Ежегодная
международная премия
в области экономики и финансов имени П.А. Столыпина

Как защитить бизнес от хакеров-одиночек и массированных кибератак – подробный разбор

Пентест дает актуальный слепок уровня вашей информационной безопасности и позволяет понять, что необходимо сделать для лучшей защиты.

Согласно данным ЦБ РФ в 2020 году хакеры совершили в 2 раза больше атак на банки, чем годом ранее.

Разнообразие типов атак, новые технологии, а также объединение хакеров в группы – все это увеличивает риск финансовых и репутационных потерь для любой кредитно-финансовой организации, независимо от ее размера и масштаба. И здесь не получится просто отсидеться и надеяться, что киберугрозы не затронут.

Как же защитить банк от киберпреступников?

Поможет комплексный подход. С одной стороны, необходимо использовать современные средства защиты информации, например, для мониторинга периметра организации или для обнаружения утечки данных. С другой стороны, важно провести комплекс технических мероприятий. Это могут быть проекты по анализу защищенности Wi-Fi-сетей, имитация DDoS-атак, анализ исходного кода критичных приложений и т.д.

Одним из лучших мероприятий по оценке защищенности организации является тестирование на проникновение (или пентест), которое дает актуальный слепок уровня вашей информационной безопасности.

Этой позиции придерживается и регулятор в лице ЦБ РФ, указывая на необходимость ежегодного проведения пентестов, а также в случае ввода в эксплуатацию новых ИТ сервисов и/или изменений ИТ-инфраструктуры. Это не просто правила хорошего тона, это, действительно, необходимая и лучшая практика.

Какую цель преследуют пентесты?

Тестирование на проникновение или пентест помогают оценить защищенность объекта и позволяют имитировать модели поведения/действий злоумышленника (хакера, инсайдера, гостя, сотрудника).

Как правило, проводят внешнее, внутреннее и социотехническое тестирование на проникновение:

Внешнее тестирование на проникновение – это имитация злоумышленника без знаний инфраструктуры. Главная цель - получение конфиденциальной информации на внешнем периметре, получение контроля (администрирования) сервисов внешней инфраструктуры и возможность проникновения во внутреннюю сеть банка.

Внутреннее тестирование на проникновение – это имитация злоумышленника без знаний внутренней инфраструктуры. Главная цель - получение привилегированного доступа и контроля над ИТ-инфраструктурой заказчика. Еще одной целью является оценка защищенности критически-важных бизнес-систем заказчика, а также возможность получения злоумышленником доступа к таким системам.

Социотехническое тестирование на проникновение. Главная цель - получение валидных учетных записей пользователей банка или запуск «тестового» программного обеспечения пользователем банка с дальнейшей возможностью проникновения во внутренний сегмент. Другой целью при проведении таких работ - является оценка осведомленности сотрудников банка в вопросах ИБ. Методами для проведения таких работ являются использование уязвимостей «психологии» людей – социальная инженерия.

Для достижения наилучших результатов вне зависимости от типа пентестов используются международные и отечественные практики. Например, используются методологии OSSTMM, OWASP Web Security Testing Guide, OWASP Mobile Security Testing Guide и экспертный подход.

На что обратить внимание?

При планировании тестирования на проникновение в первую очередь стоит обращать внимание на квалификацию команды, ее опыт и достижения.

Например, команда пентестеров компании «БСС-Безопасность» зарекомендовала себя профессионалами своего дела. Достаточно сказать, что они третий год подряд в первых строчках победителей турнира Positive Hack Days (2019 год – 1 место, 2020 год – 2 место, 2021 год – 1 место). Поэтому и закономерно, что у них 100% успешность выполненных проектов по тестированию на проникновение.

Кроме того, они обладают всеми необходимыми сертификатами для проведения таких работ.

Весенняя акция от «БСС-Безопасность»

Как известно, массовый переход на «удаленку» сопровождался очень серьезными изменениями и обновлением ИТ-инфраструктуры организаций. Многие компании и вовсе были не готовы, поэтому пришлось адаптировать имеющиеся решения для возможности удаленного подключения.

Для того, чтобы оценить уровень вашей текущей безопасности компания «БСС-Безопасность» предлагает особые условия на проведение тестирования на проникновение.

Мошенники не дремлют. Если пренебрежительно относиться к информационной безопасности организации, то шанс понести потери крайне высок. Чтобы этого не допустить – используйте современные средства защиты информации и проводите периодические тестирования на проникновение.

  • BSS