Современный бизнес тесно связан с использованием информационных технологий, которые в свою очередь подвержены различным угрозам информационной безопасности (далее – ИБ). В случае реализации некоторой угрозы, может возникнуть ситуация, в которой нарушится некоторый бизнес-процесс или произойдет утечка важных данных и пр. Следствием этого может стать снижение стоимости акций компании, снижение уровня доверия со стороны партнеров/клиентов и т.п. Для того, чтобы минимизировать подобные риски, компании вынуждены заниматься вопросами, связанными с обеспечением ИБ. Более того, в ряде случаев эта необходимость вызвана желанием или требованием соответствовать различным критериям, как законодательным (ФЗ, указы президента и др.), так и международным (ISO/IEC 27005:2008, PCI DSS, SOX и др.).
Компания, которая уделяет должное внимание обеспечению ИБ, должна управлять своими информационными активами и угрозами, которым они могут быть подвержены. Сканеры безопасности как раз и являются инструментом, помогающим в решении данной задачи.
Безопасность языком цифр #2
Сколько времени требуется при проведении внутреннего пентеста для возможности получения аудитором прав Enterprise Admins? Как показывает практика проведения подобных работ для Российских Компаний, при первом тестировании на проникновение получить подобные привилегии в корневом домене удается в среднем за два с половиной дня.
Полноценной аналогичной статистики по повторному тестированию на проникновение нет, но практика показывает, что последующие пентесты сопряжены с гораздо большими сложностями достижения аналогичных целей. Либо не представляется возможным реализовать данную угрозу за приемлемое время, которое выделено на проведение подобных работ. Конечно же, речь идет про Компании, которые после проведения первого тестирования на проникновение не только учли и закрыли выявленные бреши в своей информационной системе, но и организовали необходимые процессы СУИБ для отслеживания появления подобных уязвимостей в дальнейшем и своевременному закрытию векторов проникновения, связанных с их эксплуатацией.
Таким образом, получается, что внутренний пентест при правильном подходе, позволяет в значительной степени поднять уровень информационной безопасности у Заказчика этих услуг.
Наиболее простые и распространенные уязвимости, приводящие к компрометации корпоративного домена, приведены здесь.
Полноценной аналогичной статистики по повторному тестированию на проникновение нет, но практика показывает, что последующие пентесты сопряжены с гораздо большими сложностями достижения аналогичных целей. Либо не представляется возможным реализовать данную угрозу за приемлемое время, которое выделено на проведение подобных работ. Конечно же, речь идет про Компании, которые после проведения первого тестирования на проникновение не только учли и закрыли выявленные бреши в своей информационной системе, но и организовали необходимые процессы СУИБ для отслеживания появления подобных уязвимостей в дальнейшем и своевременному закрытию векторов проникновения, связанных с их эксплуатацией.
Таким образом, получается, что внутренний пентест при правильном подходе, позволяет в значительной степени поднять уровень информационной безопасности у Заказчика этих услуг.
Наиболее простые и распространенные уязвимости, приводящие к компрометации корпоративного домена, приведены здесь.
Безопасность языком цифр
Сегодня занимался расчетом метрик по PCI DSS на основе данных, полученных при проведении работ по тестированиям на проникновение. Так, по статистическим данным получается, что приблизительно 30% узлов из области проводимого сканирования, при проведении соответствующих работ, содержат от одной до нескольких уязвимостей. Если же рассматривать метрику только в отношении "живых" узлов, содержащих хотя бы один сервис, то ситуация будет еще более удручающей – 50-60% исследуемых систем содержат от одной до нескольких уязвимостей. Цифра действительно впечатляет, т.к. речь идет про внешний периметр сети. Безусловно, возможный impact будет гораздо меньше, потому как не все уязвимости эксплуатабильны и многие из них могут использоваться только для проведения DoS-атаки. Однако мораль сей басни такова, что во всех подобных случаях удавалось пробить внешний периметр сети.
XSpider - самый позитивный сканер безопасности
Способно ли программное средство выявить уязвимость аля проведение атаки методом социальной инженерии? На самом деле способно:)
Взломали qip.ru
Оригинальная новость сегодня пестрит в нете: "Сегодня ночью был взломан официальный сайт популярного мессенджера мгновенных сообщений qip.ru".
Сразу же напрашивается мысль о том, что сайт то могли прозохать не сегодня ночью, а скажем пару лет назад… и вместе с дистрибутивом на протяжении всего времени распространять руткита, который по команде своего создателя активируется:) респект всем любителям QIP;))
Оригинальная ссылка: http://www.securitylab.ru/news/379218.php
Сразу же напрашивается мысль о том, что сайт то могли прозохать не сегодня ночью, а скажем пару лет назад… и вместе с дистрибутивом на протяжении всего времени распространять руткита, который по команде своего создателя активируется:) респект всем любителям QIP;))
Оригинальная ссылка: http://www.securitylab.ru/news/379218.php