© 1995-2021 Компания «Инфосистемы Джет»
Мы беседуем с Александром Мялковским и Андреем Ковалевым – экспертами по информационной безопасности компании Яндекс.Деньги
Информационная безопасность

Характерны ли для сегодняшних тестов на проникновение какие-либо общие тенденции? Чего стоит опасаться в первую очередь? В каких ситуациях пентесты оборачиваются для компании бессмысленной тратой денег?

16.09.2014

Посетителей: 100

Просмотров: 93

Время просмотра: 2.2 мин.

Характерны ли для сегодняшних тестов на проникновение какие-либо общие тенденции? Чего стоит опасаться в первую очередь? В каких ситуациях пентесты оборачиваются для компании бессмысленной тратой денег? Обо всем этом рассуждают наши собеседники из Яндекс.Денег: Александр Мялковский, начальник отдела информационной безопасности, и Андрей Ковалев, начальник службы информационной безопасности и противодействия мошенничеству.

Когда – в каких именно ситуациях – компании стоит задуматься о проведении пентес­тов? Или их необходимо проводить регулярно, независимо от текущего положения дел?

Андрей Ковалев: По моему мнению, пентесты нужно проводить тогда, когда руководителю направления информационной безопасности кажется, что все хорошо, угрозы предотвращены, уязвимости закрыты и можно спать спокойно. Если о незакрытых уязвимостях известно, смысла в пентесте нет, и так понятно, что делать.

 

Александр Мялковский: Пентест – один из видов оценки соответствия. Поэтому его необходимо проводить в двух случаях. Во-первых, при изменении актуальности угроз или появлении новых. Во-вторых, при изменении информационной инфраструктуры и системы защиты. В первом случае имеет смысл проводить пентесты, если в компании существуют процессы поддержания системы защиты в актуальном состоянии, во втором – после внедрения новых систем (в том числе систем защиты информации) или их модернизации. Иначе пентест – практически бессмысленная трата денег: даже обязательный периодический пентест (например, по PCI DSS) станет простой формальностью.

Какие виды внешних угроз информационной безопасности наиболее актуальны и опасны в настоящий момент?

Андрей Ковалев: Для нас угрозы принципиально не поменялись – это все те же попытки получить несанкционированный доступ, заблокировать работу системы. Стоит, наверное, говорить о возросших возможностях злоумышленников, которые могут атаковать инфраструктурные элементы, которым безопасники «по умолчанию» доверяют, – корневые DNS-серверы, магистральный роутинг и т.д. Соответственно, нет неуязвимых сервисов и нельзя рассчитывать на других – те же Amazon Web Services, Google могут быть скомпрометированы (привет от NSA), оказаться недоступны. Также я с осторожностью смотрю на SMS в качестве механизма аутентификации – слишком сильно на него все полагаются, а с развитием проектов вроде OpenBTS можно легко представить себе способы перехвата SMS. Поэтому, даже используя SMS-защиту для кошельков, мы одновременно разрабатываем более безопасные способы защиты.

 

Александр Мялковский: Угрозы зависят в первую очередь от объекта защиты и его свойств. По сути угрозы в последнее время сильно не поменялись, увеличились только риски их реализации, которые можно было бы спрогнозировать и ранее. С учетом уменьшения стоимости средств электроники, вычислительных мощностей и объемов кода можно выделить появление нескольких тенденций. Первая – атаки на гипервизоры облачных провайдеров. Вторая – увеличение вирусной активности на мобильных устройствах, по сути уже не отличающихся от обыкновенных ПК. И третья – атаки на каналы связи для прослушивания (Wi-Fi-сети, сети сотовых операторов). Здесь прослеживаются общие цели злоумышленников – доступ к конфиденциальным данным или завладение ресурсами для дальнейшего развития атаки.

Какие уязвимости, характерные для ПО и ОС, можно назвать классическими? И наоборот, есть ли среди уязвимостей «новички», появившиеся за последние год-два?

Андрей Ковалев: Заметно, что в последнее время стали публиковаться уязвимости в старых, давно используемых продуктах, пример – тот же OpenSSL. Это еще раз напоминает, что «верить нельзя никому», нет волшебной «серебряной пули», необходимо строить многоуровневую систему защиты и всегда предполагать отказ в самой его худшей форме в любом месте.

 

Александр Мялковский: Наверное, все уязвимости можно в той или иной мере назвать классическими, так как они зависят от технологий и способов их реализации. Из нового, пока что существующего в лабораторных условиях, можно выделить уязвимости среды виртуализации, позволяющие выйти за границы, определяемые гипервизором.

Зависят ли особенности проведения пентестов от направления деятельности компании?

Александр Мялковский: От направления деятельности компании зависят виды обрабатываемой конфиденциальной информации и сами способы ее обработки. В большей степени это накладывает отпечаток на социотехнические пентесты, в меньшей – на внутренние и внешние.

Какие тенденции, на Ваш взгляд, намечаются в проведении тестов на проникновение?

Александр Мялковский: Тенденции в большей степени зависят от регуляторов. На мой взгляд, основная масса заказчиков проводит пентесты в рамках комплаенса.

Возможно, какие-либо закономерности прослеживаются при использовании облачных сервисов, принципиально новых сценариев атак?

Андрей Ковалев: Как я уже говорил, если компания полагается даже на крупный и серьезный облачный сервис, необходимо иметь ввиду, что и он может оказаться в какой-то момент недоступным или скомпрометированным. Нельзя рассчитывать на их неуязвимость, необходимо включать в свою картину мира возможность их компрометации и иметь BCP (Business Continuity Planning), позволяющий продолжать работу без облаков.

 

Александр Мялковский: Использование облачных сервисов ведет к усложнению системы в целом (чужая неподконтрольная инфраструктура, требования к каналам связи, юридические особенности). Чем сложнее система, тем меньше ее надежность, тем больше каналов утечки информации.

— Алексей, расскажите, как зародилось кружковое движение?

Андрей Ковалев: Нет, конечно. Нельзя предотвратить DDoS, который окажется более мощным, чем ваша инфраструктура защиты. Здесь важно, знаете ли вы, что будете делать, когда атака случится. Мне кажется, сейчас правильнее говорить не только и не столько о предотвращении угроз, сколько о реакции на их реализацию, совмещении работы по инцидентам безопасности с разработкой планов обеспечения непрерывности бизнеса.

 

Александр Мялковский: Повсеместный переход на риск-ориентированное построение систем защиты, на мой взгляд, наглядно демонстрирует, что сообщество специалистов по информационной безопасности четко осознает – панацеи не существует.

Как Вы оцениваете зрелость направления противодействия внешним угрозам в России в сравнении с Западной Европой и США?

Александр Мялковский: Уже больше 10 лет в России идет попытка перейти от «Оранжевой книги» (РД ФСТЭК) к «Общим критериям». Это демонстрирует наше значительное отставание в подходах и низкую эффективность системы образования в области ИБ. По сути, российских специалистов, хорошо разбирающихся в общих критериях, можно по пальцам пересчитать.

Большое спасибо, что нашли время побеседовать с нами!

Уведомления об обновлении тем – в вашей почте

Скрытые угрозы становятся явными, или Полезный сервис пентест

С ростом числа информационных систем и увеличением объема кода повысилось и количество уязвимостей.

Собственный киберполигон, пентесты, биометрия и «Модель Аэропорт»: о чем рассказали на Jet Security Conference

Что такое ИБ-фреймворк «Модель Аэропорт»? Зачем «Инфосистемы Джет» решили вывести на рынок киберполигон? Почему всех заинтересовала биометрия, особенно способ открыть холодильник с просекко?

Как «Яндекс.Облако» разрабатывает свои сервисы

На что стоит обращать внимание при выборе облачной платформы

ИБ-ликбез в формате small talk. Под капотом — защита облаков, Deception, киберполигон

Пошаговый чек-лист для построения защиты облаков с нуля. Рекомендации, как выстроить Digital Risk Protection, и подборка Open Source утилит. Сравнение трех лидеров рынка автопентестов: PenTera, Cymulate, Cronus CyBot.

Хронология DDoS-атаки на российские банки

Как проводилась DDoS-атака на крупный российский банк рассказали специалисты компании «Инфосистемы Джет»

The Standoff: топ-10 самых ярких ИБ-фактов

С 12 по 17 ноября компания Positive Technologies провела киберполигон The Standoff — мероприятие, где на виртуальной платформе проводили киберучения и стримы с ИБ-экспертами со всего мира.

Почему нам уже не обойтись без облаков. Тенденции развития Enterprise IT в России

Строить прогнозы — дело неблагодарное. Но мы можем проследить тенденции на опыте западных компаний.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

«Информационная безопасность — это страховка для бизнеса. Бизнес либо покупает эту страховку, либо нет»

Банковский сектор является одним из самых зрелых с точки зрения информационной безопасности (ИБ) в России. Финансовые институты стали своего рода полигоном для испытания новых мошеннических приемов и технологий.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня