настороженности вследствие рутинности процессов, в конце концов, социальная инженерия. Человек — самое слабое звено в деле обеспечения кибербезопасности. По данным ФинЦЕРТа, в 2018 году наиболее популярным видом мошенничества стала именно социальная инженерия — 97% случаев хищения денежных средств со счетов физлиц. По оценкам Сбербанка, 80% атак на банковских клиентов совершаются именно таким образом.

Физлица — лакомый кусок

Компании, осознавая реальность киберрисков, стремятся более ответственно относиться к защите собственного инфопространства и своих IT-продуктов

За последний год в целом наметилась тенденция к изменению направленности атак в сторону частных лиц. И это понятно. С одной стороны, атаки на физлиц — социальная инженерия — зачастую не требуют глубокой технологической подготовки и технических знаний, профессионализма, серьезных временных и финансовых затрат. Зато позволяют с минимумом издержек получать реальный результат. С другой стороны, инфраструктура корпоративного сектора становится все более сложной добычей для киберпреступников. И здесь работают два фактора. Извне жесткие требования к кибербезопасности выдвигают регуляторы и надзорные органы. Попробуй только не выполнить! Да и сами компании, осознавая реальность киберрисков, стремятся более ответственно относиться к защите собственного инфопространства и своих IT-продуктов.

Совершенствуя защиту, компании проводят тестирование на проникновение, анализ защищенности, Red Team, используют другие способы обнаружения уязвимостей и слабых мест инфраструктуры. При этом не всегда даже такие способы позволяют адекватно оценить уровень информационной безопасности компании и принять правильные решения по ее защите и совершенствованию. Почему?

Не всякий пентест полезен

Традиционное тестирование на проникновение — это не очень сложный процесс так называемого снимка инфраструктуры в какой-то определенный короткий промежуток времени. При этом используются самые простые методы выявления уязвимостей и поиска известных эксплойтов к ним на сайтах типа exploit-db.com.

А теперь подробнее. Как проводится традиционный пентест? Приобретается автоматическое ПО, запускается в работу, и клиент получает результат. При этом автоматическое ПО выявляет не все критические уязвимости, не сопротивляется средствам защиты и не строит вектора атаки. А еще немало пентест-компаний не обладают достаточной экспертизой для написания собственных эксплойтов, как это часто делают продвинутые хакеры. Поэтому проведение обычного пентеста становится еще менее эффективным.

Большинство компаний оказывают услуги по тестам на проникновение исходя из общей проектной практики

В реальности большинство компаний оказывают услуги по тестам на проникновение исходя из общей проектной практики. Выделяется определенное время и некий пентестер, который к тому же не всегда может являться сотрудником компании. А это значит, что вы пускаете к себе потенциального хакера, который помимо того, что окажет услуги низкого качества, сам может представлять угрозу, оставив закладки.

Разве можно удовлетвориться таким результатом? Компания получает иллюзию безопасности и реально ставит себя под угрозу. Это, действительно, преступное легкомыслие.

Что же делать? Найти надежную компанию с профессиональной командой и гарантированно чистым бэкграундом. Легко сказать! Как не ошибиться, когда все пентест-компании говорят о себе именно так, и никак иначе?

Чек-лист для проверки компании-пентестера

Вот вам проверенный лайфхак. Пять пунктов — это параметры деятельности компании-пентестера, которые помогут не ошибиться с выбором и принять правильное решение:

1. Для проведения тестов на проникновение в компании должны быть разработаны собственные подходы. Они обязаны сочетать лучшие мировые практики и полную ориентацию на финансовую отрасль со всеми ее уникальными особенностями и своей рисковой моделью. Во главу угла ставится сохранность денежных средств, конфиденциальной информации и персональных данных.
   
2. Специалисты компании должны применять как ручные, так и автоматические методы поиска уязвимостей, в том числе с использованием программного обеспечения собственной разработки.
   
3. Специалисты должны быть профессионалами, известными пентестерами, хорошо знакомыми с УК РФ. Это не должны быть бывшие черные хакеры, так называемые блечеры, так как в этой сфере бывших преступников не бывает.
   
4. Обязательно производится видеофиксация процесса пентеста. Видеозапись отдается заказчику. Это позволяет продемонстрировать выявление уязвимостей и может служить базой для выставления в адрес компании-пентестера возможных претензий, если в ходе ее работы заказчик или привлеченные сторонние эксперты выявляют фрод.
   
5. И конечно, компания должна быть хорошо известна на банковском рынке, специализироваться на финансовых продуктах, иметь успешные кейсы и репутацию надежного партнера.
   

И последнее. Если у вас нет времени на анализ рынка пентестеров, но вы не хотите ошибиться и стремитесь максимально профессионально и полно закрыть все уязвимости — приходите в BSS. Компания полностью соответствует пяти выдвинутым требованиям и уже 25 лет специализируется на предоставлении услуг самой требовательной из отраслей. Все продукты BSS разрабатываются с использованием подхода SDLC. Мы понимаем все связанные с нашей деятельностью риски и отвечаем за результат.

Звоните-пишите: security@bssys.com, +7 (495) 785-0494.