Уязвимое киберпространство или что надо знать, чтобы правильно обезопаситься от киберугроз

12 Ноября 2019
Bankir.ru • Ноябрь • 2019
 
Виктор Гулевич - Директор департамента систем безопасности BSS
 

Все, что известно о трендах киберпреступности и о том, как не ошибиться с компанией-пентестером, действительно выявить все уязвимости и надежно защититься от кибератак.


«Ветер все сильней...» от волны киберпреступлений

Последние месяцы дали немало поводов еще и еще раз серьезно задуматься о кибербезопасности в банковской сфере. Массовые кражи данных клиентов в Сбербанке и Альфа-банке. Обнародование Банком России информации о 18 крупных утечках за первое полугодие 2019 года. Практически еженедельные сводки мировых информагентств о кибератаках. Анализ ежегодного отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). Активное обсуждение вопросов информационной безопасности на форуме инновационных финансовых технологий Finopolis 2019 в Сочи. Регулярно появляющаяся информация о новых способах хищения данных банковских клиентов. Все это свидетельствует об одном — проблема глобальная, ее опасность увеличивается, легкого решения нет, и пока что киберпреступники, к сожалению, как минимум на шаг впереди.

О том, как переломить ситуацию, сказано, решено и сделано немало, но прогресс невелик. И здесь есть одна фундаментальная причина, о которую, как о скалу, разбиваются все самые правильные решения. Это человеческий фактор. По большому счету он в любой сфере деятельности и отрасли экономики самый трудно регулируемый и непредсказуемый. Усталость, недостаточная квалификация, потеря внимания и настороженности вследствие рутинности процессов, в конце концов, социальная инженерия. Человек — самое слабое звено в деле обеспечения кибербезопасности. По данным ФинЦЕРТа в 2018 году наиболее популярным видом мошенничества стала именно социальная инженерия —97% случаев хищения денежных средств со счетов физлиц. По оценкам Сбербанка, 80% атак на банковских клиентов совершаются именно таким образом.


Физлица — лакомый кусок

За последний год, в целом, наметилась тенденция изменения направленности атак в сторону частных лиц. И это понятно. С одной стороны, атаки на физлица — социальная инженерия — зачастую не требуют глубокой технологической подготовки и технических знаний, профессионализма, серьезных временных и финансовых затрат. Зато позволяют с минимум издержек получать реальный результат. С другой стороны, инфраструктура корпоративного сектора становится все более сложной добычей для киберпреступников. И здесь работают два фактора. Извне жесткие требования к кибербезопасности выдвигают регуляторы и надзорные органы. Попробуй только не выполнить! Да и сами компании, осознавая реальность киберрисков, стремятся более ответственно относится к защите собственного инфопространства и своих ИТ-продуктов.

Совершенствуя защиту, компании проводят тестирование на проникновение, анализ защищенности, Red Team, используют другие способы обнаружения уязвимостей и слабых мест инфраструктуры. При этом не всегда даже такие способы позволяют адекватно оценить уровень информационной безопасности компании и принять правильные решения по ее защите и совершенствованию. Почему?


Не всякий пентест полезен

Традиционное тестирование на проникновение — это не очень сложный процесс так называемого снимка инфраструктуры в какой-то определенный короткий промежуток времени. При этом используются самые простые методы выявления уязвимостей и поиска известных эксплойтов к ним на сайтах типа exploit-db. com.

А теперь подробнее. Как проводится традиционный пентест? Приобретается автоматическое ПО, запускается в работу, и клиент получает результат. При этом автоматическое ПО выявляет не все критические уязвимости, не сопротивляется средствам защиты и не строит вектора атаки. А еще немало пентест-компаний не обладают достаточной экспертизой для написания собственных эксплойтов, как это часто делают продвинутые хакеры. Поэтому проведение обычного пентеста становится еще менее эффективным.

В реальности большинство копаний оказывает услуги по тестам на проникновение исходя из общей проектной практики. Выделяется определенное время и некий пентестер, который, к тому же, не всегда может являться сотрудником компании. А это значит, что вы пускаете к себе потенциального хакера, который помимо того, что окажет услуги низкого качества, сам может представлять угрозу, оставив закладки.

Разве можно удовлетвориться таким результатом? Компания получает иллюзию безопасности, и реально ставит себя под угрозу. Это, действительно, преступное легкомыслие.

Что же делать? Найти надежную компанию с профессиональной командой и гарантированно чистым бэкграундом. Легко сказать! Как не ошибиться, когда все пентест-компании говорят о себе именно так и никак иначе.


Чек-лист для проверки компании-пентестера

Вот вам проверенный лайфхак. Пять пунктов — это параметры деятельности компании-пентестера, которые помогут не ошибиться с выбором и принять правильное решение:

1. Для проведения тестов на проникновение в компании должны быть разработаны собственные подходы. Они обязаны сочетать лучшие мировые практики и полную ориентацию на финансовую отрасль со всеми ее уникальными особенностями и своей рисковой моделью. Во главу угла ставится сохранность денежных средств, конфиденциальной информации и персональных данных.

2. Специалисты компании должны применять как ручные, так и автоматические методы поиска уязвимостей, в том числе с использованием программного обеспечения собственной разработки.

3. Специалисты должны быть профессионалами, известными пентестерами, хорошо знакомыми с УК РФ. Это не должны быть бывшие черные хакеры, так называемые блечеры, так как в этой сфере бывших преступников не бывает.

4. Обязательно производится видеофиксация процесса пентеста. Видеозапись отдается заказчику. Это позволяет продемонстрировать выявление уязвимостей, и может служить базой для выставления в адрес компании-пентестера возможных претензий, если в ходе ее работы заказчик или привлеченные сторонние эксперты выявляют фрод.

5. И конечно, компания должна быть хорошо известна на банковском рынке, специализироваться на финансовых продуктах, иметь успешные кейсы и репутацию надежного партнера.

И последнее. Если у вас нет времени на анализ рынка пентестеров, но вы не хотите ошибиться, и стремитесь максимально профессионально и полно закрыть все уязвимости — приходите в BSS. Компания полностью соответствует пяти выдвинутым требованиям и уже 25 лет специализируется на предоставлении услуг самой требовательной из отраслей. Все продукты BSS разрабатываются с использованием подхода SDLC. Мы понимаем все связанные с нашей деятельностью риски и отвечаем за результат. Звоните-пишите: security@bssys. com, +7 (495) 785-0494.

Оригинал публикации

Подписаться | Все публикации